Smart HDD

Harmonyy -  
 Harmonyy -
Bonjour,

Je naviguais tranquilement il y a quelques instant quand j'ai reçu une trentaine de message d'erreur comme celui ci : " a Write command during the test has failed to complete. This may be due to a media or read/write error. The system generates an exception error when using a reference to an invalid system memory address."
Smart HDD que je n'avais jamais vu sur mon ordi s'est mis en route et m'a indiqué que mon ordinateur est dans un stade critique.
Tous mes fichiers ont disparu, internet également je suis actuellement sur ma dernière fenêtre ouverte.
En faisant une recherche j'ai vu que c'était un virus et qu'il fallait faire un scan OTL ou Roguekiller mais j'avoue être très nulle en informatique et ne sait donc pas du tout ce qu'il faut faire.
De l'aide serait vraiment bienvenue, je suis en panique totale !!

Merci !

40 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par un rogue ou virus déclenche des messages d'erreur et l'apparition d'un avertissement Smart HDD, accompagnés de la disparition de fichiers et d'un accès Internet compromis. Des solutions proposées privilégient des scans avec OTL et RogueKiller puis Malwarebytes et aswMBR, accompagnés d'une vérification du MBR et des rapports pour identifier les éléments malveillants et les supprimer. En pratique, la démarche combine la collecte de rapports et la remise en route des outils, puis l'hébergement des résultats et la communication des liens pour suivi. Des indications complémentaires insistent sur la vérification des entrées de registre et des clés de démarrage inhabituelles, et sur la prudence vis-à-vis des alertes trompeuses sans établir définitivement l'état du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Tu es infecté par un rogue, surtout ne tient pas compte de ses messages d'alertes.

    ● Télécharge RogueKiller (par Tigzy) sur le bureau
    Ferme toutes tes applications en cours
    ● Lance RogueKiller.exe
    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
    ● Laisse le prescan se terminer, clique sur Scan
    ● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

    A +
    1
    1. melusine40 Messages postés 51 Statut Membre
       
      bonsoir,
      j'ai le meme problème que Harmonyy...Puis je t envoyer mes rapports aussi?

      Merci d'avance pour ton aide !!
      0
    2. melusine40 Messages postés 51 Statut Membre
       
      RogueKiller V7.3.2 [20/03/2012] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: https://www.luanagames.com/index.fr.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
      Demarrage : Mode normal
      Utilisateur: Frédéric [Droits d'admin]
      Mode: Recherche -- Date: 03/04/2012 19:48:03

      ¤¤¤ Processus malicieux: 0 ¤¤¤

      ¤¤¤ Entrees de registre: 0 ¤¤¤

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [CHARGE] ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      127.0.0.1 localhost
      ::1 localhost


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: ST3500630AS ATA Device +++++
      --- User ---
      [MBR] ee0f5a650ddde16a52b458ff1dc38d2b
      [BSP] c47d98c2536b0f310784b62bd18b9787 : Windows Vista MBR Code
      Partition table:
      0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo
      1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 310627 Mo
      3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 660742144 | Size: 154311 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[3].txt >>
      RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
      0
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    merci, on continue le nettoyage :

    1. Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

    2. Télécharge MBAM et installe le selon l'emplacement par défaut.
    (l'essai de la version pro est facultative)

    ● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    ● Clique dans l'onglet du haut "Recherche"
    ● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ● Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ● Clique sur OK puis "Afficher les résultats"
    ● Choisis l'option "Supprimer la sélection"
    ● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ● Sinon le rapport s'ouvre automatiquement après la suppression.

    3. Héberge les rapports et donne moi le lien.

    A +
    1
  3. Harmonyy
     
    Merci beaucoup !

    Donc voilà le rapport auquel je ne comprends rien du tout :

    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Harmony [Droits d'admin]
    Mode: Recherche -- Date: 03/04/2012 17:41:30

    ¤¤¤ Processus malicieux: 5 ¤¤¤
    [WINDOW : SMART HDD] 1toGDUeQgBbopU.exe -- C:\ProgramData\1toGDUeQgBbopU.exe -> KILLED [TermProc]
    [BLACKLIST] d3d10_1.dll -- C:\windows\system32\d3d10_1.dll -> UNLOADED
    [SUSP PATH] cacaoweb.exe -- C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc]
    [SUSP PATH] lIWVvyNmCed.exe -- C:\ProgramData\lIWVvyNmCed.exe -> KILLED [TermProc]
    [SUSP PATH] 1toGDUeQgBbopU.exe -- C:\ProgramData\1toGDUeQgBbopU.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 23 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
    [SUSP PATH] HKCU\[...]\Run : lIWVvyNmCed.exe (C:\ProgramData\lIWVvyNmCed.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-1788408006-2358670243-3668810604-1000[...]\Run : cacaoweb ("C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-1788408006-2358670243-3668810604-1000[...]\Run : lIWVvyNmCed.exe (C:\ProgramData\lIWVvyNmCed.exe) -> FOUND
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Infection : Rogue.FakeHDD|Root.MBR ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++
    --- User ---
    [MBR] 2c231827aca3c8948dd734e7a61eb630
    [BSP] dddec792edb3b380ca08e8d8283d487f : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
    1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo
    User != LL1 ... KO!
    --- LL1 ---
    [MBR] 36b0e02bdb65ca43f2c3c13755fc7f34
    [BSP] a9c6abbab08e6c6158fb67429b99e875 : MaxSS MBR Code!
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
    1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo
    User != LL2 ... KO!
    --- LL2 ---
    [MBR] 36b0e02bdb65ca43f2c3c13755fc7f34
    [BSP] a9c6abbab08e6c6158fb67429b99e875 : MaxSS MBR Code!
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
    1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Si la détection de RogueKiller est avérée, le rogue a installé une infection beaucoup plus coriace. Laisse toi guider, je regarde les rapports pour toi.

    1. Relance RogueKiller.exe
    ● Clique sur Suppression
    ● Clique sur Rapport pour l'ouvrir

    2. Relance RogueKiller.exe
    ● Clique sur Racc. RAZ
    ● Clique sur Rapport pour l'ouvrir

    3. Copie/colle les 2 rapports dans ton prochain message.

    Dis moi si tu as retrouvé ton bureau, tes dossier, le menu démarrer, etc...

    A +

    «La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
    0
    1. melusine40 Messages postés 51 Statut Membre
       
      RogueKiller V7.3.2 [20/03/2012] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: https://www.luanagames.com/index.fr.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
      Demarrage : Mode normal
      Utilisateur: Frédéric [Droits d'admin]
      Mode: Suppression -- Date: 03/04/2012 19:52:51

      ¤¤¤ Processus malicieux: 0 ¤¤¤

      ¤¤¤ Entrees de registre: 0 ¤¤¤

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [CHARGE] ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      127.0.0.1 localhost
      ::1 localhost


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: ST3500630AS ATA Device +++++
      --- User ---
      [MBR] ee0f5a650ddde16a52b458ff1dc38d2b
      [BSP] c47d98c2536b0f310784b62bd18b9787 : Windows Vista MBR Code
      Partition table:
      0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo
      1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 310627 Mo
      3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 660742144 | Size: 154311 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[4].txt >>
      RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
      0
    2. melusine40 Messages postés 51 Statut Membre
       
      RogueKiller V7.3.2 [20/03/2012] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: https://www.luanagames.com/index.fr.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
      Demarrage : Mode normal
      Utilisateur: Frédéric [Droits d'admin]
      Mode: Raccourcis RAZ -- Date: 03/04/2012 19:56:51

      ¤¤¤ Processus malicieux: 0 ¤¤¤

      ¤¤¤ Driver: [CHARGE] ¤¤¤

      ¤¤¤ Attributs de fichiers restaures: ¤¤¤
      Bureau: Success 0 / Fail 0
      Lancement rapide: Success 0 / Fail 0
      Programmes: Success 1 / Fail 0
      Menu demarrer: Success 1 / Fail 0
      Dossier utilisateur: Success 110 / Fail 0
      Mes documents: Success 2 / Fail 0
      Mes favoris: Success 0 / Fail 0
      Mes images: Success 0 / Fail 0
      Ma musique: Success 0 / Fail 0
      Mes videos: Success 0 / Fail 0
      Disques locaux: Success 1642 / Fail 0
      Sauvegarde: [NOT FOUND]

      Lecteurs:
      [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
      [D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
      [E:] \Device\CdRom0 -- 0x5 --> Skipped
      [F:] \Device\HarddiskVolume4 -- 0x2 --> Restored
      [G:] \Device\HarddiskVolume5 -- 0x2 --> Restored
      [H:] \Device\HarddiskVolume6 -- 0x2 --> Restored
      [I:] \Device\HarddiskVolume7 -- 0x2 --> Restored
      [J:] \Device\HarddiskVolume8 -- 0x2 --> Restored

      ¤¤¤ Infection : ¤¤¤

      Termine : << RKreport[5].txt >>
      RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Harmonyy
     
    Alors, voilà le 1er rapport :

    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Harmony [Droits d'admin]
    Mode: Suppression -- Date: 03/04/2012 17:51:28

    ¤¤¤ Processus malicieux: 5 ¤¤¤
    [WINDOW : SMART HDD] 1toGDUeQgBbopU.exe -- C:\ProgramData\1toGDUeQgBbopU.exe -> KILLED [TermProc]
    [BLACKLIST] d3d10_1.dll -- C:\windows\system32\d3d10_1.dll -> UNLOADED
    [SUSP PATH] cacaoweb.exe -- C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc]
    [SUSP PATH] lIWVvyNmCed.exe -- C:\ProgramData\lIWVvyNmCed.exe -> KILLED [TermProc]
    [SUSP PATH] 1toGDUeQgBbopU.exe -- C:\ProgramData\1toGDUeQgBbopU.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 21 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
    [SUSP PATH] HKCU\[...]\Run : lIWVvyNmCed.exe (C:\ProgramData\lIWVvyNmCed.exe) -> DELETED
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Harmony\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Infection : Rogue.FakeHDD|Root.MBR ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++
    --- User ---
    [MBR] 2c231827aca3c8948dd734e7a61eb630
    [BSP] dddec792edb3b380ca08e8d8283d487f : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
    1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo
    User != LL1 ... KO!
    --- LL1 ---
    [MBR] 36b0e02bdb65ca43f2c3c13755fc7f34
    [BSP] a9c6abbab08e6c6158fb67429b99e875 : MaxSS MBR Code!
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
    1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo
    User != LL2 ... KO!
    --- LL2 ---
    [MBR] 36b0e02bdb65ca43f2c3c13755fc7f34
    [BSP] a9c6abbab08e6c6158fb67429b99e875 : MaxSS MBR Code!
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
    1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    2e rapport :

    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Harmony [Droits d'admin]
    Mode: Raccourcis RAZ -- Date: 03/04/2012 17:55:52

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Attributs de fichiers restaures: ¤¤¤
    Bureau: Success 31 / Fail 0
    Lancement rapide: Success 15 / Fail 0
    Programmes: Success 13 / Fail 0
    Menu demarrer: Success 40 / Fail 0
    Dossier utilisateur: Success 34271 / Fail 0
    Mes documents: Success 361 / Fail 0
    Mes favoris: Success 72 / Fail 0
    Mes images: Success 768 / Fail 0
    Ma musique: Success 228 / Fail 0
    Mes videos: Success 186 / Fail 0
    Disques locaux: Success 9221 / Fail 0
    Sauvegarde: [FOUND] Success 326 / Fail 0

    Lecteurs:
    [C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume4 -- 0x3 --> Restored

    ¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  7. Harmonyy
     
    J'ai récupéré mon bureau et tous les fichiers qui s'y trouvaient !!

    Je ne sais pas s'il me reste d'autres choses à faire mais en tous cas merci beaucoup ! C'est vraiment très gentil d'avoir pris du temps pour m'aider ! Toute seule je ne m'en serais jamais sortie !

    Je vais faire en sorte de mieux protéger mon ordinateur à l'avenir !

    Mais MERCI !
    0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    1. Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case également Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    safebootminimal 
    safebootnetwork 
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\Tasks\*.* /s
    %temp%\smtmp\*.* /s
    %systemroot%\*. /mp /s 
    %systemroot%\assembly\tmp\*.* /s 
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long

    2. Télécharge MBRScan (de Eric_71) sur ton Bureau.
    ● Lance MbrScan.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur le bouton "Report"

    Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécéssaire.

    3. Héberge les 3 rapports sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    Tu obtiendras 3 liens que tu me donneras dans ton prochain message.

    A +
    0
  9. Harmonyy
     
    Quand je fais "report" surs MbrScan il m'envoie le rapport mais sur mon bloc note et je n'en ai qu'un seul, le voilà http://cjoint.com/?BDdslsGcDxc
    0
  10. matt
     
    Hello,

    Do you speak english? I have the same problem pop up today. I found this webpage because it is the only one that appeared when I googled a strange service that had been added to my msconfig 'lIWVvyNmCed.exe'.
    0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    MbrScan ne produit qu'un rapport.

    Le premier outil OTL en produit 2 ;)

    A +
    0
  12. Harmonyy
     
    Ah oui d'accord, excuse moi.

    Donc voici les 2 rapports OTL en lien :
    http://cjoint.com/?BDdsEPjBbmf et http://cjoint.com/?BDdsFPOXXMI
    0
  13. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    On va commencer par l'infection la plus coriace :

    Télécharge PMK.exe sur ton bureau (merci à g3n-h@ckm@n)
    ● Exécute l'outil et clique sur Lancer le nettoyage
    L'outil va automatiquement télécharger la dernière version d'un utilitaire de désinfection chez Kaspersky (faute de connexion internet, il installera la version intégrée)
    ● Appuie sur une touche comme demandé en fin de scan.
    ● Poste le rapport obtenu.

    A +
    «La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
    0
  14. Harmonyy
     
    Voilà le rapport que j'ai hébergé : http://cjoint.com/?BDds6uiah5O
    0
  15. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    L'outil n'a pas trouver l'infection, je fais tacher de savoir pourquoi.

    En attendant on s'occupe de récupérer certains documents cachés par le rogue et des autres bestioles présentes sur ton pc. Ton pc est un poubelle numérique !
    Il faut être vigilant quand on installe un programme, jamais via des liens publicitaires. Éviter les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation : https://forum.malekal.com/viewtopic.php?t=33776&start=

    1. Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans la partie "Personnalisation", copie/colle les instructions en citation :

    :Files
    xcopy %Temp%\smtmp\1 "%AllUsersProfile%\Start Menu" /H /I /S /Y /C
    xcopy %Temp%\smtmp\4 "%AllUsersProfile%\Desktop" /H /I /S /Y /C

    ● Clique sur le bouton Correction.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir.

    Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    2. Désinstalle si possible :

    Ask Toolbar   (superflu)
    Babylon toolbar on IE     
    Conduit Engine     
    DealPly     
    Facemoods Toolbar     
    OfferBox Browser     
    PriceGong 2.5.4     
    searchweb     
    SweetIM Toolbar for Internet Explorer 4.2     

    3. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    ● Lance AdwCleaner
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

    4. Poste les rapports

    A +
    0
  16. Harmonyy
     
    Merci de m'aider en tous cas ! Je ne sais pas comment je m'en sortirais autrement !

    Voilà le rapport OTL : http://cjoint.com/?BDdujEqCyAl

    Et le rapport AdwCleaner : http://cjoint.com/?BDdumf7V8BH
    0
  17. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    La récupération des derniers documents cachés par le rogue ne semblent pas avoir fonctionné. Il ne te manque rien ?

    1. Télécharge et exécute Removal tool TDL4/Pihar/MAXSS (32-bit version) de BitDefender. Son scan est très rapide, prends note si possible de ce qu'il trouvera.

    2. Télécharge aswMBR sur ton Bureau.

    ● Lance aswMBR.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    Refuse la demande de mise à jour
    ● Clique sur le bouton Scan
    ● Patiente pendant l'analyse
    ● Clique sur Save log
    ● Enregistre le rapport sur le Bureau.

    3. Relance OTL
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Coche Rapport minimal
    Laisse tous les autres paramètres par défaut
    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.

    3. Héberge les rapports et donne moi le lien.

    A +
    0
  18. Harmonyy
     
    Non j'ai l'impression qu'il ne me manque rien.

    J'ai téléchargé Removal tool TDL4/Pihar/MAXSS (32-bit version) et aswMBR par contre je n'arrive pas à les ouvrir. On me demande si je suis d'accord pour ouvrir, je dis oui mais rien ne s'ouvre..
    0
  19. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Tant mieux pour tes documents.

    Ouvre le dossier RK_Quarantine qui doit se trouver sur le bureau.
    Vérifie la présence du fichier PhysicalDrive0_User.dat

    Analyse le fichier PhysicalDrive0_User.dat sur https://www.virustotal.com/gui/
    Si un message te dit que le fichier à déjà été analysé, ré-analyse le
    Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.

    tuto : Analyser un fichier avec VirusTotal

    Fait le point 3 et poste le rapport.

    A +
    0
  20. Harmonyy
     
    Voilà pour VirusTotal : https://www.virustotal.com/file/f05358a3c9d0d0d6df4dfb17f3888da4c712c1a6ba5ca7d97d90c830c812ceb0/analysis/1333479952/

    Et voilà pour OTL : http://cjoint.com/?BDdvmxJmS8N
    0
    1. g3n-h@ckm@n
       
      ^^
      0
  • 1
  • 2