je viens d'être attaqué par un virus effaceur

Question

Bonjour, 

je viens vers vous j'ai un très gros problème, je viens d'être attaqué par un virus, énomément de pages avec croix rouges et blanches ont envahi mon écran disant que mes fichiers étaient corrompus et que risquais de tous les perdre. une analyse a été faite, après cela j'ai essayé de réparer les erreurs puis j'ai une page avec une proposition d'antivirus payant qui s'est affichée.

par la suite paniqué j'ai éteint mon ordinateur, en le rallumant plus aucun fichier ni dossier n'était présent sur le bureau ni dans l'onglet démarré, je ne pouvais pas accéder a mon disque dur. cependant en tapant le nom de quelques fichiers dans la barre de recherche dans démarrer, j'ai reussi à les ouvrir, ce qui me laisse penser qu'ils ne sont pas supprimés mais qu'ils me sont cachés.

pouvez vous m'aider? MERCI



Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

g3n-h@ckm@n · Answer

ben desactive tous les agents Avast et desactive aussi la sandbox dans "protection supplementaires"

lilian34 · Answer

Bonjour, 

Voici après beaucoup d'insistance auprès de mon ordinateur le rapport que vous m'avez demandé. 

http://pjjoint.malekal.com/files.php?id=20120222_m5r8c8j14g15 

Merci beaucoup pour votre grande aide, c'est très gentil. 

Lilian.

lilian34 · Answer

Re, 

Mon bureau est de retour mais par exemple ma partie utilisateur / mon prénom ne s'affiche pas (on voit un cadenas).

Merci à vous pour l'aide.

g3n-h@ckm@n · Answer

mozilla pas à jour => à faire
adobe reader pas à jour => à desinstaller
desinstalleSpybot il vaut rien
desinstalle DVDvideosoftToolbar
desinstalle VuzeRemote Toolbar
desinstalle conduitEngine
desinstalle Java update 26

========

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"QuickTime Task"=-
"iTunesHelper"=-
[HKU\S-1-5-21-1225421773-2827399891-3856076121-1001\Software\Microsoft\Windows\CurrentVersion\Run] 
"msnmsgr"=-
"Vxolumip"=-
"SpybotSD TeaTimer"=-
"Facebook Update"=-
[-HKEY_CLASSES_ROOT\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[-HKEY_CLASSES_ROOT\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"=-
[-HKEY_CLASSES_ROOT\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{197960FF-7D3A-41CD-9075-D456B5079A34}]
[-HKCU\Software\5GUTNY6MFK]     
[-HKCU\Software\Onjpdgqxh] 
[-HKCU\Software\R8388QA8U8]     
[-HKCU\Software\Ask.com.tmp]     
[-HKLM\Software\ASK]     
[-HKLM\Software\BrowserChoice]     
[-HKLM\Software\conduitEngine]     
[-HKLM\Software\Onjpdgqxh]

txt::
C:\windows\System32\Tasks\Cwmskpt  

file::
C:\Users\Lilian\AppData\Local\onvcske2.dll
C:\Users\Lilian\Downloads\vlc-1.1.4-win32.exe     
C:\windows\Tasks\Cwmskpt.job 
C:\windows\System32\Tasks\Cwmskpt 

folder::
C:\Users\Lilian\AppData\Roaming\Mozilla\Firefox\Profiles\1zeoytqg.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}     
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\save2pc 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy     
C:\ProgramData\Spybot - Search & Destroy     
C:\ProgramData\Windows 
C:\Program Files\Conduit 
C:\Program Files\ConduitEngine
C:\Program Files\Spybot - Search & Destroy     

Mbr::    

clean::      

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

==================

&#9654 Télécharge Sur cette page : AdwCleaner (de Xplode) 

&#9654 clique sur Télécharger et enregistre le fichier sur ton Bureau

&#9654 Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation

==================================

&#9654&#9654&#9654  Sous Vista et Windows 7 /!\ :

il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

==================================

Sur le menu principal :
    
&#9654 clique sur Suppression et patiente le temps de l'analyse

&#9654 poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

Lilian34 · Answer

encore merci pour toute cette aide, 

j'ai tout suivi à la lettre.

alors voila le rappart du pré scan : http://pjjoint.malekal.com/files.php?id=20120222_m14v9w10k14e8

et le rapport de adwcleaner : http://pjjoint.malekal.com/files.php?id=20120222_u7p7t7o8h8

:)

g3n-h@ckm@n · Answer

&#9654 Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : clique pour la version FREE

ou : lien mirroir

&#9654 enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

&#9654 Installe-le puis configure-le comme ceci :

Configuration

si tu n'as rien modifié fais directement quitter sinon enregistrer 

&#9654 Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

&#9654&#9654&#9654 Ce logiciel gratuit est à garder.

===================================================

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

&#9654 Exécute le fichier après l'installation de MBAM

===================================================

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.
&#9654 Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
&#9654 Sélectionne "Exécuter un examen complet"
&#9654 Clique sur "Rechercher"
&#9654 L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
&#9654 Ferme tes navigateurs.
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats.
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. 

&#9654 Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc : &#9654  fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : &#9654 clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

Lilian34 · Answer

voilà le dernier rapport: 

http://pjjoint.malekal.com/files.php?id=20120223_b7v9u7x5i15

merci du temps passé à m'aider.

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

Lilian34 · Answer

bonjour,

deux rapports se sont ouverts : 

le premier rapport OTL : http://pjjoint.malekal.com/files.php?id=20120223_e13g7k13t8z10

et le deuxième appelé "Extras" : http://pjjoint.malekal.com/files.php?id=20120223_p6z145s14b13

merci :)

g3n-h@ckm@n · Answer

ceci n'a pas été fait comme demandé ou que partiellement :

mozilla pas à jour => à faire
adobe reader pas à jour => à desinstaller
desinstalleSpybot il vaut rien
desinstalle DVDvideosoftToolbar
desinstalle VuzeRemote Toolbar
desinstalle conduitEngine
desinstalle Java update 26

g3n-h@ckm@n · Answer

&#9654 Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : clique pour la version FREE

ou : lien mirroir

&#9654 enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

&#9654 Installe-le puis configure-le comme ceci :

Configuration

si tu n'as rien modifié fais directement quitter sinon enregistrer 

&#9654 Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

&#9654&#9654&#9654 Ce logiciel gratuit est à garder.

===================================================

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

&#9654 Exécute le fichier après l'installation de MBAM

===================================================

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.
&#9654 Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
&#9654 Sélectionne "Exécuter un examen complet"
&#9654 Clique sur "Rechercher"
&#9654 L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
&#9654 Ferme tes navigateurs.
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats.
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. 

&#9654 Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc : &#9654  fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : &#9654 clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

lilian34 · Answer

Bonjour, j'ai refais une analyse avec MBAM 

Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.23.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Lilian :: LILIAN-PC [administrateur]

Protection: Désactivé

25/02/2012 12:00:44
mbam-log-2012-02-25 (12-00-44).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 348506
Temps écoulé: 1 heure(s), 39 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

lilian34 · Answer

bonjour,

mon fichier utilisateur (contenant notamment mes photos) m'est toujours caché, enfin lorsque je l'ouvre il y a marqué "dossier vide" mais lors des diverses analyses avec avast ou MBAM je vois que les fichiers qui ont "disparus" sont analysés, donc bel est bien présents sur le disque dur.

savez vous comment faire pour les faire réapparaitre?

merci

g3n-h@ckm@n · Answer

la sandbos d'avast est bien desactivée ?

lilian34 · Answer

pour les premiers scans avast était totalement désinstallé, je l'ai remis hier car j'ai besoin du web pour travailler et malgré que tout ne soit pas revenu à la normale le pc semble bien fonctionner.

donc depuis hier c'était activé par defaut, je viens de la désactiver à l'instant.

g3n-h@ckm@n · Answer

je te parle de la sandbox....

lilian34 · Answer

et qu'est ce la "sandbox" si ce n'est la protection supplémentaire de avast?

dsl je ne sais pas.

en tout cas la sandbox de avast était activé, et là je l'ai désactivé

g3n-h@ckm@n · Answer

voila pourquoi les outils passaient pas...

lilian34 · Answer

désolé... si je viens demander de l'aide c'est que je ne m'y connais pas, dans ce cas difficile de deviner qu'il faut désactiver une sandbox, quoi qu'il en soit elle était désactivée pour tous les premiers outils vu qu'avast avait été totalement désinstallé.

que dois je relancer?

g3n-h@ckm@n · Answer

ben je sais pas exactement à partir de quand tu l'as reinstallé....

lilian34 · Answer

j'ai refais un scan avec MBAM sans la sandbox de avast 

Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.25.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Lilian :: LILIAN-PC [administrateur]

Protection: Désactivé

26/02/2012 13:47:39
mbam-log-2012-02-26 (13-47-39).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 344624
Temps écoulé: 1 heure(s), 47 minute(s), 4 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

refais OTL stp

lilian34 · Answer

ok alors voila les deux rapports qui se sont affichés apres l'analyse

EXTRAS : http://pjjoint.malekal.com/files.php?id=20120226_l8y9f5z14s13

et OTL : http://pjjoint.malekal.com/files.php?id=20120226_w13b5y10y11d12

merci

g3n-h@ckm@n · Answer

mets adobe reader à jour

===

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com 
IE - HKU\S-1-5-21-1225421773-2827399891-3856076121-1001\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found     
FF - prefs.js..browser.search.defaultthis.engineName: "Search" 
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" 
FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:3.7.0.6     
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com" 
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012/02/24 01:16:19 | 000,003,910 | ---- | M] () -- C:\Users\Lilian\AppData\Roaming\Mozilla\Firefox\Profiles\1zeoytqg.default\searchplugins\sweetim.xml     
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)     
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)     
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

lilian34 · Answer

voilà le rapport : http://pjjoint.malekal.com/files.php?id=20120226_k9s5x12u5s15

merci ^^

g3n-h@ckm@n · Answer

1.2 Go de gagnés ...^^

encore des soucis ?

lilian34 · Answer

merci pour toute cette aide.

j'ai pas encore tout récupéré, certains fichiers ne sont pas revenus mais ils sont là, mon disque dur est toujours plein et quand je fais un scan (avec n'importe quel outil) je vois que ses dossiers et fichiers sont balayés

notamment mon dossier utilisateur, quand je clique sur mon disque dur, je vais dans utilisateur, je clique sur le dossier qui porte mon nom et cela me marque "dossier vide" c'est là dedans que se trouve tout ce qui me manque.

même en tapant le nom du dossier ou fichier dans la barre de recherche dans démarrer, cela ne me trouve rien...

Si vous avez un idée de ce qu'il se passe et de comment y remédier je suis preneur ^^ merci

g3n-h@ckm@n · Answer

et quand tu rentres là ou c'est marqué dossier vide ca fait quoi ?

lilian34 · Answer

dans le dossier utilisateur il y a trois autres dossier : Défault, Public et celui qui porte mon prénom, et le dossier qui porte mon nom (celui qui contient tout ce que je voudrai récupérer) il a un cadenas marron dessus, quand je rentre dans ce dossier il n'y a rien et il y a écrit "dossier vide" à l'endroit ou se trouvent normalement tous les fichiers

g3n-h@ckm@n · Answer

et en affichant les fichiers cachés ?

lilian34 · Answer

ah mince merci je n'y avais pas pensé (:s dsl) en effet ils sont là mais ils sont "grisés" ou "blanchis" cela fait comme qd on fait "couper" avant de coller, les fichiers sont pas sous leurs formes (couleurs) normales mais ils sont là!!! 

merci :)

g3n-h@ckm@n · Answer

tu les as supprimé les deux ?

lilian34 · Answer

surpprimé quoi?

g3n-h@ckm@n · Answer

désolé j'étais ailleurs 

je comprends pas comment ca se fait que t'as pas recupéré tes dossiers en visibles....

lilian34 · Answer

ok pas de soucis, même s'ils ne s'affichent pas normalement je peux y avoir acces ;) 

ça me va lol

merci pour tte l'aide

g3n-h@ckm@n · Answer

supprime pre_scan retelecharge-le et repasse-le....

Je viens d'être attaqué par un virus effaceur

37 réponses

Votre réponse

Discussions similaires

Newsletters