Votre question

disque dur effacé par un virus : résolu

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Décembre 2011 15:46:27

Bonjour,
mon disque dur a été attaqué par un virus qui a effacé mes fichiers et certains programmes :

voici le rapport de roguekiller :

http://

le résultat de usbfix est ici

http://

le résultat pour OTL :

http://

http://


merci d'avance


Autres pages sur : disque dur efface virus

a c 614 8 Sécurité
26 Décembre 2011 16:46:13

Bonjour,

C’est un rogue, un faux utilitaire d'optimisation, il n'a rien effacé, il a "caché" certains raccourci.
Tu as été infecté car certains logiciels n'étaient pas à jour !

As-tu retrouvé les raccourci sur le bureau après l'option 6 de roguekiller ?

Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    ;processes
    killallprocesses

    :OTL
    FF - prefs.js..browser.search.defaultthis.engineName: "Veoh Web Player Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms}"
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
    FF - prefs.js..browser.search.selectedEngine: "Veoh Web Player Customized Web Search"
    FF - prefs.js..extensions.enabledItems: {cd90bf73-20f6-44ef-993d-bb920303bd2e}:3.3.3.2
    FF - prefs.js..extensions.enabledItems: {D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}:1.0
    FF - prefs.js..extensions.enabledItems: ClickPotatoLite@ClickPotatoLite.com:10.0.659.0
    FF - prefs.js..extensions.enabledItems: searchrecs@veoh.com:1.5.2
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files (x86)\ShopperReports3\bin\3.1.22.0\firefox\firefoxtoolbar\extensions [2011/02/18 14:08:26 | 000,000,000 | ---D | M]
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Program Files (x86)\ClickPotatoLite\bin\10.0.659.0\firefox\extensions [2011/02/18 14:08:30 | 000,000,000 | ---D | M]
    [2011/12/05 22:20:06 | 000,000,000 | ---D | M] (Veoh Web Player Community Toolbar) -- C:\Users\nawal\AppData\Roaming\Mozilla\Firefox\Profiles\sq3310ws.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e}
    [2010/01/23 17:17:54 | 000,000,000 | ---D | M] (Veoh Video Compass) -- C:\Users\nawal\AppData\Roaming\Mozilla\Firefox\Profiles\sq3310ws.default\extensions\searchrecs@veoh.com
    [2011/02/10 17:27:30 | 000,000,933 | ---- | M] () -- C:\Users\nawal\AppData\Roaming\Mozilla\Firefox\Profiles\sq3310ws.default\searchplugins\conduit.xml
    [2011/02/18 14:08:39 | 000,000,000 | ---D | M] (QuestBrowse) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}
    [2011/01/26 14:35:22 | 000,087,344 | ---- | M] (Pinball Corporation.) -- C:\Program Files (x86)\mozilla firefox\plugins\npclntax_ClickPotatoLiteSA.dll
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O4 - HKU\S-1-5-21-3734584180-4141521878-4126744057-1001..\Run: [WVCnRfsPUym.exe] C:\ProgramData\WVCnRfsPUym.exe ()
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    [2011/12/20 21:39:56 | 000,000,000 | ---D | C] -- C:\Users\nawal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Fix
    [2 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
    [2011/12/20 21:42:24 | 000,000,440 | ---- | M] () -- C:\ProgramData\GIUxL5DXyJQGsn
    [2011/12/20 21:39:56 | 000,000,677 | ---- | M] () -- C:\Users\nawal\Application Data\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk
    [2011/12/20 21:39:56 | 000,000,653 | ---- | M] () -- C:\Users\nawal\Desktop\System Fix.lnk
    [2011/12/20 21:39:56 | 000,000,312 | -H-- | M] () -- C:\ProgramData\~GIUxL5DXyJQGsn
    [2011/12/20 21:39:56 | 000,000,208 | -H-- | M] () -- C:\ProgramData\~GIUxL5DXyJQGsnr
    [2011/12/20 21:36:38 | 000,369,664 | ---- | M] () -- C:\ProgramData\GIUxL5DXyJQGsn.exe
    [2011/12/20 21:30:18 | 000,461,824 | ---- | M] () -- C:\ProgramData\WVCnRfsPUym.exe
    [2011/12/20 21:39:56 | 000,000,677 | ---- | C] () -- C:\Users\nawal\Application Data\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk
    [2011/02/18 14:08:30 | 000,000,000 | ---D | M] -- C:\Users\nawal\AppData\Roaming\ClickPotatoLite
    [2011/02/18 14:08:24 | 000,000,000 | ---D | M] -- C:\Users\nawal\AppData\Roaming\ShopperReports3

    :Commands
    [Reboot]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer.
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure


    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    27 Décembre 2011 04:40:12

    d'abord merci beaucoup pour votre aide

    voici le rapport de OTL :
    http://

    voici le rapport pour malwarebyte :
    http://

    les documents ont réapparus par contre les applications de windows comme le panneau de configuration n'apparaissent plus. aussi j'ai un document "desktop.ini" apparait dans certains de mes fichiers.

    merci

    Contenus similaires
    a c 614 8 Sécurité
    27 Décembre 2011 10:17:35

    Re,

    Oui alors le souci dans cette infection, c'est qu'elle applique l'attribut de fichier "caché" à certains fichiers et raccourcis, et quand les outils corrige cela, parfois des fichiers qui doivent réellement être "caché" sont aussi afficher. C'est le cas des desktop.ini (fichier système de configuration)

    Pour ceux-la, fait un clic-droit sur eux -> propriétés
    En bas de la nouvelle fenêtre, coche "caché" et valide
    Cela les fera de nouveau disparaitre

    Pour le panneau de configuration et les autres menus, fais ceci :
    Clic-droit sur l'icone Windows (Démarrer) -> propriétés
    Tu dois être sur l'onglet "Menu démarrer", sinon sélectionne-le
    Clique sur le bouton "personnaliser..."
    Puis tout en bas "Paramètres par défaut"
    Valide, ferme et redémarre le pc au besoin.

    Dis-moi si tout est ok et on concluera.
    27 Décembre 2011 17:03:58

    bonjour,
    tout est ok et j'ai aussi appliqué les mises à jour.
    merci beaucoup pour votre aide
    a c 614 8 Sécurité
    27 Décembre 2011 19:24:21

    Re,

    Ok pour terminer alors :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime RogueKiller.exe

    Désinstalle USBFix :

  • Relance-le via le raccourci USBFix situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le raccourci de USBFix -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"

    Tu peux conserver malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour avant.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    Mise à jour du système et des logiciels :



    Met à jour ton système vers le service pack 1 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9 :
    Démarrer -> tous les programmes -> Windows update

    Met à jour les programmes suivants :
    - Java vers la version 6 update 30 (pense à supprimer les anciennes version dans ajout/suppression des programmes : Java(TM) SE Development Kit 6 Update 23 ; Java(TM) 6 Update 24; Java(TM) 6 Update 18 (64-bit))
    - Adobe reader vers X (10.1.x) (vérifie que les anciennes versions sont supprimée)
    - Adobe Flash player activeX et plugin, clique sur ce lien avec Internet Explore, puis Firefox, chacun doit être mis à jour séparément : http://get.adobe.com/fr/flashplayer/



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    27 Décembre 2011 21:46:00

    merci
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS