infection par Data Recovery

[invite15658557]

Bonjour,
Je m'appelle Romain et moi aussi, comme beaucoup d'autre, je suis infecté par Data Recovery. Je suis sur W7 edition familiale premium 64 bits.

Historique de mon problème:
Suite à vagabondage sur le net, j'ai vu apparaitre pleins de fenêtres "system error", vu disparaitre tout mon bureau, puis Data Recovery qui se lance.
J'ai d'abord redemarrer le pc, mais même résultat. Plus de bureau, plus rien dans le menu démarrer...
J'ai télécharger Gridinsoft Trojan Killer qui après analyse m'a bien détecté le malware Data Recovery, mais impossible de le supprimer.
J'ai alors effectuer une restauration système. J'ai récupéré mon fond d'écran, mes raccourcis et le contenu du menu démarrer. En revanche, les documents, images... sont encore tous cachés.
En arrivant sur ce forum, j'ai suivi la procédure préliminaire et j'ai fait un analyse avec Trendmicro HijackThis. Voici le rapport ci-dessous.
Merci de m'aider à finir de me débarrasser de ce Data Recovery et à récupérer mes fichiers.

[JPL]

Il y a un autre rapport qui s'intitule info.txt. Il se trouve dans C:\RSIT

[invite15658557]

ah oui, voici le second rapport

[invite15658557]

Bonjour,
Aucunes réponses
Merci de m'aider.

[A voir en vidéo sur Futura]

[invite15658557]

Bonjour,
J'ai un peu essayé de progresser tout seul sur le sujet.
J'ai installé Malwarebytes Anti-Malware et effectué un examen rapide. Il a trouvé deux menaces qu'il a placé en quarantaine.
Voici le rapport généré.

Par contre, je n'ai toujours pas récupéré mes fichiers... Merci de m'aider à venir à bout de cet saloperie.

[chantal11]

Bonjour,

Désolée pour le délai d'attente.

---------------------------------------------------------------------------------------------

Recommandations pendant la désinfection :

• n'utilise ton PC que pour un strict minimum et surtout n'installe aucun autre programme (hormis les outils indiqués)
• suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative
• signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
• un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles dès que c'est possible
• que les symptômes ne se manifestent plus ne veut pas dire que le système est propre, il faut donc aller jusqu'au bout de la désinfection

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités :

• DAEMON Tools Toolbar (sauf si réelle utilité)

---------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste le rapport en pièce jointe dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Est attendu le rapport RKreport.txt

@+

[invite15658557]

Bonjour,

Il y a quelques mois de cela, j'ai eu des pb avec Data Recovery.
Comme je n'avais pas eu de réponse de helpeur au bout d'une quinzaine de jours (patience quand tu nous tiens), j'avais fini par m'en dépatouiller tout seul en téléchargant ZHPFix et en cliquant sur HiddenFix. Ce n'est que après que j'ai lu la phrase suivante: suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative

Cela m'avait toutefois permi de récupérer tous les fichiers (mes documents, mes images...) stockés sur C:, là où sont également installé Windows et la plupart de mes logiciels. En revanche, je n'ai pas récupérer les fichiers stockés sur D:, l'autre partition du disque.
Le PC a aussi quelques comportements bizarres. Entre autres, il a fait apparaitre des dossiers et des raccourcies (auquels il m'interdit l'accès !?!) qui n'étaient pas là avant.

La réponse ci-dessus étant arrivée après ma petite manipulation et puisque j'avais récupéré la majeure partie des fonctionnalités du pc (je n'avais pas besoin du contenu de D:, des archives photos...), et puis j'ai eu d'autres priorités... donc je n'ai rien fait de plus. Tout du moins jusqu'à aujourd'hui. J'aimerais bien en finir avec ce problème et récupérer mon disque D:

Voici ci-joint le rapport de roguekiller.

Merci de me fournir la souhaite de l'aide pour aller jusqu'au bout de la désinfection, en espérant ne pas avoir trop corrompu de choses lors de mes propre manip.

[chantal11]

Bonjour romain22abc,

Désolée, mais on ne reprend pas une désinfection 7 mois après.
Il t'était sûrement facile de répondre en juin !

Qu'est-ce qu'il se passe exactement avec le disque D ?
Ces dossiers et fichiers sont peut-être depuis le temps devenus irrécupérables.

@+

[invite15658557]

Bonsoir,

Pour la désinfection et la réparation du registe, je ne m'attendais plus à un miracle, surtout après tout ce temps (oui, je sais, 7 mois après j'abuse...). Donc, pas de souci. Le PC continu d'avoir des comportements bizarres, comme me posé des accès restreints à l'administrateur alors que je suis l'administrateur !?!

En revanche, j'ai trouvé pourquoi je ne voyais pas les fichiers. Je n'y avais pas pensé plus tôt et je n'avais même pas essayé parce qu'avec cette connerie de DATA Recovery, je ne pensais pas que cela puisse être si simple. Je suis allé dans panneau de configuration, options des dossiers, onglet affichage, Afficher les fichiers, dossiers et lecteurs cachés et BINGO (oui, c'est très très con). Tout le contenu de mon disque D est réapparu.
Je pense que ce n'est pas si simple tant que DATA recovery est sur le PC, mais avec toutes les manips hazardeuses que j'ai effectué, j'ai à peu près dû m'en débarrasser. Seulement les fichiers avaient visiblement gardé le statut "caché". Ce qui m'a d'abord intrigué c'était que quand je collais un fichier sur D, le nom était bleu (fichier compressé). C'est en fouillant dans options des dossiers que j'ai trouvé.
Le registre ne doit pas être complétement réparé lui, mais au moins je peux récupérer mes fichiers et envisagé de formater.

Tu dois prendre peur devant ma manière de gérer un problème informatique!!! Merci malgré tout pour tes messages, RogueKiller aura surement fait du bien et tu m'as répondu 7 mois après, ce qui m'a incité à fouiller un peu plus. Tu as toutes ma reconnaissance.

[chantal11]

Bonjour,

Tout le contenu de mon disque D est réapparu.

OK, donc de ce côté-là, plus d'inquiétude.

tu m'as répondu 7 mois après

Non, c'est toi qui a répondu 7 mois après !

RogueKiller aura surement fait du bien

RogueKiller a été utilisé en mode Recherche et n'a de toutes façons rien trouvé de néfaste.


On va contrôler le système.

OTL :

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
  
  Code:

  msconfig
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent. Poste ces rapports en PJ.

@+

[invite15658557]

Bonsoir,

Voici les deux rapports

Cordialement