Virus Repair Pc Résolu/Fermé

Question

Bonjour,

Depuis ce matin l'ordinateur de mes parents est infecté par le virus Repair PC il me semble. Je n'ai plus aucun fichier sur le bureau ni dans le menu démarrer. J'ai énormément de message d'erreur qui s'affiche et un logiciel Antivirus qui s'est installé tout seul.
Je viens d'installer le logiciel Malwarebytes, j'ai fais une analyse rapide et voici le rapport :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8180

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

17/11/2011 11:20:59
mbam-log-2011-11-17 (11-20-53).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 183327
Temps écoulé: 10 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
c:\programdata\iowwdnqsypu.exe (Trojan.FakeAlert) -> 2412 -> No action taken.
c:\programdata\iglgzu0rvfexg9.exe (Trojan.FakeAlert) -> 2968 -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IoWwDnqsYPU.exe (Trojan.FakeAlert) -> Value: IoWwDnqsYPU.exe -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\iowwdnqsypu.exe (Trojan.FakeAlert) -> No action taken.
c:\programdata\iglgzu0rvfexg9.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\user\AppData\Local\Temp\~!#DC11.tmp (Trojan.Downloader.adb) -> No action taken.
c:\Users\user\AppData\Local\Temp\UAC.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\user\AppData\Local\Temp\0.5729327861111513gtye.exe (Trojan.Downloader.adb) -> No action taken.
c:\Users\user\AppData\Local\Temp\48D1.tmp (Trojan.FakeAlert) -> No action taken.
c:\Users\user\AppData\Local\Temp\adskbiv039tkls.exe.tmp (Trojan.FakeAlert) -> No action taken.
c:\Users\user\downloads\setup.exe (Trojan.FakeVLC) -> No action taken.
c:\Users\user\local settings\temporary internet files\Content.IE5\A4E0YQLS\setup.exe (Trojan.FakeVLC) -> No action taken.

Quelqu'un aurait il la gentillesse de m'aider pour la marche à suivre pour supprimer ce virus.

Merci beaucoup.
Amelie

Config>Windows Vista / Internet Explorer 9.0</config>

Malekal_morte- · Answer

Salut,

No action taken.

Tu as mis en quarantaine ce qui a été détecté ?
Bouton "Supprimer Selection"

Voir tuto :  https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Amelie · Answer

Bonjour Malekal_morte et merci pour ta réponse.

Je viens de supprimer la sélection, l'ordinateur a redémarrer. Je n'ai plus de messages d'erreur ni le faux antivirus. Par contre je n'ai pas récupérer mes fichiers ni mon bureau.

Malekal_morte- · Answer

Télécharge RogueKiller : https://www.luanagames.com/index.fr.html  
Lances en option 2 (Suppression).  
Poste le rapport ici.  

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com


PUIS relance RogueKiller avec l'option 6 et poste le rapport ici.

Amelie · Answer

Voici le rapport en option 2 :

RogueKiller V6.1.9 [16/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: user [Droits d'admin]
Mode: Suppression -- Date : 17/11/2011 12:03:40

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Et le rapport en option 6 :

RogueKiller V6.1.9 [16/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: user [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 17/11/2011 12:09:54

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 10 / Fail 0
Lancement rapide: Success 6 / Fail 0
Programmes: Success 954 / Fail 0
Menu demarrer: Success 41 / Fail 0
Dossier utilisateur: Success 11756 / Fail 0
Mes documents: Success 1646 / Fail 0
Mes favoris: Success 127 / Fail 0
Mes images: Success 1026 / Fail 0
Ma musique: Success 115 / Fail 0
Mes videos: Success 3 / Fail 0
Disques locaux: Success 1668 / Fail 0
Sauvegarde: [FOUND] Success 14 / Fail 2

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[F:] \Device\CdRom0 -- 0x5 --> Skipped

¤¤¤ Infection : Fake HDD ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Malekal_morte- · Answer

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/  

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.  
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)  

* Lance OTL  
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous : 
netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
consrv.dll
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT 
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs  
* Clique sur le bouton Analyse.  
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Amelie · Answer

Le lien OTL.txt :  http://pjjoint.malekal.com/files.php?id=OTL_g13m7k12c14c14v13t5p7g7m14y11h14x13s14x8l12u13r14s11m8


Le lien Extra.txt : http://pjjoint.malekal.com/files.php?id=OTL_Extras_h6q6j13y10x10p7k15d11q12k6v8q10t13c155y1215b15t10t8

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:  

:OTL
[2011/11/16 19:15:36 | 000,000,456 | ---- | M] () -- C:\ProgramData\IGLgzU0rvFeXG9
[2011/11/16 19:13:57 | 000,000,296 | -H-- | M] () -- C:\ProgramData\~IGLgzU0rvFeXG9
[2011/11/16 19:13:57 | 000,000,216 | -H-- | M] () -- C:\ProgramData\~IGLgzU0rvFeXG9r
[2011/11/16 19:13:54 | 000,000,608 | ---- | M] () -- C:\Users\user\Desktop\System Fix.lnk
[2011/06/15 07:39:55 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\OfferBox  

* redemarre le pc sous windows et poste le rapport ici

Amelie · Answer

Voici le rapport : 

========== OTL ==========
C:\ProgramData\IGLgzU0rvFeXG9 moved successfully.
C:\ProgramData\~IGLgzU0rvFeXG9 moved successfully.
C:\ProgramData\~IGLgzU0rvFeXG9r moved successfully.
C:\Users\user\Desktop\System Fix.lnk moved successfully.
C:\Users\user\AppData\Roaming\OfferBox folder moved successfully.
 
OTL by OldTimer - Version 3.2.31.0 log created on 11172011_154237

Malekal_morte- · Answer

c'est ok :)

à faire lire à tes parents.


Fais plus attention à l'avenir....

Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/ 

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf  
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques :: 
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/    
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

Amelie · Answer

Merci pour ton aide et les différents conseils. 
Le bureau est revenu à la normal, par contre lorsque je clique sur Démarrer il me manque pas mal de choses. J'ai "Tous les programmes" et "Ordinateur". Où sont passés les fichiers, le panneau de configuration etc. ?