Dossier disparu apres un spyware

jiojo5 -  
2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
hier j'ai eu un spyware. J'ai reussi a le suprimer mais le probleme c'est que beaucoup de mes dossier on disparu alors que ma capacité du disque dur n'a pas bouger.
Sur mon bureau j'ai plus que la corbeille et poste de travaille. Tous mes favoris sur internet a disparu et mes documents personel comme mes image ou traitement de texte disparu également.
Je voulais sa voir s'il y a une solution pour recupéré tous sa ?

13 réponses

Résumé de la discussion

Un spyware a provoqué la disparition de dossiers, favoris et documents sur Windows Vista avec Internet Explorer 7, alors que l’espace disque n’a pas diminué et que le bureau semble vide. Des solutions proposées incluent des outils de désinfection et diagnostic, notamment l’exécution en tant qu’administrateur et l’utilisation de ZHPDiag pour générer un rapport afin d’identifier une infection potentielle. D’autres approches recommandées évoquent RogueKiller comme outil alternatif et réclament une vérification des restaurations et des éléments système pour estimer l’étendue des dégâts et les mesures à prendre. Une vérification préalable peut confirmer si des fichiers importants restent sensibles à une restauration ou si des composants malveillants nécessitent une élimination plus poussée ultérieurement.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. 2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   920
     
    Salut,

    Bienvenue sur Comment Ça Marche. On va essayer de résoudre ton problème ensemble. Voici quelques régles ==>

    -Ici, les helpers sont volontaires, et nous avons également une vie de famille, du travail, comme tout le monde. En conséquences, sois patient en attendant tes réponses de la part du helper.

    -Suis la procédure jusqu'au bout, sinon ça ne servira à rien.

    -Ne panique pas, n'hésite pas à poser des questions si tu as des doutes, car c'est beaucoup mieux que de planter ton PC si tu ne sais pas quoi faire.

    -Avant d'effectuer des manipulations, lis la procédure jusqu'au bout, afin de ne pas faire d'erreur.

    -Lors de la désinfection, désactive ton antivirus, afin que la désinfection puisse s'effectuer normalement.

    -Si tu es sous Vista/7, éxécute un programme toujours en faisant un clic droit puis ==> Éxécuter en tant qu'administrateur

    -Si tu crack (Emule, BiTorrent, etc...) arrête tout de suite, c'est une source d'infection, et la désinfection sera donc inutile.

    -N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre).

    Si tu es prêt, c'est partit ==>

    On va faire un diagnostic de ton PC pour plus de renseignements ==>

    => Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    ou :

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    ou :

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    => Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag".

    /!\Utilisateur de Vista et Seven/!\ : Clic droit sur le logo de ZHPdiag (parchemin) puis « Exécuter en tant qu'Administrateur »

    => Clique sur l'icône, en haut à gauche, représentant une loupe : « Lancer le diagnostic ».
    => Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.
    => Héberge le rapport ZHPDiag.txt sur un des sites ci-dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

    https://www.cjoint.com/

    ou

    http://www.cijoint.fr/

    ou :

    http://ww38.toofiles.com/fr/documents-upload.html

    ou :

    http://pjjoint.malekal.com/

    ou :

    https://www.casimages.com/

    Si tu as besoin d'aide, ou quelque chose n'est pas clair, n'hésite pas à poser la question.

    Merci,

    Gabriel.
    2
  2. gorbat
     
    Pourquoi je dis chut ?

    Tout simplement, parce que tu viens d'arriver sur ce forum, VIRUS/Sécurité. Tu dis, que ce n'est pas sur que ce soit un virus... ok si tu veux. Mais sache, que les personnes, les helpers qui sont là ne donne pas des outils au hasard...

    Ils les donnes en fonctions des symptômes du PC, et il était clair que c'était un rogue... Comma l'a dit tigzy, Glary utilities ne sert à rien dans ce cas.
    Regarde un peu comment fonctionne le forum, tu verra pourquoi je dis ça.
    1
    1. Utilisateur anonyme
       
      D'accord mais je n'étais pas sûr que c'était un virus, dans ce cas, je n'aurais pas demandé d'essayer Glary Utilities. Je sais comment fonctionne le forum, ne t'inquiètes pas pour cela. Donc, sujet résolu !
      0
    2. 2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   920
       
      Donc, sujet résolu !

      Non, il reste d'autres infections :D
      0
  3. jiojo5
     
    voila j'ai fai voici le rapport
    http://www.cijoint.fr/cjlink.php?file=cj201110/cij1stGzZu.txt
    0
  4. 2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   920
     
    Pour vérification :

    * Télécharger sur le bureau RogueKiller : https://www.luanagames.com/index.fr.html
    * Quitter tous les programmes en cours.
    * Sous Vista/Seven, clic droit => Éxécuter en tant qu'administrateur.
    * Sinon lancer simplement RogueKiller.exe
    * Lorsque demandé, tapez 1 et valider.
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse sur le forum.
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    Si tu as des questions, n'hésite pas à me les poser !

    @+

    Gabriel.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jiojo5
     
    voila:

    RogueKiller V6.1.4 [22/10/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Gignac56 [Droits d'admin]
    Mode: Recherche -- Date : 22/10/2011 17:24:03

    Processus malicieux: 0

    Entrees de registre: 6
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

    Fichiers / Dossiers particuliers:

    Driver: [LOADED]
    SSDT[382] : NtCreateThreadEx @ 0x82265C44 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CE96)
    SSDT[358] : NtWriteVirtualMemory @ 0x8225758D -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CF76)
    SSDT[335] : NtTerminateThread @ 0x8226618F -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CAF6)
    SSDT[334] : NtTerminateProcess @ 0x8223ADA3 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4C996)
    SSDT[332] : NtSystemDebugControl @ 0x82242B21 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4D032)
    SSDT[331] : NtSuspendThread @ 0x821E4929 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CEB0)
    SSDT[330] : NtSuspendProcess @ 0x822DCF43 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CA3C)
    SSDT[317] : NtSetSystemInformation @ 0x82230B4B -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4D42E)
    SSDT[267] : NtRenameKey @ 0x8229E18C -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4E87C)
    SSDT[197] : NtOpenSection @ 0x8225B2CD -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4D5DE)
    SSDT[177] : NtMapViewOfSection @ 0x8225A4FA -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CBBC)
    SSDT[165] : NtLoadDriver @ 0x821B5DF0 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4D1AC)
    SSDT[78] : NtCreateThread @ 0x822DB67C -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CE7C)
    S_SSDT[573] : Unknown -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4F636)

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  7. 2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   920
     
    Alors, repasse RogueKiller en mode 2 (suppression) puis mode 6.
    Poste les rapports.

    @+

    Gabriel.
    0
  8. jiojo5
     
    c'est a dire que je tape 2 au lieu de 1 ?
    0
  9. 2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   920
     
    Oui :)

    Gabriel.
    0
  10. jiojo5
     
    pour 2:
    RogueKiller V6.1.4 [22/10/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Gignac56 [Droits d'admin]
    Mode: Suppression -- Date : 22/10/2011 17:33:10

    Processus malicieux: 0

    Entrees de registre: 0

    Fichiers / Dossiers particuliers:

    Driver: [LOADED]
    SSDT[382] : NtCreateThreadEx @ 0x82265C44 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CE96)
    SSDT[358] : NtWriteVirtualMemory @ 0x8225758D -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CF76)
    SSDT[335] : NtTerminateThread @ 0x8226618F -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CAF6)
    SSDT[334] : NtTerminateProcess @ 0x8223ADA3 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4C996)
    SSDT[332] : NtSystemDebugControl @ 0x82242B21 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4D032)
    SSDT[331] : NtSuspendThread @ 0x821E4929 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CEB0)
    SSDT[330] : NtSuspendProcess @ 0x822DCF43 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CA3C)
    SSDT[317] : NtSetSystemInformation @ 0x82230B4B -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4D42E)
    SSDT[267] : NtRenameKey @ 0x8229E18C -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4E87C)
    SSDT[197] : NtOpenSection @ 0x8225B2CD -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4D5DE)
    SSDT[177] : NtMapViewOfSection @ 0x8225A4FA -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CBBC)
    SSDT[165] : NtLoadDriver @ 0x821B5DF0 -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4D1AC)
    SSDT[78] : NtCreateThread @ 0x822DB67C -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4CE7C)
    S_SSDT[573] : Unknown -> HOOKED (\??\C:\Program Files\Orange\AntivirusFirewall\HIPS\drivers\fshs.sys @ 0x91D4F636)

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  11. 2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   920
     
    Et 6 ? :)

    @+

    Gabriel.
    0
    1. Utilisateur anonyme
       
      jiojo5, regarde mon message en haut !
      0
  12. jiojo5
     
    Pour 6:
    RogueKiller V6.1.4 [22/10/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Gignac56 [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 22/10/2011 17:36:57

    Processus malicieux: 0

    Driver: [LOADED]

    Attributs de fichiers restaures:
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 0 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 0 / Fail 0
    Mes documents: Success 0 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 0 / Fail 0
    Sauvegarde: [FOUND] Success 0 / Fail 0

    Lecteurs:
    [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [E:] \Device\CdRom0 -- 0x5 --> Skipped
    [F:] \Device\HarddiskVolume3 -- 0x2 --> Restored
    [G:] \Device\HarddiskVolume4 -- 0x2 --> Restored
    [H:] \Device\HarddiskVolume5 -- 0x2 --> Restored
    [I:] \Device\HarddiskVolume6 -- 0x2 --> Restored
    [J:] \Device\CdRom1 -- 0x5 --> Skipped

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
    0
    1. Utilisateur anonyme
       
      Avec Glary Utilities, tu vas dans l'onglet à côté de Maintenance, dans sécurité normalement, il y a une option pour rechercher les fichiers effacés!
      0
    2. jiojo5
       
      ba je recomence alors
      0
    3. gorbat
       
      Valentino6973 : Chut stp...
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut

      Les dossiers ne sont pas effacés, et glary ne sert à rien.
      Les dossiers sont cachés par le malware. Tu as Avast? J'ai l'impression qu'il est lancé dans la sandbox
      0
    5. jiojo5
       
      non j'ai l'anti virus de chez orange.
      0
  13. 2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   920
     
    Effectivement.

    Gorbat : +1

    Tigzy : +1, merci beaucoup de ton intervention

    Valentino6973 : -1 ... ^^ Le sujet n'est pas résolu, on a pas finit ;)

    @ jiojo5, nouveau ZHPdiag STP ;)

    Merci,

    Gabriel.

    Développement ToolbarShooter
    0
  14. Utilisateur anonyme
     
    Bonjour,

    Je ne sais plus si le spyware peut supprimer des logiciels, je ne pense pas mais bon, si tu veux récupérer tes documents personnels, essaye Glary Utilities, tu peux restaurer tes documents et le retrouver facilement, enfin sans se casser la tête si tu les retrouves, car si tu te souviens plus des noms de tes documents, t'es dans la flaque d'eau !

    https://www.01net.com/telecharger/windows/Utilitaire/systeme/fiches/42210.html
    -3
    1. jiojo5
       
      ok merci je vais essayer.
      Il n'a pas suprimé les logiciel juste les racourci qui etait sur mon bureau et dans démarrer
      0
    2. Utilisateur anonyme
       
      Ah bon ? Ben, tu refais tes raccourcis dans le menu démarrer et sur ton bureau.
      0
    3. jiojo5
       
      oui sa ok mes c'est pour mes dossier mes image mes musique ect ..
      0
    4. Utilisateur anonyme
       
      Tu as déjà essayé le logiciel ?
      0
    5. 2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   920
       
      Salut,

      Je ne pense pas que ce soit la solution ;)

      Fais ce qui est ci-dessous.

      Merci ;)
      0