$Recycle.Bin [Résolu/Fermé]

Signaler
Messages postés
27
Date d'inscription
samedi 22 août 2009
Statut
Membre
Dernière intervention
9 avril 2013
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour tout le monde,

J'ai un gros problème j'ai un nouvel ordinateur depuis une semaine à peine et bam déjà un virus! Malgré le fait qu'il y as un antivirus actif sur l'ordinateur.

Bref je suis affectée par un fichier "$Recycle.Bin" quand j'essayes de le broyer avec McAfee qui supprime normalement des dossiers de la corbeille alors que celui-ci ne s'y trouve pas et qu'elle est entièrement vide... Il me supprimes des fichiers malgré tout! D'où viennent ils je n'en sais rien mais ça me fais très peur.

J'ai parcourus quelques solutions qui disent d'afficher les fichiers cachés ce que j'ai fais et je suis en face de mon fichier... Qui me menace en me disant que supprimer certains fichiers comme desktop.ini pourrait gravement endommager le système. En plus d'après ce que je vois il y as ma corbeille dedans :( !

Dois-je le supprimer malgré tout? Y a t-il autre chose à faire qui me permettrais de ne pas flinguer mon ordinateur dès la 1ère semaine? A t-il pu infecter d'autres fichiers qu'il faudra supprimer par la suite?

Pourtant mon AntiVirus ne détecte rien, mais qu'est ce que c'est que ce truc? :(

Merci à vous.


9 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 507
Salut,

Comment tu le sais que tu as un virus ?
Messages postés
27
Date d'inscription
samedi 22 août 2009
Statut
Membre
Dernière intervention
9 avril 2013
1
Par plusieurs comportement bizarres:

_ Mon ordinateur hier a redémarrer à partir d'un écran bleu (ça fait peur) me disant qu'il y avait un problème, il a ensuite fait une mise à jour très longue de je ne sais quoi.

_ Quand j'ouvre le shedder de McAfee pour broyer une corbeille vide, il arrive quand même à broyer des milliers de fichiers inexistants sans jamais terminer le scan.

_ Quand j'ouvres un fichier exécutable récemment téléchargé, ce fichier ouvre en même temps le dossier system32, chose étrange sachant qu'il s'agit d'un jeu en ligne que j'ai téléchargé sur plusieurs ordinateurs un nombre incalculable de fois.

_ En naviguant sur le site du zéro ce matin, l'accès au site m'a été interdit car étant infectée par un virus, avec une demande de captcha qui au passage ne fonctionne pas.

_Quand je mets ma clef internet, elle fait un bruit d'insertion de périphérique USB, puis comme si je la retirais, puis se relance alors que ça ne le faisais pas avant d'avoir repérer ce maudit fichier.

Les problèmes sont longs mais certains je ne m'en souviens tout simplement pas il y en a tellement, et ayant eu beaucoup d'ordinateur je sais que ces comportements ne sont pas normaux et surviennent suite à un problème. La question est de savoir lequel et après une recherche Google j'ai vus qu'il s'agissait malheureusement bien d'un virus que j'ai peur de supprimer au cas où il aurait infecté un fichier dans le dossier fichier32 ou tout autre chose comme le desktop.ini.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 507
mouais pour voir :

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

Messages postés
27
Date d'inscription
samedi 22 août 2009
Statut
Membre
Dernière intervention
9 avril 2013
1
Voici:

RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Demarrage : Mode normal
Utilisateur : P. Laura [Droits d'admin]
Mode : Suppression -- Date : 08/04/2013 18:10:06
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{A67F4581-6972-4C62-BF2B-46AD65B4A859} : NameServer (172.20.2.39 172.20.2.10) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST500LT012-9WS142 +++++
--- User ---
[MBR] 80a3f926a2b03f97010481a0f085c2bf
[BSP] ea83e08ef8b5dcdb0fc9795f1fb6d3a9 : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 476940 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_08042013_181006.txt >>
RKreport[1]_S_08042013_180215.txt ; RKreport[2]_D_08042013_181006.txt



Il me dit 0 processus malicieux pourtant il en a remplacé 2 pourquoi? o,o
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 507
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Messages postés
27
Date d'inscription
samedi 22 août 2009
Statut
Membre
Dernière intervention
9 avril 2013
1
Pfiouh pas facile tout ça, donc voici pour AdwCleaner:

# AdwCleaner v2.200 - Rapport créé le 08/04/2013 à 18:34:19
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : P. Laura - ASUSX401U
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\P. Laura\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2XAGXO4F\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16519

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Opera v12.15.1748.0

Fichier : C:\Users\P. Laura\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [799 octets] - [08/04/2013 18:34:19]

########## EOF - C:\AdwCleaner[S1].txt - [858 octets] ##########



Et pour les fichiers OTL:
https://pjjoint.malekal.com/files.php?id=20130408_h10f10v12h8q7
https://pjjoint.malekal.com/files.php?id=20130408_v813i11h11n9



PS: J'ai aussi pleins de fichiers "desktop.ini" en double exemplaire partout dans mon ordinateur, bureau, musique, téléchargements.... Etc... Affichants le message suivant:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21779
InfoTip=@%SystemRoot%\system32\shell32.dll,-12688
IconResource=%SystemRoot%\system32\imageres.dll,-113
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-236

Est ce grave? J'en ai déjà supprimés quelques uns mais la chasse est inutile ils sont absolument partout!
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 507
Pas infecté.

Les desktop.ini c'est l'affichage des fichiers cachés et systèmes par OTL.
Enlève le : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Messages postés
27
Date d'inscription
samedi 22 août 2009
Statut
Membre
Dernière intervention
9 avril 2013
1
Mince alors d'où pourraient donc venir tous mes problèmes? ._.

Quand j'enlèves les desktop.ini ils reviennent...

Du coup en faisant la chasse aux virus je suis tombée sur une erreur dans le registre de CCleaner qui me chagrine un peu vus que quand je la corrige elle revient saurait d'où ça peut venir?

Problème: ActiveX/COM inexistant
Données: InProcServer32\%CommonProgramFiles%\System\Ole DB\msdaora.dll
Clé du registre: HKCR\CLSID\{e8cc4cbe-fdff-11d0-b865-00a0c90b1c1d}

Du coup si ce n'est pas un virus c'est que c'est autre chose mais quoi là est la question...
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 507
Ce que raconte CCleaner n'a pas bcp d'importance.

Les desktop.ini sont des fichiers légitimes.

Tu l'as acheté McAfee ?
Messages postés
27
Date d'inscription
samedi 22 août 2009
Statut
Membre
Dernière intervention
9 avril 2013
1
Merci beaucoup ça me rassures, non c'est une version fournie avec qui apparemment est déjà activée en découverte pendant un mois. Après tous mes PC claquent quoi que je fasses c'est le 4ème que je rachètes donc bon je deviens un petit peu parano sur le bon fonctionnement de mon ordinateur :/
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 507
Vas dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle McAfee et mets Avast! à la place : https://www.malekal.com/tutoriel-antivirus-avast/