Disque dur défaillant, perte de données,virus [Résolu/Fermé]

Signaler
Messages postés
1
Date d'inscription
mardi 26 avril 2011
Statut
Membre
Dernière intervention
26 avril 2011
-
 milou19 -
Bonjour,

je fais appel à ce forum car vendredi dernier j'ai chopé un virus (enfin je pense).
J'étais sur Internet comme d'habitude et tout d'un coup j'ai plusieurs fenetres qui se sont ouvertes pour m'alerter que mon DD dur était défaillant, et que j'avais des clusters défaillant aussi.
Je regarde alors dans mes documents et tout a disparu. Mais je vois que dans mon disque dur j'ai toujours autant de Giga utilisé. En tapant dans la barre de recherche un document, je l'ai retrouvé. En fete tous mes fichiers ont été mis en mode "cachés". Je les fais réapparaitre mais a chaque fois que je rallume mon ordi tout est repassé en mode "caché". De plus, depuis ce problème mon ordi rame,il lance à chaque fois une analyse de l'ordinateur et j'ai toujours des fenetres qui s'ouvrent automatiquement pour me prévenir que mon DD est défaillant.
Après ça, j'ai copier mes données dans un DD externe sauf que quand je connecte le DD à un autre ordi ou le mien, toutes les données du DD qui sont les miennes et d'autres n'apparaissent plus non plus. elles sont en mode "cachées". Mon virus a infecté le DD externe ??

J'y connais rien en informatique alors j'aimerais savoir comment me sortir de ça ? j'aimerais récupérer toutes mes données correctement et que mon ordi re fonctionne correctement aussi. Est ce que je suis obliger de formater ??
Je suis sous Windows 7.

Merci par avance.

7 réponses

Bonjour


1)
Télécharge Rkill sur le bureau ; à partir d'un de ces liens :
https://download.bleepingcomputer.com/grinler/rkill.exe

Si le premier lien ne fonctionne pas ; passe au suivant et ainsi de suite.
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com

Double clic pour le lancer.
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Pour Vista ou Seven, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Rkill désactive les processus de Windows et ceux lié aux infections afin de commencer un nettoyage

2)Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 76687 internautes nous ont dit merci ce mois-ci


Re

Passons à la taille supérieure:

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 76687 internautes nous ont dit merci ce mois-ci

Je n'arrive pas à télécharger rkill

ça me met " windows ne parvient pas à accéder au périphrique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut etre pas des autorisations appropriées pour avoir accès à l'élément"

comment puis je faire ?
ça y'est j'ai fini l'analyse et tout mes fichiers ont réapparu, j'ai redémarré et je n'ai pas eu de fen$etre m'alertant que mon DD etait défaillant.
Je pense que je suis sauvée alors...

Voici la copie du rapport :

ComboFix 11-04-26.01 - AGATHE 26/04/2011 22:01:13.1.2 - x86
Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.3003.1979 [GMT 2:00]
Lancé depuis: c:\users\AGATHE\Documents\asdehi.exe
AV: Norton Internet Security *Disabled/Outdated* {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}
FW: Norton Internet Security *Disabled* {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}
SP: Norton Internet Security *Disabled/Updated* {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\AGATHE\AppData\Roaming\Adobe\plugs
c:\users\AGATHE\AppData\Roaming\Adobe\plugs\KB7700802.exe
c:\users\AGATHE\AppData\Roaming\Adobe\shed
c:\users\AGATHE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery
c:\users\AGATHE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery\Uninstall Windows Recovery.lnk
c:\users\AGATHE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery\Windows Recovery.lnk
c:\users\AGATHE\Desktop\Windows Recovery.lnk
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-26 au 2011-04-26 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-26 20:18 . 2011-04-26 20:18 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-04-26 16:54 . 2011-04-26 19:54 -------- d-----w- C:\## aswSnx private storage
2011-04-26 16:54 . 2011-04-11 07:04 7071056 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{51B164C7-B137-4FBA-8D28-2C18395EE101}\mpengine.dll
2011-04-22 20:47 . 2011-04-22 20:53 -------- d--h--w- c:\users\AGATHE\AppData\Local\Google
2011-04-22 20:47 . 2011-04-22 20:49 -------- d-----w- c:\program files\Google
2011-04-22 20:45 . 2011-04-26 19:57 -------- d--h--w- c:\programdata\AVAST Software
2011-04-22 20:45 . 2011-04-22 20:45 -------- d-----w- c:\program files\AVAST Software
2011-04-17 16:11 . 2011-02-23 05:06 311296 ----a-w- c:\windows\system32\drivers\srv.sys
2011-04-17 16:11 . 2011-02-23 05:05 309760 ----a-w- c:\windows\system32\drivers\srv2.sys
2011-04-17 16:11 . 2011-02-23 05:05 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2011-04-17 16:09 . 2011-02-18 05:36 428032 ----a-w- c:\windows\system32\vbscript.dll
2011-04-17 16:09 . 2011-03-03 05:29 132608 ----a-w- c:\windows\system32\dnsrslvr.dll
2011-04-17 16:09 . 2011-03-03 05:27 28672 ----a-w- c:\windows\system32\dnscacheugc.exe
2011-04-15 17:29 . 2011-03-08 05:38 740864 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-15 17:29 . 2011-03-11 05:40 1164288 ----a-w- c:\windows\system32\mfc42u.dll
2011-04-15 17:29 . 2011-03-11 05:40 1137664 ----a-w- c:\windows\system32\mfc42.dll
2011-04-15 17:29 . 2011-02-23 05:05 221696 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-04-15 17:29 . 2011-02-23 05:05 95744 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-04-15 17:29 . 2011-02-23 05:05 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-15 17:29 . 2011-02-23 05:05 69632 ----a-w- c:\windows\system32\drivers\bowser.sys
2011-04-14 16:57 . 2011-03-03 03:31 2331136 ----a-w- c:\windows\system32\win32k.sys
2011-04-14 16:57 . 2011-02-12 05:30 191488 ----a-w- c:\windows\system32\FXSCOVER.exe
2011-04-14 16:57 . 2011-02-24 05:32 288256 ----a-w- c:\windows\system32\XpsGdiConverter.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-18 21:05 . 2009-08-18 09:30 564632 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll
2011-04-18 21:05 . 2009-08-18 09:24 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-02-19 05:33 . 2011-03-09 17:28 802304 ----a-w- c:\windows\system32\FntCache.dll
2011-02-19 05:32 . 2011-03-09 17:28 1074176 ----a-w- c:\windows\system32\DWrite.dll
2011-02-19 05:32 . 2011-03-09 17:28 739840 ----a-w- c:\windows\system32\d2d1.dll
2011-02-11 20:10 . 2011-02-11 20:10 181608 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10137.bin
2011-02-03 05:45 . 2011-02-09 14:07 219008 ----a-w- c:\windows\system32\drivers\dxgmms1.sys
2011-02-02 16:11 . 2010-01-19 16:57 222080 ------w- c:\windows\system32\MpSigStub.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"Steam"="c:\program files\Steam\Steam.exe" [2010-11-17 1242448]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-08-25 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-08-25 174104]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-08-25 151064]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-07-30 225280]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-08-13 467036]
"UpdatePRCShortCut"="c:\program files\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-09 148888]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-07-23 498744]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-30 795936]
Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-4-19 64864]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"WallpaperStyle"= 2
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
@="FSFilter Activity Monitor"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_fa0513b7754bf240\aestsrv.exe [2009-03-02 81920]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-22 20:47]
.
2011-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-22 20:47]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_FR&c=94&bd=Pavilion&pf=cnnb
uInternet Settings,ProxyServer = 172.16.4.21:8080
uInternet Settings,ProxyOverride = pfsense;192.169.2.1;*.local;<local>
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-FR\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MIF5BA~1\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\users\AGATHE\AppData\Roaming\Mozilla\Firefox\Profiles\9in45c0c.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Softonic_France Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2542115&SearchSource=13
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Messenger Plus Live Toolbar: {9b339f6e-ddcd-401b-8764-230adbd01761} - %profile%\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}
FF - Ext: Softonic_France Toolbar: {4daac69c-cba7-45e2-9bc8-1044483d3352} - %profile%\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}
FF - Ext: Norton Toolbar: {7BA52691-1876-45ce-9EE6-54BCB3B04BBC} - c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-Vzixiracevenupe - c:\users\AGATHE\AppData\Local\nceapcs.dll
HKCU-Run-tPaGgPbDdnkYyE - c:\programdata\tPaGgPbDdnkYyE.exe
AddRemove-{08DB3902-2CE0-474D-BCE3-0177766CE9F1} - c:\program files\InstallShield Installation Information\{08DB3902-2CE0-474D-BCE3-0177766CE9F1}\setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Norton Internet Security]
"ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.8.0.41\diMaster.dll\" /prefetch:1"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-04-26 22:46:49
ComboFix-quarantined-files.txt 2011-04-26 20:46
.
Avant-CF: 194 847 318 016 octets libres
Après-CF: 194 769 211 392 octets libres
.
- - End Of File - - AADC2B4B9451CE572D7E77A121A63F08
Je viens de connaitre le même problème avec exactement les mêmes caractéristiques : fenêtres windows qui s'ouvrent intempestivement, données dites perdues alors qu'elles sont passées en caché, demande de récupération de données, etc...

J'ai suivi le processus 1 (Rkill + Malwaresbytes anti malware + scan complet + suppression des fichiers corrompus). Résultat impec'. Je n'ai plus aucun message d'erreur s'affichant.

Je dois à présent simplement repassé mes fichiers caché en non caché, mais pas de problème détecté lors de la procédure.

Un grand GRAND merci à Guillaume5188 pour ses instructions simples et efficaces ! :D

Bonjour Gat38

Lance une analyse avec Malwaresbytes à jour et poste moi son rapport;merci.

@+

Bonsoir,
j'ai le meme problème actuellement sur mon PC, j'ai téléchargé RKILL, voici ce que ça a donné:
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 29/05/2011 at 20:46:00.
Operating System: Windows Vista (TM) Home Premium


Processes terminated by Rkill or while it was running:

C:\ProgramData\DatacardService\DCService.exe
C:\ProgramData\DatacardService\DCSHelper.exe
C:\ProgramData\LoBoUYvVYw.exe
C:\ProgramData\33545976.exe
C:\Windows\system32\werfault.exe


Rkill completed on 29/05/2011 at 20:47:07.



par contre pour le Malwalerbytes j'arrive pas à l'installer, un message ressort à chaque fois en me disant une erreur s'est produite veuillez transmettre ce code d'erreur à notre équipe de support.

comment pourrais je remédier???

Merci d'avance.