Problème fichiers introuvables

[lir@]

Bonjour

Après avoir installé un antivirus (Avast) sur mon ordinateur,
une partie des fichiers d'un de mes disques durs à disparue.
Mais ce qui est bizarre c'est que l'espace libre sur celui ci n'a pas augmenté. Je ne sais pas si cela à de l'importance mais il s'agissait d'un disque dur externe mis en local suite à des probèmes d'accessibilité lorsqu'il était encore dans son boîtier. Je soupçonne les fichiers d'être encore présents mais de ne plus y avoir accès.

J'ai suivi la procédure anti malware et mets donc en pièces jointes les rapports

En vous remerciant d'avance

[Cyrrus]

Bonjour lir@,

Tu es extrèmement infecté, ca risque donc d'être long mais je vais essayer de ne pas louper mon coup pour abréger.

Avant de commencer, affiche tous les fichiers/dossiers cachés de Windows :

Citation:

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

1. Télécharge les outils suivants :

• SDFix (créé par AndyManchesta)
• VundoFix.exe (par Atribune)
• eScan
• OTMoveIt de OldTimer

2. Installation des outils :

• Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau
• 
  
  Citation:

  1) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
  2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
  3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
  4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
  Ne pas lancer le scan tout de suite !

3. Redémarrage en mode sans échec

Citation:

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

4. Passage de eScan

Citation:

Du mode Sans Échec, voici comment utiliser eScan :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme.

5. Toujours en mode sans échec, lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes :

Code:

O2 - BHO: 0 - {C1168F8D-4C35-4864-EB89-4E5D182D2A1D} - C:\Program Files\Fichiers communs\lafu.dll (file missing)
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{3C0E9~1\Bar888.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{3C0E9~1\Bar888.dll
O4 - HKLM\..\Run: [{CC0E9D4F-081F-1036-0804-040213040021}] "C:\Program Files\Fichiers communs\{CC0E9D4F-081F-1036-0804-040213040021}\Update.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\jrkrkxyb.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [Windows Systems] C:\WINDOWS\System32\winsys.exe
O4 - HKLM\..\Run: [{CC0E9D4F-0820-1036-0804-040213040021}] "C:\Program Files\Fichiers communs\{CC0E9D4F-0820-1036-0804-040213040021}\Update.exe" mc-110-12-0000144
O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\RunServices: [Windows Systems] C:\WINDOWS\System32\winsys.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [Windows Systems] C:\WINDOWS\System32\winsys.exe
O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000137 (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)

Clique enfin sur Fix Checked.

6. Toujours en mode sans échec, supprime le dossier suivant :

Code:

C:\Program Files\Fichiers communs\{3C0E9 < je n'ai pas le nom entier, seulement le début, désolé 

7. Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui a été créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum.

8. Utilisation d'OTMoveit

• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  Code:

  C:\WINDOWS\System32\svchosts.exe
  C:\Program Files\Fichiers communs\{CC0E9D4F-081F-1036-0804-040213040021}
  C:\WINDOWS\System32\jrkrkxyb.exe
  C:\WINDOWS\System32\winsys.exe
  C:\Program Files\outlook\
  C:\WINDOWS\System32\svchosts.exe.lzma
  C:\WINDOWS\System32\unsvchosts.exe 
  C:\WINDOWS\System32\tracert.com 
  C:\WINDOWS\System32\tasklist.com 
  C:\WINDOWS\System32\taskkill.com 
  C:\WINDOWS\System32\regedit.com 
  C:\WINDOWS\System32\ping.com 
  C:\WINDOWS\System32\netstat.com
  C:\WINDOWS\System32\cmd.com
  C:\WINDOWS\VTTC.exe 
  C:\WINDOWS\111uninst.exe
  C:\WINDOWS\uni_eh10.exe
  C:\WINDOWS\system32\dysbtypk.exe
  C:\WINDOWS\system32\elfkp.exe	
  C:\WINDOWS\system32\fabiq.exe
  C:\WINDOWS\system32\hwhw.exe	
  C:\WINDOWS\system32\hblg.exe
  C:\WINDOWS\system32\jevwzmg.exe	
  C:\WINDOWS\system32\jrkrkxyb.exe
  C:\WINDOWS\system32\juhlndfy.exe
  C:\WINDOWS\system32\jwxy.exe
  C:\WINDOWS\system32\ljevl.exe 
  C:\WINDOWS\system32\ljyon.exe
  C:\WINDOWS\system32\lkjmkxms.exe
  C:\WINDOWS\system32\makkwtxi.exe
  C:\WINDOWS\system32\nigho.exe
  C:\WINDOWS\system32\okoqezif.exe
  C:\WINDOWS\system32\qebh.exe
  C:\WINDOWS\system32\rjhgzps.exe
  C:\WINDOWS\system32\rwcyypro.exe
  C:\WINDOWS\system32\saikpfn.exe
  C:\WINDOWS\system32\sktksx.exe
  C:\WINDOWS\system32\sqwx.exe
  C:\WINDOWS\system32\tdpbmj.exe	
  C:\WINDOWS\system32\tjfon.exe
  C:\WINDOWS\system32\wfosnmh.exe
  C:\WINDOWS\system32\wulbrf.exe
  C:\WINDOWS\system32\xgxni.exe
  C:\WINDOWS\system32\zwkhp.exe
  

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

9. Passage de VundoFix

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Poste moi les rapports de :

• SDFix
• eScan
• OTMoveit
• VundoFix
• Hijackthis (un nouveau rapport)

Je comprends que cela impressionne, mais TOUT est expliqué, il suffit de lire cela calmement. J'ai tenté de limité les redémarrage, mais c'est assez difficile.


Si tu as des questions, n'hésite pas.

Cyrrus

[lir@]

Merci beaucoup de preter attention à ma requete
cependant je n'ai pas encore eu le temps de suivre tes instructions par manque de temps (eh oui les études!) mais je n'hesiterai pas à te soliciter de nouveau si jamais il y'à un quelconque problème.
En tout cas je te remercie d'avoir pris le temps de me répondre
Merci encore

[Cyrrus]

Bonjour lira,

Dans ce cas formate ton pc. Cela te prendra 1h30 à tout casser et tu seras hors de danger. Je te signale quand même que ton pc est en cemoment un zombie, et que tes données (mot de passe, code bancaire si achat en ligne) sont eux aussi en danger.

Je comprends que tu n'as que peu de temps, mais au moins formate, ce sera beaucoup plus sur et pour toi, et pour le reste des internautes.

Bonne journée
Cyrrus

[lir@]

Finalement j'ai pris le temps de suivre ton protocole voici donc le rapport de Sdfix
Par contre je n'ai pas effacé tous les fichiers à partir de hijackthis (5èmement)
Voila merci

[lir@]

De plus lorsque j'ouvre OTMoveIt.exe aucun chemin d'accès n'apparait
Merci

[lir@]

Oups autant pour moi je n'avais pas lu la suite il fallait les copier pardon

[lir@]

Je n'ai pas eu de fichiers à supprimer après l'analyse de vundoFix.exe
De plus comment puis-je t'envoyer les rapports de eScan OTMovIt ainsi que de Hijackackthis?
Désolé j'ai un peu de mal
Merci

[Cyrrus]

Bonjour lir@,

Il suffit de les mettre en pièces jointes comme les autres rapports.

Bonne soirée
Cyrrus

[lir@]

Bonjour Cyrrus
Ma question etait mal formulée en fait je voulais savoir si je devais refaire une analyse avec les logiciels cités et non comment faire pour les envoyer.
De plus je précise que lors de l'analyse de vundoFix.exe aucun fichier n'est apparu donc je n'en ai eu aucun à effacer et que pour hijackthis tout les fichiers de ta kiste n'apparaissaient pas j'ai seulement supprimé ce qui y étaient.
Voila merci

[Cyrrus]

Bonsoir lira,

Non, il n'y a pas d'"analyse" à faire en plus. Il me faut juste les rapports des logiciels utilisés plus haut, à savoir Hijackthis, eScan, SDFix et otmoveit.

Pour celui de otmoveit il se trouve ici : C:\_OTMoveIt\MovedFiles

Poste les en pièces jointes.

Bonne soirée
Cyrrus

[lir@]

Ca y'est je pense que c'est bon (enfin!)
Je ne t'ai pas renvoyer le rapport de Sdfix il est en pièce jointe avec l'une des réponses précedentes.
J'épère que cela te permettra de m'aider à récupérer mes fichieres perdus.
Voila merci pour ta patience
Lir@

[Cyrrus]

Bonjour lir@,

Peux tu me poster un nouveau rapport Diaghelp option 1 ?

Bon WE
Cyrrus

[lir@]

Bonjour Cyrrus
Comment faire pour t'envoyer le rapport de Diaghelp option 1? je ne me souviens pas avoir telecharger ce logiciel.
Merci encore Lir@

[Cyrrus]

Coucou,

Citation:

Comment faire pour t'envoyer le rapport de Diaghelp option 1? je ne me souviens pas avoir telecharger ce logiciel.

Eh si. Cette étape est décrite dans la procédure => http://www.futura-sciences.com/fr/co...701/c3/221/p3/

Je te demande juste de refaire cetet étape pour avori un nouveau rapport, afin que je puisse voir l'évolution du problème.

Bonne soirée
Cyrrus

[lir@]

très bien c'est fait voici mon rapport
merci

[Cyrrus]

Bonsoir lir@,

Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

NoteNe pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Poste le rapport en pièces jointes.

Bonne soirée
Cyrrus

[lir@]

Ca y'est c'est fait
Voila les deux rapports que tu m'as demandé

Merci bonne soirée

Lir@