Votre question

[resolu] Infection virus : dossiers et fichiers ont disparu

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Octobre 2011 23:32:45

Bonjour,
Notre portable PC a été infecté par un virus hier soir.
Un message s'affiche en boucle au boot :
"failed to save all the components for the system file\system32\\00007e87. the file is corrupted or unreadable.. this error maybe caused by a PC hardware problem".
Cela se traduit par : bureau et dossiers quasi vides, espace utilisé sur le disque dur indiquant que les fichiers sont toujours là, Windows qui marche (presque) normalement.

Nous avons repéré le sujet de knex31 qui parait très similaire :
http://www.infos-du-net.com/forum/id-1812432/virus-disq...

Nous avons cru comprendre que le virus attaque les options de visibilité des fichiers.
Nous avons téléchargé l'exécutable Roquekiller.
Avira est en train de tourner sur le PC.

Question à 100 balles : est-ce qu'un disque dur amovible de sauvegarde peut lui même être touché par le virus ? et le transmettre à un autre ordinateur ?

Nous recherchons une aide pour rétablir les options des fichiers.
Merci d'avance.
Marie-Jo et Elie (dép 25)

Autres pages sur : infection virus dossiers fichiers disparu

29 Octobre 2011 06:36:37

Bonjour,

Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement dans l'ordre demandé.
Bien poster les rapports comme demandés afin de pouvoir les analyser.

Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

TOUS LES UTILITAIRES doivent être lancés depuis le Bureau (sauf indication spécifique). Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer (tout de suite après par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller".
Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau.

Télécharge sur le bureau RogueKiller (par tigzy)
Quitte tous tes programmes en cours
Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur[/b]
Lance RogueKiller.exe.
Lorsque demandé, tape 2 et valide
Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Ensuite tu relances Roguekiller et tu passes l'option "6"

Redémarre ton PC et fais ce qui suit

Télécharge OTL sur ton Bureau.

  • Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
  • Double-clique sur OTL.exe pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
  • L'écran principal de OTL s'affiche:



    (1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche

    (2) Coche (en haut) la case située devant Tous les utilisateurs

    (3) Coche également les cases à côté de Recherche Lop et Recherche purity.

    (4) Sélectionne très précisément tout ce qui est dans le cadre ci dessous avec la souris et copie/colle le contenu dans la zone Personnalisation de la fenêtre OTL


    netsvcs
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\*.sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    /md5stop


    (5) Puis cliquer sur le bouton Analyse

    - Laisser l'outil travailler sans l'interrompre.

  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise le site http:// pour envoyer tes rapports, et poste le lien dans ta prochaine réponse.
    30 Octobre 2011 10:56:50

    Bonjour,

    merci bien de nous proposer votre aide.
    Nos excuses pour cette réponse tardive mais Elie (19 ans) a eu un petit soucis de santé (épilepsie) qui a nécessité une courte hospitalisation et il sort ce matin. Ajouté à des soucis de démarreur de sa voiture, c'est la totale ce WEnd (cerveau, moteur, ordi !!!!)....Je ne sais pas s'il avait lu son horoscope....?!?

    Bref, j'ai donc fait toute la procédure indiquée, en particulier sauvegardé les dossiers/fichiers sur un DD externe. Les rapports de désinfection et analyse sont ci-dessous.
    Merci de m'indiquer ce que je dois faire avec les éléments amovibles : clé USB, DD externe : une analyse avec Avira est-elle suffisante si je ne veux pas contaminer mon propre ordi.
    Merci mille fois.
    Marie-Jo

    -----------------------
    ROQUEKILLER
    rapport désinfection :
    http://pjjoint.malekal.com/files.php?id=p10r5e12x10t9v1...

    rapport vérification de la désinfection :
    http://pjjoint.malekal.com/files.php?id=u15f8m13t11z13q...

    rapport option 6
    http://pjjoint.malekal.com/files.php?id=b11x13m8n15v7m9...

    ------------------------------
    OTL
    rapport "otl.exe" :
    http://pjjoint.malekal.com/files.php?id=o7h6b9d6p9f10l1...

    rapport "extras.exe" :
    http://pjjoint.malekal.com/files.php?id=e7c14l13t15e13d...

    FIN
    Contenus similaires
    30 Octobre 2011 13:57:32

    Bonjour,

    Citation :
    Nos excuses pour cette réponse tardive

    Mais non priorité a la vie l'ordi c'est secondaire . Je suis désolé pour Elie

    Fais ce qui suit

    Clique ici pour télécharger USbFix sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\
  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique droit sur UsbFix et sélectionne "Exécuter en tant qu'administrateur")
  • Clique sur "Suppression".
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse
    30 Octobre 2011 14:09:45

    Bonjour,

    Citation :
    Nos excuses pour cette réponse tardive

    Mais non priorité a la vie l'ordi c'est secondaire . Je suis désolé pour Elie

    Fais ce qui suit

    Clique ici pour télécharger USbFix sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\
  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique droit sur UsbFix et sélectionne "Exécuter en tant qu'administrateur")
  • Clique sur "Suppression"
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse
    30 Octobre 2011 19:44:47

    Nous avons fait tourner USBfix
    Lien vers le rapport:
    http://pjjoint.malekal.com/files.php?id=n13d13d9s11f13r...

    Bilan des opérations de nettoyage :
    les messages d'erreur "failed....etc" ont disparu. J'ai ma connexion internet. L'ordinateur fonctionne quasi normalement sauf que la partie droite du menu démarrer est vide et je n'arrive pas à remettre les raccourcis correspondants. cf copie d'écran :
    http://pjjoint.malekal.com/files.php?id=c13k5v5q6y9f12y...

    Question subsidiaire : depuis plusieurs semaines, ma page de démarrage d'Internet explorer est bloquée sur "seeearch.com" et l'option est grisée dans l'onglet "général" du menu "options Internet."

    Merci.
    30 Octobre 2011 20:16:55

    Citation :
    sauf que la partie droite du menu démarrer est vide et je n'arrive pas à remettre les raccourcis correspondants.

    Je ne pige pas pourquoi tu ne peux pas mettre de raccourcis sur cette partie .
    Tu arrives a les déplacer sur ton bureau?

    Double-clique sur le raccourci UsbFix présent sur ton Bureau.

  • Choisis l'option Désinstaller
  • Réponds OK aux boites qui s'afficheront.


    Désactive ton antivirus

    Relance OTL.exe

    Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    Ouvre le lien ci-dessous

    http://dl.free.fr/iCeBKa9yc

    Copie-colle l'ensemble de son contenu dans le cadre Personnalisation d'OTL en bas à gauche.

    Puis clique sur le bouton Correction en haut à gauche
    Si le pc demande à redémarrer accepte.
    Poste le rapport de suppression.
  • [/list]
    30 Octobre 2011 20:46:57

    Le lien n'est pas bon je n'ai rien:??: 

    Citation :
    depuis plusieurs semaines, ma page de démarrage d'Internet explorer est bloquée sur "seeearch.com"

    Et maintenant après OTL ?
    30 Octobre 2011 21:13:34

    nouveau lien vers le rapport :
    http://pjjoint.malekal.com/files.php?id=h10i7j11y13q5f1...

    La page de démarrage d'IE est toujours bloquée.
    Rq : J'ai passé OTL en mettant les mêmes options que la 1ère fois à savoir :

    (2) Coche (en haut) la case située devant Tous les utilisateurs

    (3) Coche également les cases à côté de Recherche Lop et Recherche purity.

    31 Octobre 2011 06:06:32

    Bonjour,
    Citation :
    J'ai passé OTL en mettant les mêmes options que la 1ère fois à savoir :
    (2) Coche (en haut) la case située devant Tous les utilisateurs
    (3) Coche également les cases à côté de Recherche Lop et Recherche purity.

    C'est bien mais pour "correction" on en a pas besoin :) 

    Donc toujours bloqué sur "seeearch.com" ?


    • Sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau

    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    • Sur le menu principal, clique sur Recherche et patiente le temps de l'analyse

    • A la fin du scan, un rapport AdwCleaner[R].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner[R].txt

    31 Octobre 2011 18:57:25

  • Ferme toutes les applications, y compris ton navigateur

  • Relance AdwCleaner par un double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse

  • A la fin du scan, un rapport AdwCleaner.txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner.txt

  • [/list]
    31 Octobre 2011 20:51:28

    kaczmar25,
    Citation :
    Le menu démarrer de Windows est toujours quasi vide. je peux faire sans...

    Tes programmes sont tous là : c:\ProgramData\Microsoft\Windows\Start Menu\Programs
    il y avait déjà un bug sous XP qui ne tolérait pas plus de 70 programmes dans la liste... voir de ce côté!!!!

    C'est OK pour moi !
    On va nettoyer les outils que l'on a utilisé avec Delfix :

    Télécharge Delfix sur ton bureau

    Pour Xp : Double clique sur l'icône Delfix
    Pour Vista et Seven: Clique droit sur l'icône de Delfix puis sélectionne 'Exécuter en tant qu'administrateur'.
    clic sur le bouton [Suppression]
    Poste le rapport
    31 Octobre 2011 21:05:22

    Lien vers le rapport DElfix/suppression :
    http://pjjoint.malekal.com/files.php?id=b10s13x9l5z6i10...

    OK pour nous également.
    Finalement, belle expérience qui nous a permis de découvrir le système d'entraide et le monde des "helpers" totalement inconnu de nous il y a quelques jours...

    Merci bien pour tout.

    Marie-Jo et Elie
    31 Octobre 2011 21:41:42

    :hello: 
    Marie-Jo et Elie il ne me reste plus qu'a vous souhaitez une bonne nuit et pour la suite bon surf

    Tu peux Ajoutez [Résolu] au titre. Pour cela :
    * Clique, dans ton premier message, sur le bouton "Modifier" (en bas)

    *Ajoute ensuite "résolu" à coté de ton titre et valide.
    * Clique ensuite sur "Mettre à jour"

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"


    31 Octobre 2011 21:46:55

    Au revoir.
    Merci tout plein.
    Marie-Jo et Elie.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS