Big Big problem

Résolu
Ericdu73 Messages postés 53 Statut Membre -  
 Utilisateur anonyme -
Bonjour à vous tous,

J'ai un très très gros problem, je viens de choper une saleté sur mon PC de bureau XP à jour et Firefox.

Lorsque je lance mon PC il se charge normalement mais quand le bureau s'affiche, il est noir.
Une fenetre s'ouvre Windows XP restore (on dirait un faux) et un message concernant mon disque dur apparait (le systeme a detecte un pb avec disque durIDE/SATA installé. Redemarrer votre systeme"
"des clusters endommagées du disque dur ont été détectées, les données privées sont en danger"

message d'alerte de AVIRA: TR/CRYPT/EPACK.GEN2 dans C/ WINDOWS/TEMP/F110.EXE
Je n'ai plus de programme, plus de document même lorsque je passe en mode sans echec

Merci de venir à mon secours!!

17 réponses

  1. Utilisateur anonyme
     
    bonjour,
    tu as choppé un rogue !

    * Télécharge en enregistre sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html
    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Sous Vista/Seven, clique droit, lancer en tant qu'administrateur
    tu n'as qu'à cliquer dessus ou les lancer!
    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide

    * puis l'option 4

    * puis l'option 6


    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. *
    ==>S'il ne passe pas, change son nom en Winlogon.exe.<==
    1
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    tu faisais quoi quand ça s'est produit ?

    ===

    * Télécharge sur le bureau RogueKiller (par tigzy)

    https://www.luanagames.com/index.fr.html

    * Quitte tous tes programmes en cours
    * Lance le.
    * Lorsque demandé, tape 2 et valide
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

    ===

    Relance le avec l'option 6 et poste le nouveau rapport.

    ===

    1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    2) Télécharge Malwarebytes ' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

    choisis la version free.

    hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4

    3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    10) Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    12) Ferme MBAM en cliquant sur Quitter.

    13) Poste le rapport dans ta réponse

    ===

    Télécharge la dernière version de ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

    pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur Cijoint

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    1
  3. Ericdu73 Messages postés 53 Statut Membre 2
     
    Bonjour electricien69,

    Merci de venir à mon aide!!

    Je vais tenter de faire ce que tu recommandes. Mais je ne peux pas fermer la fenetre windows xp restore. C'est pas grave?
    0
  4. Utilisateur anonyme
     
    pas grave, ance Roguekiller

    un petit bonjour à Lyonnais 92 :-)

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Ericdu73 Messages postés 53 Statut Membre 2
     
    Merci pour l'aide également de Lyonnais92,

    J'ai déjà effectué l'étapes 2 et 4, j'en suis à l'étape 6 mais elle est très longue, je vous posterai les rapports dès que fini

    Merci encore.
    0
  7. Ericdu73 Messages postés 53 Statut Membre 2
     
    Voici les rapports, qu'endites vous? Je continue les opérations, mes raccourcis sont revenu mais mon anti virus detecte encore des sal.......s

    Je reviens

    Rapport: 2
    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Eric [Droits d'admin]
    Mode: Suppression -- Date : 12/06/2011 15:21:47

    Processus malicieux: 2
    [SUSP PATH] SwPGvtLdJxoV.exe -- c:\documents and settings\all users\application data\swpgvtldjxov.exe -> KILLED
    [ROGUE ST] 17751844.exe -- c:\documents and settings\all users\application data\17751844.exe -> KILLED

    Entrees de registre: 6
    [SUSP PATH] HKCU\[...]\Run : SwPGvtLdJxoV (C:\Documents and Settings\All Users\Application Data\SwPGvtLdJxoV.exe) -> DELETED
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
    [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Rapport 4
    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec
    Utilisateur: Eric [Droits d'admin]
    Mode: Proxy RAZ -- Date : 12/06/2011 15:31:28

    Processus malicieux: 0

    Entrees de registre: 0

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    Rapport 6
    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec
    Utilisateur: Eric [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 12/06/2011 15:43:20

    Processus malicieux: 0

    Attributs de fichiers restaures:
    Bureau: Success 42 / Fail 0
    Lancement rapide: Success 8 / Fail 0
    Programmes: Success 17 / Fail 0
    Menu demarrer: Success 228 / Fail 0
    Dossier utilisateur: Success 5340 / Fail 0
    Mes documents: Success 31913 / Fail 0
    Mes favoris: Success 47 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 4765 / Fail 0
    Sauvegarde: [FOUND] Success 175 / Fail 0

    Lecteurs:
    [A:] \Device\Floppy0 -- 0x2 --> Skipped
    [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [E:] \Device\HarddiskVolume3 -- 0x3 --> Restored
    [F:] \Device\CdRom0 -- 0x5 --> Skipped
    [G:] \Device\CdRom1 -- 0x5 --> Skipped
    [H:] \Device\Harddisk2\DP(1)0-0+6 -- 0x2 --> Restored

    Termine : << RKreport[4].txt >>
    0
  8. ericdu73
     
    Voici le rapport MAlware et ZHP diag

    Verdict? Malware m'indique qu'il n'a pas pu tout supprimé


    http://www.cijoint.fr/cjlink.php?file=cj201106/cijtHqBkDx.txt

    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6840

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    12/06/2011 16:01:44
    mbam-log-2011-06-12 (16-01-44).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 149544
    Temps écoulé: 5 minute(s), 4 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 20

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\all users\application data\17751844.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\all users\application data\swpgvtldjxov.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\system32\drivers\1276.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
    c:\WINDOWS\system32\drivers\5154.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
    c:\WINDOWS\system32\drivers\7764.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
    c:\documents and settings\Eric\local settings\temp\F0.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\Eric\local settings\temp\F1.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\1453E8.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\1D81.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\33EC.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\3946.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\5FED.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\63A6.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\9862.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\B0A2.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\CE28.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\E128.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\ldr5c7.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\temp\ldr7181.tmp (Trojan.FakeAlert) -> Delete on reboot.
    c:\WINDOWS\temp\ldrd220.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
  9. ericdu73
     
    Êtes vous tjrs là?

    Les choses ont l'air d'être rentrées dans l'ordre. Une validation de votre part des rapports me sécuriserait.

    merci
    0
  10. Utilisateur anonyme
     
    relance MBAM, vide sa quarantaine,

    * Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou
    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://dl.free.fr
    ou :
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.terafiles.net/

    tuto zhpdiag :

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    0
  11. ericdu73
     
    Et voilà, alors à ton avis? Merci

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijgVspICw.txt

    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6840

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    12/06/2011 17:27:54
    mbam-log-2011-06-12 (17-27-54).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 149463
    Temps écoulé: 4 minute(s), 35 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  12. Utilisateur anonyme
     
    zhpdiag n'est pas à jour !
    Rapport de ZHPDiag v1.27.1421 par Nicolas Coolman, Update du 16/12/2010

    relance zhpdiag,

    clique sur la flèche verte en haut de sa page pour lancer une mise à jour de l'outil,

    une fois la mise à jour términée ,

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://dl.free.fr
    ou :
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.terafiles.net/

    0
  13. ericdu73
     
    voici, dsl pour ce contre temps

    http://dl.free.fr/akOzhLgtJ
    0
  14. Utilisateur anonyme
     
    télécharge et enregistre Rgistrytool de Xplode :
    http://dl.dropbox.com/u/27785321/RegistryTool.exe

    execute le,

    mets ces clés une par une dans la ligne Regforcedelkey :

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]

    [HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]


    clique sur Supprimer,

    poste ses rapports :-)

    0
  15. ericdu73
     
    il me dit "erreur" non de clé invalide ou clé inexistante

    que dois je faire?

    merci
    0
  16. Utilisateur anonyme
     
    pas cool,

    on va tenter de les virer avec un script, sinon, il faut que tu les supprimes manuellement depuis le registre !

    * /!\AVERTISSEMENT :
    ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.


    Télécharge OtmoveIT (de Old_Timer) sur ton Bureau

    http://itxassociates.com/OT-Tools/OTM.exe
    ou :
    https://www.androidworld.fr/

    (c est le numéro 7 en bas de la page) :

    * Double-clique sur OTMoveIt.exe pour le lancer.

    * Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.

    :reg
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]

    [-HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]

    :Commands
    [emptytemp]
    [purity]


    # clique sur MoveIt! pour lancer la suppression.

    # Le résultat apparaitra dans le cadre "Results".

    # Clique sur Exit pour fermer.

    # Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    # Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

    0
  17. ericdu73
     
    Est ce ok?

    All processes killed
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}\ not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Eric
    ->Temp folder emptied: 4185539 bytes
    ->Temporary Internet Files folder emptied: 10132504 bytes
    ->Java cache emptied: 6798 bytes
    ->FireFox cache emptied: 93417706 bytes
    ->Flash cache emptied: 6441 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 434 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 1861753 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 1932635798 bytes

    Total Files Cleaned = 1 948,00 mb

    OTM by OldTimer - Version 3.1.18.0 log created on 06122011_191233

    Files moved on Reboot...

    Registry entries deleted on Reboot...
    0
  18. Utilisateur anonyme
     
    bonjour,

    redemarre le pc, si ce n'est pas déjà fait,

    puis donne moi des nouvelles avant de finaliser la désinfection :-)

    0