Disque dur vide suite à un cheval de troie
simonus53
Messages postés
13
Statut
Membre
-
Valuu Messages postés 2258 Statut Contributeur -
Valuu Messages postés 2258 Statut Contributeur -
Bonjour,
Il y a quelques jours, Avast à détecté un cheval de Troie, et depuis, c'est la guerre ^^
Voila, je n'avais plus accès à aucun programmes dans le menu démarrer, le bureau était vide est ne répondait plus par les clics droits et des messages m'avertissant du virus s'affichait sans cesse.
Suite à plusieurs analyse et scan divers, je crois avoir réussi à l'avoir, seulement je n'ai toujours rien d'afficher dans mon disques C: (pourtant rempli au trois quart). J'arrive à naviguer plus ou moins en faisait "exécuter" puis "parcourir" mais j'ai seulement réussi à retirer le mode "caché" de mes documents.
Je n'ai pas eu besoin de faire le CHKDSK/r/f dans le DOS (via un redémarrage en commande MS DOS) car lorsque je vérifie l'intégrité de mon disque C: via "fsutil dirty query C:" il m'annonce que le disque est intègre.
J'ai ensuite tenté de restauré via "Démarrer, Exécuter" puis "%SystemRoot%\system32\restore\rstrui.exe" mais il m'annonce :
"Restauration du système ne peut pas protéger votre ordinateur. Faites Redémarrer votre ordinateur, puis relancer Restauration du Système" Bien évidemment, cela ne fait rien du tout.
Depuis toute mes manips, je n'ai plus un écran noir mais bleu (c'est déjà ca ^^) mais qui ne reconnait rien quand même. Les messages du virus ne s'apparaisse plus et Avast m'annonce "Aucune menace détectée".
Je suppose avoir viré le cheval de Troie mais les conséquences sont encore là.
Et bien évidemment, un petit Ctrl Alt Sup ne m'ammene qu'à un : "Le gestionnaire des taches a été désactivé par votre administrateur"
Pour info, je n'ai qu'un seul profil sur mon PC je suis censé avoir les droits admin.
Voilà,
Merci de vos futurs conseils
Il y a quelques jours, Avast à détecté un cheval de Troie, et depuis, c'est la guerre ^^
Voila, je n'avais plus accès à aucun programmes dans le menu démarrer, le bureau était vide est ne répondait plus par les clics droits et des messages m'avertissant du virus s'affichait sans cesse.
Suite à plusieurs analyse et scan divers, je crois avoir réussi à l'avoir, seulement je n'ai toujours rien d'afficher dans mon disques C: (pourtant rempli au trois quart). J'arrive à naviguer plus ou moins en faisait "exécuter" puis "parcourir" mais j'ai seulement réussi à retirer le mode "caché" de mes documents.
Je n'ai pas eu besoin de faire le CHKDSK/r/f dans le DOS (via un redémarrage en commande MS DOS) car lorsque je vérifie l'intégrité de mon disque C: via "fsutil dirty query C:" il m'annonce que le disque est intègre.
J'ai ensuite tenté de restauré via "Démarrer, Exécuter" puis "%SystemRoot%\system32\restore\rstrui.exe" mais il m'annonce :
"Restauration du système ne peut pas protéger votre ordinateur. Faites Redémarrer votre ordinateur, puis relancer Restauration du Système" Bien évidemment, cela ne fait rien du tout.
Depuis toute mes manips, je n'ai plus un écran noir mais bleu (c'est déjà ca ^^) mais qui ne reconnait rien quand même. Les messages du virus ne s'apparaisse plus et Avast m'annonce "Aucune menace détectée".
Je suppose avoir viré le cheval de Troie mais les conséquences sont encore là.
Et bien évidemment, un petit Ctrl Alt Sup ne m'ammene qu'à un : "Le gestionnaire des taches a été désactivé par votre administrateur"
Pour info, je n'ai qu'un seul profil sur mon PC je suis censé avoir les droits admin.
Voilà,
Merci de vos futurs conseils
A voir également:
- Disque dur vide suite à un cheval de troie
- Cloner disque dur - Guide
- Defragmenter disque dur - Guide
- Test disque dur - Télécharger - Informations & Diagnostic
- Chkdsk disque dur externe - Guide
- Nettoyage disque dur - Guide
22 réponses
Hello,
--------------------------------------------------------------------------------------
* Télécharge RogueKiller sur le bureau
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 6 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
--------------------------------------------------------------------------------------
* Télécharge RogueKiller sur le bureau
* Quitte tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lance simplement RogueKiller.exe
* Lorsque demandé, tape 1 et valide
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
--------------------------------------------------------------------------------------
* Télécharge RogueKiller sur le bureau
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 6 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
--------------------------------------------------------------------------------------
* Télécharge RogueKiller sur le bureau
* Quitte tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lance simplement RogueKiller.exe
* Lorsque demandé, tape 1 et valide
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Voici le rapport avec l'option "tapez 6", te faut il l'option tapez 1? ^^
RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 25/05/2011 22:38:45
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 140 / Fail 0
Lancement rapide: Success 9 / Fail 0
Programmes: Success 6001 / Fail 0
Menu demarrer: Success 180 / Fail 0
Dossier utilisateur: Success 7307 / Fail 0
Mes documents: Success 95 / Fail 0
Mes favoris: Success 5 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 36210 / Fail 0
Sauvegarde: [FOUND] Success 133 / Fail 0
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 25/05/2011 22:38:45
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 140 / Fail 0
Lancement rapide: Success 9 / Fail 0
Programmes: Success 6001 / Fail 0
Menu demarrer: Success 180 / Fail 0
Dossier utilisateur: Success 7307 / Fail 0
Mes documents: Success 95 / Fail 0
Mes favoris: Success 5 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 36210 / Fail 0
Sauvegarde: [FOUND] Success 133 / Fail 0
Termine : << RKreport[1].txt >>
RKreport[1].txt
Whaou, je suis sur le fessier ^^,
Par contre mon bureau est toujours inactif sans icones.
Voici le rapport de l'option 1 :
RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date : 25/05/2011 22:48:18
Processus malicieux: 0
Entrees de registre: 7
[SUSP PATH] HKCU\[...]\Run : kJoCBjsHlcALP (C:\Documents and Settings\All Users\Application Data\kJoCBjsHlcALP.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2576710360-2324398276-3468247076-500[...]\Run : kJoCBjsHlcALP (C:\Documents and Settings\All Users\Application Data\kJoCBjsHlcALP.exe) -> FOUND
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Par contre mon bureau est toujours inactif sans icones.
Voici le rapport de l'option 1 :
RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date : 25/05/2011 22:48:18
Processus malicieux: 0
Entrees de registre: 7
[SUSP PATH] HKCU\[...]\Run : kJoCBjsHlcALP (C:\Documents and Settings\All Users\Application Data\kJoCBjsHlcALP.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2576710360-2324398276-3468247076-500[...]\Run : kJoCBjsHlcALP (C:\Documents and Settings\All Users\Application Data\kJoCBjsHlcALP.exe) -> FOUND
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ok,
Repasse RogueKiller en mode 2 (suppression)
Puis :
--------------------------------------------------------------------------------------
MBAM
* Télécharge Malwarebytes' Anti-Malware
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
* Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
Repasse RogueKiller en mode 2 (suppression)
Puis :
--------------------------------------------------------------------------------------
MBAM
* Télécharge Malwarebytes' Anti-Malware
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
* Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
Voici le rapport de la suppression, l'analyse de Malwarebyte en est à dix minutes. J'attends la fin mais pour l'instant un grand merci car tout ce que tu me donnes fait un sacré boulot ! ^^
en espérant que ca aboutisse au grand final haha
RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 25/05/2011 23:06:58
Processus malicieux: 0
Entrees de registre: 6
[SUSP PATH] HKCU\[...]\Run : kJoCBjsHlcALP (C:\Documents and Settings\All Users\Application Data\kJoCBjsHlcALP.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
en espérant que ca aboutisse au grand final haha
RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 25/05/2011 23:06:58
Processus malicieux: 0
Entrees de registre: 6
[SUSP PATH] HKCU\[...]\Run : kJoCBjsHlcALP (C:\Documents and Settings\All Users\Application Data\kJoCBjsHlcALP.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Bon, je vais arrêter l'analyse alors (j'espère que ca pose pas de prbm?) car mon tosh a tendance a facilement chauffer, je préfère le faire tourner entre demain matin et demain midi plutôt que toute la nuit ^^
Merci bcp de tes conseils, je verrais le résultat demain midi
encore merci
Merci bcp de tes conseils, je verrais le résultat demain midi
encore merci
Voici le rapport suite à l'analyse de MBAM.
Je redémarre le PC juste après cette réponse ^^
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6678
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
26/05/2011 07:52:40
mbam-log-2011-05-26 (07-52-40).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 184930
Temps écoulé: 37 minute(s), 1 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 11
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\(default) (Hijack.SearchPage) -> Bad: (http://www.cherche.us/keyword/%s) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\system volume information\_restore{be5f38aa-1f9a-46f9-a5b7-335900894203}\RP398\A0065018.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{be5f38aa-1f9a-46f9-a5b7-335900894203}\RP398\A0065019.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{be5f38aa-1f9a-46f9-a5b7-335900894203}\RP398\A0065020.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
Je redémarre le PC juste après cette réponse ^^
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6678
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
26/05/2011 07:52:40
mbam-log-2011-05-26 (07-52-40).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 184930
Temps écoulé: 37 minute(s), 1 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 11
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\(default) (Hijack.SearchPage) -> Bad: (http://www.cherche.us/keyword/%s) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\system volume information\_restore{be5f38aa-1f9a-46f9-a5b7-335900894203}\RP398\A0065018.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{be5f38aa-1f9a-46f9-a5b7-335900894203}\RP398\A0065019.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{be5f38aa-1f9a-46f9-a5b7-335900894203}\RP398\A0065020.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
Bonjour, si tu veux préserver certaines données, la première chose à faire :
Lancer un live-cd linux (Mandriva one ou backtrack 4 car ils ont la réputation d'être compatibles avec un large parc de matériels)
Tu y trouveras un gestionnaire de fichiers, tu sauvegardes tes fichiers indispensables sur un disque dur externe.
Ensuite, tu tentes l'éradication comme cité dans les autres messages !!
Lancer un live-cd linux (Mandriva one ou backtrack 4 car ils ont la réputation d'être compatibles avec un large parc de matériels)
Tu y trouveras un gestionnaire de fichiers, tu sauvegardes tes fichiers indispensables sur un disque dur externe.
Ensuite, tu tentes l'éradication comme cité dans les autres messages !!
Merci, mais les fichiers sont déjà revenus.
https://forums.commentcamarche.net/forum/affich-22196767-disque-dur-vide-suite-a-un-cheval-de-troie#2
https://forums.commentcamarche.net/forum/affich-22196767-disque-dur-vide-suite-a-un-cheval-de-troie#2
Oui, tout à l'air d'être redevenu normal. Un grand merci à toi, Valuu qui m'a rendu un grand service ^^
Attends, il reste peut-être d'autres choses.
MBAM a supprimé des bouts d'adwares.
--------------------------------------------------------------------------------------
* Télécharge AD-Remover(de la TeamXscript) sur ton Bureau.
Déconnecte toi et ferme toutes les applications en cours
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur Scanner
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
MBAM a supprimé des bouts d'adwares.
--------------------------------------------------------------------------------------
* Télécharge AD-Remover(de la TeamXscript) sur ton Bureau.
Déconnecte toi et ferme toutes les applications en cours
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur Scanner
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
voici le rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 20:26:17 le 26/05/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
Administrateur@P530000 ( )
============== RECHERCHE ==============
Fichier trouvé: C:\Documents and Settings\Administrateur\scriptjava.html
Fichier trouvé: C:\Documents and Settings\Administrateur\temp1.6
Clé trouvée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\winternet
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.17 (fr)] ****
-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\jfdxk9lz.default --
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Administrateur\\Bureau
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17
========================================
**** Google Chrome Version [11.0.696.68] ****
-- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.fr/
Preferences - homepage_is_newtabpage: true
========================================
**** Internet Explorer Version [7.0.5730.11] ****
HKCU_Main|Default_Page_URL - hxxp://www.google.com
HKCU_Main|Default_Search_URL - hxxp://www.google.com
HKCU_Main|SearchMigratedDefaultURL - hxxp://www.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7...
HKCU_Main|Search bar - hxxp://www.google.com
HKCU_Main|Search Page - hxxp://www.google.com
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Page_URL - hxxp://www.google.com
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://www.google.com
HKLM_Main|Start Page - hxxp://www.google.com
HKCU_SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} - "cherche.us" (hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A00990...)
HKLM_Extensions\{E023F504-0C5A-4750-A1E7-A9046DEA8A21} - "MoneySide" (C:\Program Files\Microsoft Money\System\mnyviewer.dll,209)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - "?" (C:\Program Files\Microsoft Money\System\mnyviewer.dll)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)
C:\Ad-Report-SCAN[1].txt - 26/05/2011 20:26:21 (1291 Octet(s))
Fin à: 20:27:05, 26/05/2011
============== E.O.F ==============
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 20:26:17 le 26/05/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
Administrateur@P530000 ( )
============== RECHERCHE ==============
Fichier trouvé: C:\Documents and Settings\Administrateur\scriptjava.html
Fichier trouvé: C:\Documents and Settings\Administrateur\temp1.6
Clé trouvée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\winternet
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.17 (fr)] ****
-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\jfdxk9lz.default --
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Administrateur\\Bureau
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17
========================================
**** Google Chrome Version [11.0.696.68] ****
-- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.fr/
Preferences - homepage_is_newtabpage: true
========================================
**** Internet Explorer Version [7.0.5730.11] ****
HKCU_Main|Default_Page_URL - hxxp://www.google.com
HKCU_Main|Default_Search_URL - hxxp://www.google.com
HKCU_Main|SearchMigratedDefaultURL - hxxp://www.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7...
HKCU_Main|Search bar - hxxp://www.google.com
HKCU_Main|Search Page - hxxp://www.google.com
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Page_URL - hxxp://www.google.com
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://www.google.com
HKLM_Main|Start Page - hxxp://www.google.com
HKCU_SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} - "cherche.us" (hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A00990...)
HKLM_Extensions\{E023F504-0C5A-4750-A1E7-A9046DEA8A21} - "MoneySide" (C:\Program Files\Microsoft Money\System\mnyviewer.dll,209)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - "?" (C:\Program Files\Microsoft Money\System\mnyviewer.dll)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)
C:\Ad-Report-SCAN[1].txt - 26/05/2011 20:26:21 (1291 Octet(s))
Fin à: 20:27:05, 26/05/2011
============== E.O.F ==============
okay,
--------------------------------------------------------------------------------------
* Double-clique sur l'icône AD-Remover
Déconnecte toi et ferme toutes les applications en cours
* Au menu principal, clique sur Nettoyer
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
--------------------------------------------------------------------------------------
Utilise ce logiciel de diagnostic :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Sous Vista/Seven, si ça ne se lance pas --> Clic droit/Exécuter en tant qu'administrateur
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
--------------------------------------------------------------------------------------
* Double-clique sur l'icône AD-Remover
Déconnecte toi et ferme toutes les applications en cours
* Au menu principal, clique sur Nettoyer
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
--------------------------------------------------------------------------------------
Utilise ce logiciel de diagnostic :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Sous Vista/Seven, si ça ne se lance pas --> Clic droit/Exécuter en tant qu'administrateur
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
voila le rapport d'ad remover, je telecharge ZHPDiag et je continu :
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:41:27 le 26/05/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
Administrateur@P530000 ( )
============== ACTION(S) ==============
Fichier supprimé: C:\Documents and Settings\Administrateur\scriptjava.html
Fichier supprimé: C:\Documents and Settings\Administrateur\temp1.6
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\winternet
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.17 (fr)] ****
-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\jfdxk9lz.default --
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Administrateur\\Bureau
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17
========================================
**** Google Chrome Version [11.0.696.68] ****
-- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.fr/
Preferences - homepage_is_newtabpage: true
========================================
**** Internet Explorer Version [7.0.5730.11] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Extensions\{E023F504-0C5A-4750-A1E7-A9046DEA8A21} - "MoneySide" (C:\Program Files\Microsoft Money\System\mnyviewer.dll,209)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - "?" (C:\Program Files\Microsoft Money\System\mnyviewer.dll)
========================================
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:41:27 le 26/05/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
Administrateur@P530000 ( )
============== ACTION(S) ==============
Fichier supprimé: C:\Documents and Settings\Administrateur\scriptjava.html
Fichier supprimé: C:\Documents and Settings\Administrateur\temp1.6
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\winternet
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.17 (fr)] ****
-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\jfdxk9lz.default --
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Administrateur\\Bureau
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17
========================================
**** Google Chrome Version [11.0.696.68] ****
-- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.fr/
Preferences - homepage_is_newtabpage: true
========================================
**** Internet Explorer Version [7.0.5730.11] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Extensions\{E023F504-0C5A-4750-A1E7-A9046DEA8A21} - "MoneySide" (C:\Program Files\Microsoft Money\System\mnyviewer.dll,209)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - "?" (C:\Program Files\Microsoft Money\System\mnyviewer.dll)
========================================
quand je clique sur telecharger il me dit qu'il faut attendre mais rien ne se passe, je clique alors sur l'autre lien proposé : firefox m'annonce que "la connexion a été reinitialisé" dois je essayé avec IE ou G. Chrome?
