Virus rendant la restauration impossible

Leo -  
lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Depuis que j'ai allumé mon pc ce matin, il ne repondait plus dés l'ouverture d'un logiciel. J'ai donc essayer de le restaurer mais surprise, aucun point de restauration disponible. Je l'ai donc demarrer en mode sans echec, ce qui me permet d'ecrire ce message car le pc ne lag plus. Mon anti-virus, McAfee se desactive tout seul lorsque je l'active et je ne peux plus faire d'analyse, je suis presque sur d'avoir choppé un virus! Que dois-je faire? :(
Merci d'avance!
L

16 réponses

Résumé de la discussion

Problème central : un ordinateur sous Windows 7 ne répond plus dès l'ouverture d'un logiciel et le point de restauration est indisponible, McAfee se désactive, laissant penser à une infection.
Des outils de détection et nettoyage comme RogueKiller et des suppressions d'entrées malveillantes dans le registre et les tâches planifiées sont évoqués pour enrayer les processus persistants et les démarrages suspects.
En parallèle, des solutions comme le démarrage sur Linux pour lancer chkdsk, tester et réparer le MBR, et la suppression des points de restauration contaminés sont proposées pour restaurer l'intégrité du système.
En cas de persistance, la vérification matérielle et l'éventuelle défaillance du disque dur peuvent nécessiter un remplacement pour prévenir toute perte de données et demande un diagnostic approfondi.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut

    ▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
    ▶ Enregistre et ferme tous les programmes en cours
    ▶ Lance RogueKiller et attend que le Prescan ait fini
    ▶ Accepte l'EULA puis clique sur Scan.
    ▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
    0
  2. Leo
     
    Bonjour, merci beaucoup de ta réponse!
    Voila le résultat du scan:

    RogueKiller V8.6.5 _x64_ [Aug 5 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : Leo [Droits d'admin]
    Mode : Recherche -- Date : 08/16/2013 13:08:18
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 11 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Users\Leo\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) -> TROUVÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : OpenOffice (C:\Users\Leo\AppData\Roaming\7sansproc.exe [-]) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-2764083514-678679937-3673550027-1000\[...]\Run : Google Update ("C:\Users\Leo\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-2764083514-678679937-3673550027-1000\[...]\Run : OpenOffice (C:\Users\Leo\AppData\Roaming\7sansproc.exe [-]) -> TROUVÉ
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (203.232.208.116:8080) -> TROUVÉ
    [HJ POL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
    [HJ POL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ POL] HKLM\[...]\Wow6432Node\[...]\System : DisableTaskMgr (0) -> TROUVÉ
    [HJ POL] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 2 ¤¤¤
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2764083514-678679937-3673550027-1000UA.job : C:\Users\Leo\AppData\Local\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> TROUVÉ
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2764083514-678679937-3673550027-1000Core.job : C:\Users\Leo\AppData\Local\Google\Update\GoogleUpdate.exe - /c [7] -> TROUVÉ

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 activate.adobe.com

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: SAMSUNG HD502HJ ATA Device +++++
    --- User ---
    [MBR] b7957368fb2caddb865d86b9f6b75358
    [BSP] a30ac12945702cf0a446ba6e2f679b54 : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476937 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: SAMSUNG HD502HJ ATA Device +++++
    --- User ---
    [MBR] ee82a7b9c35188107428a042b75a9184
    [BSP] b20cc349c07f0769143a2c39e7255acf : Empty MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive2: SAMSUNG HD502HJ ATA Device +++++
    --- User ---
    [MBR] 70149b9582ea83ca11a2fd090e21f6ed
    [BSP] 595a3a631aac4b74de1422ea1e2a1ee5 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[0]_S_08162013_130818.txt >>
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ok fait la suppression et poste le rapport

    Ensuite ProxyRAZ et idem poste le rapport
    0
  4. Leo
     
    Rapport de la suppression :

    RogueKiller V8.6.5 _x64_ [Aug 5 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : Leo [Droits d'admin]
    Mode : Suppression -- Date : 08/16/2013 13:11:41
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 10 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Users\Leo\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) -> SUPPRIMÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : OpenOffice (C:\Users\Leo\AppData\Roaming\7sansproc.exe [-]) -> SUPPRIMÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-2764083514-678679937-3673550027-1000\[...]\Run : Google Update ("C:\Users\Leo\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) -> [0x2] Le fichier spécifié est introuvable.
    [RUN][SUSP PATH] HKUS\S-1-5-21-2764083514-678679937-3673550027-1000\[...]\Run : OpenOffice (C:\Users\Leo\AppData\Roaming\7sansproc.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
    [HJ POL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
    [HJ POL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
    [HJ POL] HKLM\[...]\Wow6432Node\[...]\System : DisableTaskMgr (0) -> [0x2] Le fichier spécifié est introuvable.
    [HJ POL] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> [0x2] Le fichier spécifié est introuvable.
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Tâches planifiées : 2 ¤¤¤
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2764083514-678679937-3673550027-1000UA.job : C:\Users\Leo\AppData\Local\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> SUPPRIMÉ
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2764083514-678679937-3673550027-1000Core.job : C:\Users\Leo\AppData\Local\Google\Update\GoogleUpdate.exe - /c [7] -> SUPPRIMÉ

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 activate.adobe.com

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: SAMSUNG HD502HJ ATA Device +++++
    --- User ---
    [MBR] b7957368fb2caddb865d86b9f6b75358
    [BSP] a30ac12945702cf0a446ba6e2f679b54 : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476937 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: SAMSUNG HD502HJ ATA Device +++++
    --- User ---
    [MBR] ee82a7b9c35188107428a042b75a9184
    [BSP] b20cc349c07f0769143a2c39e7255acf : Empty MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive2: SAMSUNG HD502HJ ATA Device +++++
    --- User ---
    [MBR] 70149b9582ea83ca11a2fd090e21f6ed
    [BSP] 595a3a631aac4b74de1422ea1e2a1ee5 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[0]_D_08162013_131141.txt >>
    RKreport[0]_S_08162013_130818.txt

    Rapport proxy RAZ :

    RogueKiller V8.6.5 _x64_ [Aug 5 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : Leo [Droits d'admin]
    Mode : Recherche -- Date : 08/16/2013 13:13:56
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 activate.adobe.com

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: SAMSUNG HD502HJ ATA Device +++++
    --- User ---
    [MBR] b7957368fb2caddb865d86b9f6b75358
    [BSP] a30ac12945702cf0a446ba6e2f679b54 : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476937 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: SAMSUNG HD502HJ ATA Device +++++
    --- User ---
    [MBR] ee82a7b9c35188107428a042b75a9184
    [BSP] b20cc349c07f0769143a2c39e7255acf : Empty MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive2: SAMSUNG HD502HJ ATA Device +++++
    --- User ---
    [MBR] 70149b9582ea83ca11a2fd090e21f6ed
    [BSP] 595a3a631aac4b74de1422ea1e2a1ee5 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[0]_S_08162013_131356.txt >>
    RKreport[0]_D_08162013_131141.txt;RKreport[0]_S_08162013_130818.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Nickel :)

    On continue :

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique donc sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    A tout à l'heure :o)
    0
  8. Leo
     
    Voila terminé! J'ai tout supprimé, voila le rapport :

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.08.16.02

    Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
    Internet Explorer 10.0.9200.16660
    Leo :: LEO1-PC [administrateur]

    16/08/2013 13:31:44
    mbam-log-2013-08-16 (13-31-44).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 899117
    Temps écoulé: 2 heure(s), 17 minute(s), 54 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 2
    HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
    HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 1
    C:\Users\Leo\AppData\Roaming\dclogs (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 11
    C:\Users\Leo\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-07-4.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-08-5.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-09-6.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-10-7.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-11-1.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-12-2.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-13-3.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-14-4.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-15-5.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Leo\AppData\Roaming\dclogs\2013-08-16-6.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  9. Leo
     
    Quelqu'un pour m'expliquer les prochaines étapes? :)
    0
  10. Leo
     
    J'ai décidé de reinstaller windows avec la mise a niveau mais l'installeur est bloqué sur Évaluation de la compatibilité :( je petes un cable :p
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    Pas d'impatience stp je suis bénévole et j'ai une vie en dehors de ccm !

    Bon du coup t'as formaté ?
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      tous les mots de passe ont été volés faut tous les changer
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ah oui c'est pas ici que je l'avais déjà dis :p
      0
    3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      lol à mon avis un coup d'usbfix supp/vacc sur tous les usb serait pas du luxe ^^
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      on verra s'il revient.

      bouhouhou le disque dur est même plus detect maintenant :'( :'(
      0
    5. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      lol
      0
  12. Profil bloqué
     
    Pour enlever se virus utiliser avira rescure système en iso pour cd bootable Windows puis exécuter l'outil de suppression de logiciels malveillants de Microsoft , le virus serra mort mais il va réinjecter une routine viral dans ton pc par les points de restauration système qui sont contaminés et les clé USB que tu as brancher au pc le sont aussi
    0
    1. Profil bloqué
       
      Donc tu devra utiliser ccleaner pour supprimer les points restauration système , mais tu pourras supprimer le dernier point qui est contaminé donc tu devra crée un point restauration système qui n'est pas contaminée pour pouvoir supprimer le dernier qui devient l'avant dernier.
      0
  13. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    keskidilui ?
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      chépa ^^
      0
    2. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      un gros troll ^^

      Je parle de GT33 hein ^^
      0