Smart HDD Fermé

Question

Bonjour, 

Je naviguais tranquilement il y a quelques instant quand j'ai reçu une trentaine de message d'erreur comme celui ci : " a Write command during the test has failed to complete. This may be due to a media or read/write error. The system generates an exception error when using a reference to an invalid system memory address."
Smart HDD que je n'avais jamais vu sur mon ordi s'est mis en route et m'a indiqué que mon ordinateur est dans un stade critique.
Tous mes fichiers ont disparu, internet également je suis actuellement sur ma dernière fenêtre ouverte. 
En faisant une recherche j'ai vu que c'était un virus et qu'il fallait faire un scan OTL ou Roguekiller mais j'avoue être très nulle en informatique et ne sait donc pas du tout ce qu'il faut faire.
De l'aide serait vraiment bienvenue, je suis en panique totale !!

Merci !

kalimusic · Answer

Bonjour,

Tu es infecté par un rogue, surtout ne tient pas compte de ses messages d'alertes. 

&#x25CF; Télécharge  RogueKiller  (par Tigzy) sur le bureau
&#x25CF;   Ferme toutes tes applications en cours 
&#x25CF;  Lance RogueKiller.exe  
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
&#x25CF; Laisse le prescan se terminer, clique sur Scan
&#x25CF; Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

A +

Harmonyy · Answer

Merci beaucoup !

Donc voilà le rapport auquel je ne comprends rien du tout :

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Harmony [Droits d'admin]
Mode: Recherche -- Date: 03/04/2012 17:41:30

¤¤¤ Processus malicieux: 5 ¤¤¤
[WINDOW : SMART HDD] 1toGDUeQgBbopU.exe -- C:\ProgramData\1toGDUeQgBbopU.exe -> KILLED [TermProc]
[BLACKLIST] d3d10_1.dll -- C:\windows\system32\d3d10_1.dll -> UNLOADED
[SUSP PATH] cacaoweb.exe -- C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc]
[SUSP PATH] lIWVvyNmCed.exe -- C:\ProgramData\lIWVvyNmCed.exe -> KILLED [TermProc]
[SUSP PATH] 1toGDUeQgBbopU.exe -- C:\ProgramData\1toGDUeQgBbopU.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 23 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKCU\[...]\Run : lIWVvyNmCed.exe (C:\ProgramData\lIWVvyNmCed.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1788408006-2358670243-3668810604-1000[...]\Run : cacaoweb ("C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1788408006-2358670243-3668810604-1000[...]\Run : lIWVvyNmCed.exe (C:\ProgramData\lIWVvyNmCed.exe) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.FakeHDD|Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++
--- User ---
[MBR] 2c231827aca3c8948dd734e7a61eb630
[BSP] dddec792edb3b380ca08e8d8283d487f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo
User != LL1 ... KO!
--- LL1 ---
[MBR] 36b0e02bdb65ca43f2c3c13755fc7f34
[BSP] a9c6abbab08e6c6158fb67429b99e875 : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo
User != LL2 ... KO!
--- LL2 ---
[MBR] 36b0e02bdb65ca43f2c3c13755fc7f34
[BSP] a9c6abbab08e6c6158fb67429b99e875 : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo

Termine : << RKreport[1].txt >>
RKreport[1].txt

kalimusic · Answer

re,  

Si la détection de RogueKiller est avérée, le rogue a installé une infection beaucoup plus coriace. Laisse toi guider, je regarde les rapports pour toi.  

1. Relance RogueKiller.exe    
&#x25CF; Clique sur Suppression  
&#x25CF; Clique sur Rapport pour l'ouvrir  

2. Relance RogueKiller.exe   
&#x25CF; Clique sur Racc. RAZ   
&#x25CF; Clique sur Rapport pour l'ouvrir   

3. Copie/colle les 2 rapports dans ton prochain message.  

Dis moi si tu as retrouvé ton bureau, tes dossier, le menu démarrer, etc...  

A +  

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Harmonyy · Answer

Alors, voilà le 1er rapport :

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Harmony [Droits d'admin]
Mode: Suppression -- Date: 03/04/2012 17:51:28

¤¤¤ Processus malicieux: 5 ¤¤¤
[WINDOW : SMART HDD] 1toGDUeQgBbopU.exe -- C:\ProgramData\1toGDUeQgBbopU.exe -> KILLED [TermProc]
[BLACKLIST] d3d10_1.dll -- C:\windows\system32\d3d10_1.dll -> UNLOADED
[SUSP PATH] cacaoweb.exe -- C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc]
[SUSP PATH] lIWVvyNmCed.exe -- C:\ProgramData\lIWVvyNmCed.exe -> KILLED [TermProc]
[SUSP PATH] 1toGDUeQgBbopU.exe -- C:\ProgramData\1toGDUeQgBbopU.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 21 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Harmony\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[SUSP PATH] HKCU\[...]\Run : lIWVvyNmCed.exe (C:\ProgramData\lIWVvyNmCed.exe) -> DELETED
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Harmony\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.FakeHDD|Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++
--- User ---
[MBR] 2c231827aca3c8948dd734e7a61eb630
[BSP] dddec792edb3b380ca08e8d8283d487f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo
User != LL1 ... KO!
--- LL1 ---
[MBR] 36b0e02bdb65ca43f2c3c13755fc7f34
[BSP] a9c6abbab08e6c6158fb67429b99e875 : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo
User != LL2 ... KO!
--- LL2 ---
[MBR] 36b0e02bdb65ca43f2c3c13755fc7f34
[BSP] a9c6abbab08e6c6158fb67429b99e875 : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117952 Mo

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

2e rapport :

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Harmony [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 03/04/2012 17:55:52

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 31 / Fail 0
Lancement rapide: Success 15 / Fail 0
Programmes: Success 13 / Fail 0
Menu demarrer: Success 40 / Fail 0
Dossier utilisateur: Success 34271 / Fail 0
Mes documents: Success 361 / Fail 0
Mes favoris: Success 72 / Fail 0
Mes images: Success 768 / Fail 0
Ma musique: Success 228 / Fail 0
Mes videos: Success 186 / Fail 0
Disques locaux: Success 9221 / Fail 0
Sauvegarde: [FOUND] Success 326 / Fail 0

Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume4 -- 0x3 --> Restored

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Harmonyy · Answer

J'ai récupéré mon bureau et tous les fichiers qui s'y trouvaient !!

Je ne sais pas s'il me reste d'autres choses à faire mais en tous cas merci beaucoup ! C'est vraiment très gentil d'avoir pris du temps pour m'aider ! Toute seule je ne m'en serais jamais sortie !

Je vais faire en sorte de mieux protéger mon ordinateur à l'avenir !

Mais MERCI !

kalimusic · Answer

ok, 

1. Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
%temp%\smtmp\*.* /s
%systemroot%\*. /mp /s 
%systemroot%\assembly	mp\*.* /s 
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  

2. Télécharge MBRScan (de Eric_71) sur ton Bureau.
&#x25CF;  Lance MbrScan.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton "Report" 

Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécéssaire.

3. Héberge les 3 rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras 3 liens que tu me donneras dans ton prochain message. 

A +

Harmonyy · Answer

Quand je fais "report" surs MbrScan il m'envoie le rapport mais sur mon bloc note et je n'en ai qu'un seul, le voilà http://cjoint.com/?BDdslsGcDxc

matt · Answer

Hello,

Do you speak english?  I have the same problem pop up today.  I found this webpage because it is the only one that appeared when I googled a strange service that had been added to my msconfig 'lIWVvyNmCed.exe'.

kalimusic · Answer

MbrScan ne produit qu'un rapport.

Le premier outil OTL en produit 2 ;)

A +

Harmonyy · Answer

Ah oui d'accord, excuse moi.

Donc voici les 2 rapports OTL en lien :
http://cjoint.com/?BDdsEPjBbmf et http://cjoint.com/?BDdsFPOXXMI

kalimusic · Answer

On va commencer par l'infection la plus coriace : 

Télécharge PMK.exe sur ton bureau (merci à g3n-h@ckm@n) 
&#x25CF; Exécute l'outil et clique sur Lancer le nettoyage 
L'outil va automatiquement télécharger la dernière version d'un utilitaire de désinfection chez Kaspersky (faute de connexion internet, il installera la version intégrée) 
&#x25CF; Appuie sur une touche comme demandé en fin de scan. 
&#x25CF; Poste le rapport obtenu. 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Harmonyy · Answer

Voilà le rapport que j'ai hébergé : http://cjoint.com/?BDds6uiah5O

kalimusic · Answer

L'outil n'a pas trouver l'infection, je fais tacher de savoir pourquoi.

En attendant on s'occupe de récupérer certains documents cachés par le rogue et des autres bestioles présentes sur ton pc. Ton pc est un poubelle numérique !
Il faut être vigilant quand on installe un programme, jamais via des liens publicitaires. Éviter les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation : https://forum.malekal.com/viewtopic.php?t=33776&start= 

1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions en citation :

:Files
xcopy %Temp%\smtmp\1 "%AllUsersProfile%\Start Menu" /H /I /S /Y /C
xcopy %Temp%\smtmp\4 "%AllUsersProfile%\Desktop" /H /I /S /Y /C
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir.

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

2. Désinstalle si possible :

Ask Toolbar   (superflu)
Babylon toolbar on IE     
Conduit Engine     
DealPly     
Facemoods Toolbar     
OfferBox Browser     
PriceGong 2.5.4     
searchweb     
SweetIM Toolbar for Internet Explorer 4.2     
3. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.   
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

4. Poste les rapports

A +

Harmonyy · Answer

Merci de m'aider en tous cas ! Je ne sais pas comment je m'en sortirais autrement !

Voilà le rapport OTL : http://cjoint.com/?BDdujEqCyAl

Et le rapport AdwCleaner : http://cjoint.com/?BDdumf7V8BH

kalimusic · Answer

La récupération des derniers documents cachés par le rogue ne semblent pas avoir fonctionné. Il ne te manque rien ?

1. Télécharge et exécute Removal tool TDL4/Pihar/MAXSS (32-bit version) de BitDefender. Son scan est très rapide, prends note si possible de ce qu'il trouvera.

2. Télécharge aswMBR sur ton Bureau.

&#x25CF; Lance  aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Refuse la demande de mise à jour
&#x25CF; Clique sur le bouton Scan
&#x25CF; Patiente pendant l'analyse
&#x25CF; Clique sur Save log 
&#x25CF; Enregistre le rapport sur le Bureau. 

3. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note.
 
3.  Héberge les rapports et donne moi le lien.

A +

Harmonyy · Answer

Non j'ai l'impression qu'il ne me manque rien.

J'ai téléchargé Removal tool TDL4/Pihar/MAXSS (32-bit version) et aswMBR  par contre je n'arrive pas à les ouvrir. On me demande si je suis d'accord pour ouvrir, je dis oui mais rien ne s'ouvre..

kalimusic · Answer

Tant mieux pour tes documents.

Ouvre le dossier RK_Quarantine qui doit se trouver sur le bureau.
Vérifie la présence du fichier PhysicalDrive0_User.dat

Analyse le fichier PhysicalDrive0_User.dat sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.

tuto : Analyser un fichier avec VirusTotal

Fait le point 3 et poste le rapport.

A +

Harmonyy · Answer

Voilà pour VirusTotal : https://www.virustotal.com/file/f05358a3c9d0d0d6df4dfb17f3888da4c712c1a6ba5ca7d97d90c830c812ceb0/analysis/1333479952/

Et voilà pour OTL : http://cjoint.com/?BDdvmxJmS8N

kalimusic · Answer

Bon, vraisemblablement, ton MBR est sain.

Tu peux héberger le fichier PhysicalDrive0_User.dat sur ce site http://ww38.toofiles.com/fr/documents-homepage.html et me donner le lien stp

A +

Harmonyy · Answer

Le voilà : http://www.toofiles.com/fr/oip/documents/dat/856_physicaldrive0_user.html

kalimusic · Answer

merci, on continue le nettoyage :

1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

&#x25CF; Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#x25CF; Clique dans l'onglet du haut "Recherche"
&#x25CF; Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
&#x25CF; Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression. 

3. Héberge les rapports et donne moi le lien. 

A +

Harmonyy · Answer

Voici le rapport OTL : http://cjoint.com/?BDekOUrOBVe

Et celui MBAM : http://cjoint.com/?BDekQ0u6V5M

MBAM avait trouvé 10 menaces, je les ai supprimées.

kalimusic · Answer

Bonjour,

La plupart des menaces supprimés par MBAM étaient déjà dans la quarantaine des outils utilisés avant. Encore des soucis ? 

Si non, je te donne la procédure pour désinstaller les outils.

A +

Harmonyy · Answer

Non là, je n'ai plus aucun souci. Encore merci d'ailleurs !

kalimusic · Answer

re,

1. Relance AdwCleaner en tant qu'administrateur
&#x25CF; Clique sur Désinstallation  

2. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF; Dans la partie "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL en tant qu'administrateur  
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau

4. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant 

5. Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour :

Tutoriel SX Check&Update

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

Harmonyy · Answer

J'ai bien tout désinstallé. 

Pour ce qui est de la sécurité je crois, à vrai dire, que je n'en ai plus. Mon père s'en était chargé, mais je crois que l'abonnement est révolu et ne voyant plus trop mon père je n'ai pas eu l'occasion de lui demander de s'en charger.
 
Par contre, maintenant, quad je fais une recherche sur google et que je clique sur un lien parfois cela me mène vers des pubs et pour arriver sur la page souhaitée je dois cliquer sur la flèche de retour en arrière. Cela a-t-il un lien avec mes précédents problèmes ? Comment faire pour y remédier ?

kalimusic · Answer

Bonjour,

Effectivement depuis le début, rogueKiller suspectait une infection du MBR mais comme aucun autre outil ne le confirmait et que tu ne m'indiquais pas de symptômes de redirection, on est passé outre.

1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
&#9656; Pour TDSS.tdl2 : l'option Delete sera cochée.
&#9656; Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
&#9656; Pour "Suspicious object" laisse sur "Skip"
&#9656; Pour Rootkit.Win32.ZAccess : Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

Harmonyy · Answer

J'ai bien téléchargé TDSSKiller à partir du lien donné, mais je n'arrive pas à l'ouvrir. Un contrôle de compte utilisateur s'ouvre et me demande si je confirme vouloir continuer l'action, je mets oui et pourtant rien ne s'ouvre..

kalimusic · Answer

ok,

Peux tu faire ceci :

Ouvre la commande Exécuter en pressant Windows + R 
Dans la boite de dialogue, tape DISKMGMT.MSC puis valide par Ok 
Fait une capture écran de la fenêtre (l'agrandir si nécessaire)
Héberge l'image http://imagesup.org/ et donne le lien.

A +

Harmonyy · Answer

D'accord, voilà : http://imagesup.org/images10/1333725157-sans-titre.png

kalimusic · Answer

Merci.

Cette infection créé en principe une partition cachée, le soucis que nous avons est que celle-ci reste invisible des outils capables de la voir.
Je dois contacter le développeur de l'outil MBRScan, je te tiens au courant plus tard dans la soirée.

A +

Harmonyy · Answer

D'accord, merci beaucoup !!

kalimusic · Answer

Bonjour,

Tu es bien infecté par MBR MaxSS, mais ici pas de partition cachée, cette variante utilise le VBR de la partition courante pour se lancer.

Il existe plusieurs options pour palier au problème mais ce type d'opération est assez délicat car une intervention sur le MBR risque rendre inopérante la restauration en configuration d'usine.

Merci de me préciser la marque de ton pc.
As tu en ta possession les DVD d'installation ou de restauration ?

A +

Harmonyy · Answer

Bonjour,

Mon PC est un MSI X600. 
Oui je dois avoir ces DVD.

Par contre si cette opération est vraiment délicate à effectuer il vaut peut être mieux que j'évite de la faire moi même, non ?

kalimusic · Answer

re,

Je précise ce que j'ai dit plus haut, l'opération délicate consisterait à essayer de réparer le problème en manipulant le MBR.

La solution la plus simple, serait de sauvegarder tes documents et de réinstaller le système d'exploitation à l'aide des DVD ou de la partition recovery.
La restauration en configuration d'usine remettant normalement le MBR d'origine (celui du constructeur).

A +

Harmonyy · Answer

Ah oui d'accord. Je vais essayer de faire ça alors. Merci en tous cas pour toute l'aide que tu m'as apportée !

kalimusic · Answer

Voila  : http://frsupport.msi.com/faq/product-qa.php?idmodel=16&idfaq=15

A +

Harmonyy · Answer

Merci beaucoup !!

Par contre, pour sauvegarder mes fichiers je fais comment ? Je les mets sur une clé USB ? (elle ne risque pas d'être infectée ?).
Je suis vraiment désolée, je suis une bille en informatique.

kalimusic · Answer

Tu as raison de poser cette question.
Aucun risque de transmission avec le type d'infection présent.
Tu sauvegardes tes documents sur le support de ton choix : clé usb, disque dur externe ou CD.

A +

Harmonyy · Answer

D'accord, merci ! Je vais donc faire ça ! Merci encore !

Smart HDD

40 réponses

Discussions similaires