Virus => Perte de tout les fichiers
Renaud
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Mon ordinateur a fait l'objet cet après midi d'une attaque virale. Antivir s'est excité, avant que n'apparaissent un nombre important d'alertes windows (vraies ou fausses ?) m'avertissant qu'il [windows] n'arrivait plus à inscrire certaines données. Une seconde fenêtre me proposait de faire un scan puis de réparer, ou d'attendre (attendre provoquait un reboot).
Au premier reboot, tout était bloqué par l'erreur (gestionnaire des tâches compris), et tout mes icones avaient disparus.
J4ai ensuite rebooté en mode sans échec avec prise en charge réseau. MalwareBytes a découvert 9 problèmes, les as résolu, puis RogueKiller en a découvert une vingtaine et les a supprimé.
Au reboot suivant, mon ordi fonctionne, mais :
1/ Ati Catalyst Center est HS
2/ Mes icones ont disparus.
3/ TOUT mes fichiers ont disparus, bien que les utilitaires et logiciels fonctionnent impec'.
Ce qui est étrange, c'est que le disque dur n'est pas vide (81 Go occupé, soit autant qu'avant le virus) et qu'il m'affiche les miniatures dans les prévisualisations de dossiers ; en revanche, tout les dossiers sont vides, et les raccourcis sont tout morts.
A priori, rien n'est donc perdu : tout les chemins d'accès en revanche ont l'air d'avoir disparu ...
Que faire pour récupérer l'accès à mes données ?
Cordialement,
Renaud.
Rapports :
MalwareBytes :
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org
Version de la base de données: v2012.01.29.02
Windows Vista x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.6000.16982
eloise :: PC-DE-ELOISE [administrateur]
29/01/2012 20:30:52
mbam-log-2012-01-29 (20-30-52).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 248422
Temps écoulé: 39 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 7
C:\Users\eloise\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S3OSNNGK\22[1].exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\MicrosoftNT\winserver.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\msimg32.dll (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\rncowsmexa.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\~!#C60A.tmp (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\jika0.7813644678955182.exe (Exploit.Drop.6) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\oleda0.9467830561677545.exe (Exploit.Drop.7) -> Mis en quarantaine et supprimé avec succès.
(fin)
RK1 :*******************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 21:16:16
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 18 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-854154375-3448341404-582831391-1000[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> FOUND
[BLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RK2 :*************************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 21:16:49
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 18 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-854154375-3448341404-582831391-1000[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> FOUND
[BLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
RK3*******************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Suppression -- Date : 29/01/2012 21:16:58
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 17 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> DELETED
[BLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> DELETED
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
RK4*******************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 21:17:03
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
RK5**********************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 21:17:07
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
FIN DES CINQ REPORT QU'A CREE ROGUEKILLER POUR UN SEUL SCAN;
Mon ordinateur a fait l'objet cet après midi d'une attaque virale. Antivir s'est excité, avant que n'apparaissent un nombre important d'alertes windows (vraies ou fausses ?) m'avertissant qu'il [windows] n'arrivait plus à inscrire certaines données. Une seconde fenêtre me proposait de faire un scan puis de réparer, ou d'attendre (attendre provoquait un reboot).
Au premier reboot, tout était bloqué par l'erreur (gestionnaire des tâches compris), et tout mes icones avaient disparus.
J4ai ensuite rebooté en mode sans échec avec prise en charge réseau. MalwareBytes a découvert 9 problèmes, les as résolu, puis RogueKiller en a découvert une vingtaine et les a supprimé.
Au reboot suivant, mon ordi fonctionne, mais :
1/ Ati Catalyst Center est HS
2/ Mes icones ont disparus.
3/ TOUT mes fichiers ont disparus, bien que les utilitaires et logiciels fonctionnent impec'.
Ce qui est étrange, c'est que le disque dur n'est pas vide (81 Go occupé, soit autant qu'avant le virus) et qu'il m'affiche les miniatures dans les prévisualisations de dossiers ; en revanche, tout les dossiers sont vides, et les raccourcis sont tout morts.
A priori, rien n'est donc perdu : tout les chemins d'accès en revanche ont l'air d'avoir disparu ...
Que faire pour récupérer l'accès à mes données ?
Cordialement,
Renaud.
Rapports :
MalwareBytes :
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org
Version de la base de données: v2012.01.29.02
Windows Vista x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.6000.16982
eloise :: PC-DE-ELOISE [administrateur]
29/01/2012 20:30:52
mbam-log-2012-01-29 (20-30-52).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 248422
Temps écoulé: 39 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 7
C:\Users\eloise\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S3OSNNGK\22[1].exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\MicrosoftNT\winserver.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\msimg32.dll (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\rncowsmexa.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\~!#C60A.tmp (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\jika0.7813644678955182.exe (Exploit.Drop.6) -> Mis en quarantaine et supprimé avec succès.
C:\Users\eloise\AppData\Local\Temp\oleda0.9467830561677545.exe (Exploit.Drop.7) -> Mis en quarantaine et supprimé avec succès.
(fin)
RK1 :*******************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 21:16:16
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 18 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-854154375-3448341404-582831391-1000[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> FOUND
[BLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RK2 :*************************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 21:16:49
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 18 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-854154375-3448341404-582831391-1000[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> FOUND
[BLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
RK3*******************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Suppression -- Date : 29/01/2012 21:16:58
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 17 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : MNotIPhtsh.exe (C:\ProgramData\MNotIPhtsh.exe) -> DELETED
[BLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> DELETED
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
RK4*******************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 21:17:03
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
RK5**********************************************
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: eloise [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 21:17:07
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 980b0fd32f4af94ad694e1c0533c4f98
[BSP] d92bc7459edc94960b06ba4abd410e65 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 320070 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
FIN DES CINQ REPORT QU'A CREE ROGUEKILLER POUR UN SEUL SCAN;
A voir également:
- Virus => Perte de tout les fichiers
- Virus mcafee - Accueil - Piratage
- Explorateur de fichiers - Guide
- Renommer des fichiers en masse - Guide
- Fichiers epub - Guide
- Gestionnaire de fichiers - Télécharger - Gestion de fichiers
47 réponses
salut non j'ai utilisé la dernière version en téléchargement sur le site de l'éditeur où les seules options sont "scan" et "supprimer".
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici le rapport : http://pjjoint.malekal.com/files.php?id=20120130_o14h10n13r6e12
Par ailleurs, l'erreur évoquée ab initio est réapparue deux fois (je l'ai ignorée) et présente le texte suivant :
Titre de la textbox: autolt v3: Windows
Contenu : exeption processing message 0x0000013parameters 0x759C023C 0x83D41E2C 0x759C023C 0x759C023C
Par ailleurs, l'erreur évoquée ab initio est réapparue deux fois (je l'ai ignorée) et présente le texte suivant :
Titre de la textbox: autolt v3: Windows
Contenu : exeption processing message 0x0000013parameters 0x759C023C 0x83D41E2C 0x759C023C 0x759C023C
Ah, j'oubliais : Tout les fichiers sont accessibles, désormais ; ainsi que les icones ; ainsi que le wallpaper.
Seul la barre de lancement rapide et le menu initial demarrer sont vides d'icônes
Seul la barre de lancement rapide et le menu initial demarrer sont vides d'icônes
pour commencer windows est pas à jour => à faire
internet explorer est pas à jour => à faire
===================
desinstalle adobe reader 9 on mettra le 10
desinstalle Java update 18 on mettra la 30
===================
tu avais la possibilité de faire continuer non ?
internet explorer est pas à jour => à faire
===================
desinstalle adobe reader 9 on mettra le 10
desinstalle Java update 18 on mettra la 30
===================
tu avais la possibilité de faire continuer non ?
Windows pas à jour : l'utilisatrice l'a désactivé suite à la perte du son (après une update), mais je vais y pourvoir.
IE, pareil.
Acrobat 10, je fais le changement.
Java update 18 je vais essayer.
Et oui, sur le message, j'avais le choix entre continuer annuler et recommencer.
IE, pareil.
Acrobat 10, je fais le changement.
Java update 18 je vais essayer.
Et oui, sur le message, j'avais le choix entre continuer annuler et recommencer.
Dernière chose avant de déco : après ces MàJ, y'aura-t'il d'autres manip' ? Ou l'ordi est il déjà sain et peut il être utilisé comme d'habitude ?
Merci d'avance,
Renaud
(Update en cours, Acrobat ok, Java en cours, WUpdate bloque je réessaye demain)
Merci d'avance,
Renaud
(Update en cours, Acrobat ok, Java en cours, WUpdate bloque je réessaye demain)
Bon toutes les mises à jours ont été effectuées.
La barre de lancement rapide et le menu initial démarrer sont toujours vides d'icônes, à part ça le système à l'air de fonctionner normalement.
Reste-t-il d'autres manipulations?
La barre de lancement rapide et le menu initial démarrer sont toujours vides d'icônes, à part ça le système à l'air de fonctionner normalement.
Reste-t-il d'autres manipulations?
Vous ne m'avez pas demandé d'autre rapport depuis la première exécution de PreScan , dois-je le relancer et vous poster un nouveau rapport ?
http://pjjoint.malekal.com/files.php?id=20120131_d15u10f99e12
j'ignore pourquoi il n'est pas complet voici à nouveau le rapport du premier et seul pre scan effectué
Faut-il refaire tourner pre scan une deuxième fois, et vous envoyer le rapport?
j'ignore pourquoi il n'est pas complet voici à nouveau le rapport du premier et seul pre scan effectué
Faut-il refaire tourner pre scan une deuxième fois, et vous envoyer le rapport?
Autre chose, le programme CCC.exe refuse de fonctionner et ce à chaque fois que la machine s'allume depuis le virus , une fenetre m'informe :" Catalyst Control Centre : Host application a cessé de fonctionner".
c'est le seul programme visible qui refuse de fonctionner les autres oui.
y-aurait-il une manipulation à effectuer?
merci encore pour le temps consacré.
c'est le seul programme visible qui refuse de fonctionner les autres oui.
y-aurait-il une manipulation à effectuer?
merci encore pour le temps consacré.
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
PROBLÈME : j'ai suivi toutes les instructions à la lettre et combofix a fini de tourner en un temps record mais depuis qu'il a fini je ne peux plus ouvrir aucuns des programmes concernant la sécurité de mon ordinateur ni aucun traitement de texte en tout genre.
j'ai réactivé avira mais impossible de m'approcher de windows defender
ni meme de Rogue killer.
mon PC est il a la merci d'un virus si je le reconnecte (je suis sur une autre machine en ce moment)??
Par ailleurs en etznt sur un autre reseau internet est ce que les machines connectées au reseau sont en danger??
autre chose puis je tenter un transfert de données afin de vous envoyer le contenu de C:\Combofix.txt ou bien est ce risqué??
j'ai réactivé avira mais impossible de m'approcher de windows defender
ni meme de Rogue killer.
mon PC est il a la merci d'un virus si je le reconnecte (je suis sur une autre machine en ce moment)??
Par ailleurs en etznt sur un autre reseau internet est ce que les machines connectées au reseau sont en danger??
autre chose puis je tenter un transfert de données afin de vous envoyer le contenu de C:\Combofix.txt ou bien est ce risqué??