Windows detected a hard disk problem Résolu/Fermé

Question

Bonjour, 

J'ai un problème que plusieurs personnes ont déjà eu mais n'étant pas très doué en informatique j'aurais besoin d'une aide. En fait je n'ai plus accès à mes dossiers, mon bureau est tout noir, mes raccourcis ont disparu et j'ai reçu une série de messages, ''Windows detected a hard disk problem'' notamment, qui me demandent de faire un scan. Mon ordinateur fonctionne sous Windows Vista.
 J'ai bien téléchargé rogue killer, fait un scan mais c'est ensuite que je ne sais pas trop quelle est la marche à suivre...
Ce serait très aimable si qqun pouvait m'indiquer la marche à suivre maintenant. Merci par avance !!


Configuration: Windows Vista / Internet Explorer 9.0

kalimusic · Answer

Bonsoir,

Copie/colle le rapport de RogueKiller que tu as obtenu

A +

jojo21 · Answer

Merci de répondre aussi vite !
Voici le rapport :

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Jonathan [Droits d'admin]
Mode: Recherche -- Date: 26/03/2012 18:36:35

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 20 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : KvAvALPQoU.exe (C:\ProgramData\KvAvALPQoU.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1979603397-3536162248-2164040426-1000[...]\Run : KvAvALPQoU.exe (C:\ProgramData\KvAvALPQoU.exe) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[78] : NtCreateThread @ 0x82AD3BB4 -> HOOKED (Unknown @ 0x9EE2A18C)
SSDT[194] : NtOpenProcess @ 0x82A62FA8 -> HOOKED (Unknown @ 0x9EE2A178)
SSDT[201] : NtOpenThread @ 0x82A5E4FA -> HOOKED (Unknown @ 0x9EE2A17D)
SSDT[334] : NtTerminateProcess @ 0x82A33143 -> HOOKED (Unknown @ 0x9EE2A187)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++
--- User ---
[MBR] a9e3f6d8d9e823828a9ba08c0c5f84ca
[BSP] b579908ca45381a645d56b4efb112fae : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13144 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26920960 | Size: 463794 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

kalimusic · Answer

Je passais par là :)

1. Relance RogueKiller.exe  
&#x25CF; Clique sur Suppression
&#x25CF; Clique sur Rapport pour l'ouvrir.

2. Relance RogueKiller.exe 
&#x25CF; Clique sur Racc. RAZ  
&#x25CF; Clique sur Rapport pour l'ouvrir.

3. Copie/colle les 2 rapports dans ton prochain message.

Dis moi si tu as retrouvé ton bureau, les icônes, les dossiers, le menu, etc...

A +

jojo21 · Answer

Je ne sais pas si c'est normal mais l'étape de suppression est vraiment longue... Le statut est en "recherche détournement des droits" depuis une bonne vingtaine de minutes...

Dès que c'est terminé je poste les deux rapports!

kalimusic · Answer

Non, ce n'est pas normal.

Si nécéssaire relance la suppression en mode sans échec 

A +

jojo21 · Answer

J'ai relancé en mode sans échec, cette fois-ci la suppression a été rapide. Je suis en train d'effectuer la dernière étape, et je poste les rapports. Merci pour l'aide en tt cas!

kalimusic · Answer

ok, pas soucis.

Ensuite on fera une analyse du système.

A +

jojo21 · Answer

Alors voici le premier rapport après la suppression :

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec
Utilisateur: Jonathan [Droits d'admin]
Mode: Suppression -- Date: 26/03/2012 20:22:34

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 20 ¤¤¤
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++
--- User ---
[MBR] a9e3f6d8d9e823828a9ba08c0c5f84ca
[BSP] b579908ca45381a645d56b4efb112fae : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13144 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26920960 | Size: 463794 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Et le second après la dernière étape :

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec
Utilisateur: Jonathan [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 26/03/2012 20:54:46

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 39 / Fail 0
Lancement rapide: Success 9 / Fail 0
Programmes: Success 214 / Fail 0
Menu demarrer: Success 44 / Fail 0
Dossier utilisateur: Success 158791 / Fail 0
Mes documents: Success 1823 / Fail 0
Mes favoris: Success 1244 / Fail 0
Mes images: Success 26035 / Fail 0
Ma musique: Success 3744 / Fail 0
Mes videos: Success 1091 / Fail 0
Disques locaux: Success 197050 / Fail 3
Sauvegarde: [FOUND] Success 56 / Fail 0

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x2 --> Restored
[E:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[F:] \Device\CdRom0 -- 0x5 --> Skipped
[G:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Quelle est la prochaine étape ?
En tt cas j'ai l'impression qu'en dehors de l'écran du bureau, tout est revenu comme avant. :)

kalimusic · Answer

re,

Redéfini ton image de fond d'écran.
Redémarre en mode normal si tu peux.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
%temp%\smtmp\*.* /s
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

jojo21 · Answer

Mon antivirus a découvert un virus pendant l'analyse, j'imagine que c'est dû à une incompatibilité avec otl ? Je dois dc ignorer la demande de l'antivirus ? (Au passage j'ai antivir version gratuite je ne sais pas s'il est efficace) Merci !

kalimusic · Answer

Aucune incompatibilité avec l'outil de diagnostic OTL.
Continue l'analyse et poste les rapports comme demandé.

Sur quel fichier Antivir a eu une détection ?

A+

jojo21 · Answer

Ah mince! L'analyse est pour le moment en suspend à cause de l'antivirus; j'ignore la demande de l'antivirus ou je supprime l'élément infecté ? 
Le fichier concerné : C:\Users\Jonathan\AppData\Local\Temp\0.5569431323701447.exe
Je précise que selon antivir ce fichier contient le cheval de troie TR/Crypt.ULMP.Gen

kalimusic · Answer

Fait supprimer si tu peux.

A +

jojo21 · Answer

J'ai supprimé le fichier.
Sinon le premier rapport : http://cjoint.com/?3CAwvSnLNrz 
Et le second : http://cjoint.com/?3CAww6l8aAx

kalimusic · Answer

ok,

1. Désinstalle Ad-Adware, peu efficace et inutile.

2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

3. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

&#x25CF; Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#x25CF; Clique dans l'onglet du haut "Recherche"
&#x25CF; Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
&#x25CF; Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression. 

4. Héberge les rapports et donne les liens

A +

jojo21 · Answer

Bonjour, 

Voici les deux rapports demandés : 

Le premier d'OTL : http://cjoint.com/?3CCjiRcaC19  

Et le second de MBAM après suppression de la sélection : 

Malwarebytes Anti-Malware 1.60.1.1000 
www.malwarebytes.org 

Version de la base de données: v2012.03.26.07 

Windows Vista Service Pack 2 x86 NTFS 
Internet Explorer 9.0.8112.16421 
Jonathan :: PC-DE-JONATHAN [administrateur] 

27/03/2012 14:03:09 
mbam-log-2012-03-27 (14-03-09).txt 

Type d'examen: Examen complet 
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM 
Options d'examen désactivées: P2P 
Elément(s) analysé(s): 656981 
Temps écoulé: 11 heure(s), 28 minute(s), 32 seconde(s) 

Processus mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Module(s) mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Clé(s) du Registre détectée(s): 0 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre détectée(s): 0 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre détecté(s): 0 
(Aucun élément nuisible détecté) 

Dossier(s) détecté(s): 0 
(Aucun élément nuisible détecté) 

Fichier(s) détecté(s): 3 
C:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Mis en quarantaine et supprimé avec succès. 
C:\Users\Jonathan\Desktop\RK_Quarantine\KvAvALPQoU.exe.vir (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès. 
c:\_otl\movedfiles\03262012_231048\c_programdata\kvavalpqou.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès. 

(fin)

kalimusic · Answer

Bonjour,

1. Télécharge aswMBR sur ton Bureau.

&#x25CF; Lance  aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Refuse la demande de mise à jour
&#x25CF; Clique sur le bouton Scan
&#x25CF; Patiente pendant l'analyse
&#x25CF; Clique sur Save log 
&#x25CF; Enregistre le rapport sur le Bureau. 

2. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

3. Héberge les 2 rapports et donne moi les liens.

Encore des soucis ?

A +

jojo21 · Answer

Le rapport aswMBR : http://cjoint.com/?3CCkgVXEUCo 

Et celui de OTL : http://cjoint.com/?3CCkhQBEWfh

De mon côté j'ai l'impression que tout est redevenu normal.

kalimusic · Answer

jojo21,

Tout parait ok aussi pour moi.

1. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF; Dans la partie "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

2. Relance OTL en tant qu'administrateur  
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau

3. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant 

4. Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour :
Tutoriel SX Check&Update

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

jojo21 · Answer

Je supprime également RogueKiller et aswMBR ? 

Et une dernière chose, quel antivirus me conseilles tu ? (notamment pour éviter ce genre de soucis) 

En tt cas je vais suivre tes indications et un grand merci pour ton aide et ta disponibilité !!

kalimusic · Answer

Je supprime également RogueKiller et aswMBR ? 
Oui, c'était indiqué de supprimer les outils utilisés.

Et une dernière chose, quel antivirus me conseilles tu ? (notamment pour éviter ce genre de soucis) 
Je te conseille de mettre à jour le système et les logiciels sensibles aux failles de sécurité, d'éviter de prendre des risques, etc...L'antivirus est un dernier rempart, c'est tout. Voir l'article de Malekal.

A +

jojo21 · Answer

Ok !

Merci encore et bonne continuation !