Virus data recovery

[mooki]

Bonsoir,

Je m'appelle Elise et comme Georgia83 dans un poste précédant, mon ordinateur a été infecté par le virus dara recovery : écran noir et pas moyen d'accéder à aucun de mes fichiers sur mon disque dur mais égallement aux fichiers contenus dans mon disque dur externe qui était branché à mon ordinateur lors de l'infection.
J'ai donc suivit vos conseils et téléchargé Malware Byte's Antimalware ainsi que ZHPDiag

Ci-joint les deux rapports,

Pensez-vous pouvoir m'aider et me dire ce que je dois faire pour enlever ce virus?

Merci d'avance

Très cordialement,

Elise

[chantal11]

Bonjour,

Nous allons regarder cela ensemble.

Un système qui n'est absolument pas à jour, nous nous en occuperons par la suite.

---------------------------------------------------------------------------------------------

Recommandations pendant la désinfection :

• n'utilise ton PC que pour un strict minimum et surtout n'installe aucun autre programme (hormis les outils indiqués)
• suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative
• signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
• un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles dès que c'est possible
• que les symptômes ne se manifestent plus ne veut pas dire que le système est propre, il faut donc aller jusqu'au bout de la désinfection

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités :

• Spybot - Search & Destroy (obsolète, utilise une technologie dépassée)
• Ask Toolbar
• Ask Toolbar Updater
• DAEMON Tools Toolbar
• Force Download Toolbar
• SweetPacks Toolbar for Internet Explorer 4.4
• SweetIM for Messenger 3.6 -
• Fissa
• Widestream6

---------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste le contenu de ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Une précision, est-ce que l'option Tout supprimer a été utilisée avec Malwarebytes ?

Est attendu le rapport RogueKiller.

@+

[mooki]

Merci beaucoup pour votre réactivité et votre réponse,

Comme préconisé, j'ai désinstallé les fichiers indiqués dans le mail précédant sauf deux (je n'y parvient pas)

Ask toolbar : "error1327. Invalid Drive : E:/"

Ask toolbar Updater : "Vous ne disposez pas d'un accès suffisant pour désinstaller Ask Toolbar Updater. Contactez votre administrateur système" (ma session est pourtant administrateur)

J'ai ensuite effectué le scan RogueKiller dont je vous joint le rapport.

Oui, l'option tout supprimer a bien été utilisée avec Malwarebytes, dois-je égallement utiliser le bouton "suppression" après le scan RogueKiller ?

Merci d'avance,

Elise

[chantal11]

Re,

OK.

Ce n'est pas grave pour Ask.

---------------------------------------------------------------------------------------------

RogueKiller :

• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Suppression, puis sur Rapport et poste le rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

• Ensuite clique sur Host RAZ, puis sur Rapport et poste le rapport dans ta prochaine réponse

• Ensuite clique sur Racc. RAZ , puis sur Rapport et poste le rapport dans ta prochaine réponse

---------------------------------------------------------------------------------------------

Sont attendus 3 rapports Roguekiller.

@+

[mooki]

Re,

Ci-joint les trois fichiers RogueKiller!

Merci encore

Elise

[mooki]

Mes fichiers ont réapparus!!!

Maintenant une question subsiste : lorsque le virus a infecté mon ordinateur, il a égallement supprimé certains dossiers contenus dans mon disque dur externe qui était branché à l'ordinateur au moment de l'infection.
Je n'ose pas rebrancher le disque dur externe de peur qu'il ne recontamine l'ordinateur, que me conseillez-vous?

Merci infiniment pour vos précieux conseils,

Elise

[chantal11]

Re,

Mes fichiers ont réapparus!!!

C'est une bonne chose

Je n'ose pas rebrancher le disque dur externe

Il va falloir justement maintenant reconnecter le DD externe et relancer Malwarebytes.

----------------------------------------------------------------------------------------------

Malwarebyte's Anti-Malware :

• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Lance une mise à jour dans l'onglet Mise à jour
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur externe, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste le rapport dans ta prochaine réponse

---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

ZHPDiag :


Relance ZHPDiag comme tu l'as fait la 1ère fois afin de générer un nouveau rapport que tu postes dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• mbam-log[date-heure].txt
• AdwCleaner(S).txt
• ZHPDiag

@+

[mooki]

Bonjour,

Voila les trois rapports attendus,

Merci encore,

Elise

[chantal11]

Bonjour,

C'est parfait ..... on contnue.

---------------------------------------------------------------------------------------------

ZHPFix :

• Copie toutes les lignes ci-dessous
  
  Code:

  SysRestore
  M2 - MFEP: prefs.js [EL - ail29m65.default\{1c491116-c175-45e1-a570-6fb14fea8b7b}] [] PHPNukeFR Community Toolbar v3.3.3.2 (.Conduit Ltd..)
  M3 - MFPP: Plugins - [EL] -- C:\Users\EL\AppData\Roaming\Mozilla\Firefox\Profiles\ail29m65.default\searchplugins\askcom-1.xml
  M3 - MFPP: Plugins - [EL] -- C:\Users\EL\AppData\Roaming\Mozilla\Firefox\Profiles\ail29m65.default\searchplugins\daemon-search.xml
  O4 - Global Startup: C:\Users\EL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Data_Recovery.lnk . (...)  -- C:\ProgramData\MGHs9lEwClh5VN.exe
  O4 - Global Startup: C:\Users\EL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Ad-Aware.lnk . (.Lavasoft.)  -- C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe 
  O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
  O23 - Service: Lavasoft Ad-Aware Service (Lavasoft Ad-Aware Service) . (.Lavasoft - Ad-Aware Service Application.) - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe  
  O42 - Logiciel: Ad-Aware - (.Lavasoft.) [HKLM] -- Ad-Aware    
  O42 - Logiciel: Ad-Aware - (.Lavasoft.) [HKLM] -- {DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}    
  O43 - CFD: 03/06/2012 - 21:45:34 - [0,001] ----D C:\Users\EL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Data Recovery
  O43 - CFD: 04/06/2012 - 15:39:53 - [2,214] ----D C:\Program Files\Spybot - Search & Destroy  
  O43 - CFD: 04/06/2012 - 15:39:52 - [5,101] ----D C:\ProgramData\Spybot - Search & Destroy   
  O43 - CFD: 04/10/2010 - 21:14:31 - [28,108] ----D C:\ProgramData\{ECC164E0-3133-4C70-A831-F08DB2940F70} 
  O43 - CFD: 04/06/2012 - 15:45:01 - [0,001] ----D C:\Program Files\DAEMON Tools Toolbar    
  O43 - CFD: 05/06/2012 - 10:31:53 - [0] ----D C:\Program Files\Force Download Toolbar
  [MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe (.not file.) 
  [MD5.426B60302261AFD6876655B959DE6739] [SPRF][03/06/2012] (...) -- C:\ProgramData\MGHs9lEwClh5VN.exe   [250880]
  [MD5.A95D5E600BAD0CCF6574C75D6F78B934] [APT] [Ad-Aware Update (Weekly)] (.Lavasoft.) -- C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
  [MD5.00000000000000000000000000000000] [APT] [Uniblue SpyEraser] (...) -- C:\Program Files\Uniblue\SpyEraser\SpyEraser\SpyEraser.exe (.not file.)  
  O51 - MPSK:{27cd8db5-b42d-11de-8dc0-00238b83ad36}\AutoRun\command. (...) -- C:\Windows\system32\BueBUd.exe (.not file.)
  O53 - SMSR:HKLM\...\startupreg\SweetIM  [Key] . (...) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe (.not file.) 
  O53 - SMSR:HKLM\...\startupreg\Uniblue SpyEraser  [Key] . (.Uniblue Software - SpyEraser.) -- C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
  O53 - SMSR:HKLM\...\startupreg\cacaoweb  [Key] . (...) -- C:\Users\EL\AppData\Roaming\cacaoweb\cacaoweb.exe (.not file.)
  O69 - SBI: prefs.js [EL - ail29m65.default] user_pref("extensions.enabledItems", "engine@conduit.com:3.3.3.2,widestream6@spointer.com:3.4.1545.153,{CAFEEFAC-0016-0000-0017-AB[...]
  O87 - FAEL: "TCP Query User{83B81FB1-72B9-4C35-A765-239B15DBF288}C:\users\el\appdata\local\temp\2e7mih9b.tmp\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\el\appdata\local\temp\2e7mih9b.tmp\cacaoweb.exe (.not file.)  
  O87 - FAEL: "UDP Query User{470C5822-A2AA-4DF2-9A33-A2F20C162AB5}C:\users\el\appdata\local\temp\2e7mih9b.tmp\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\el\appdata\local\temp\2e7mih9b.tmp\cacaoweb.exe (.not file.) 
  O87 - FAEL: "TCP Query User{E3BFD6C4-0143-49CB-95D5-6FE922BE139F}C:\users\el\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\el\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.) 
  O87 - FAEL: "UDP Query User{8A60BD7B-23D7-4BE8-AA5C-47513E317C9C}C:\users\el\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\el\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)  
  O87 - FAEL: "TCP Query User{64087E5E-5D1E-4A0F-8E15-9C12DCD14B40}C:\users\el\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\el\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)   
  O87 - FAEL: "UDP Query User{A14FC206-9C9E-4318-9236-3B91E22A5129}C:\users\el\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\el\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)  
  SR - | Auto 28/04/2011 1378040 | C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft Ad-Aware Service) . (.Lavasoft.) - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]   
  [HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}]    
  [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb]
  [HKCU\Software\AppDataLow\AskHomepage]    
  [HKLM\Software\PHPNukeFR]    
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4F37A8FE-00B3-430F-85AA-F97F12E8B651}]    
  [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM]    
  [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}    
  C:\Program Files\DAEMON Tools Toolbar    
  C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar 
  
  EMPTYTEMP
  EmptyFlash
  EMPTYCLSID
  FirewallRaz

• Ferme toutes les applications ouvertes
  
• Double-clique sur ZHPFix, raccourci sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Clique sur H
  Les lignes copiées apparaissent directement dans le cadre blanc (si ce n'est pas le cas clic-droit -> Coller)
  
• Clique sur GO
  
• Valide par Oui la désinstallation des programmes si demandé, mais refuse le redémarrage du PC, si proposé à ce moment là (cela stopperait l'action du fix)
  
• Laisse l'outil travailler. Si un redémarrage est demandé, cette fois-ci tu valides et tu redémarres le PC
  
• Le rapport s'affiche. Poste le rapport ZHPFixReport.txt, enregistré sur ton Bureau, dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

Désinstalle Java(TM) 6 Update 20 (64-bit) et Java(TM) 6 Update 20 via Panneau de configuration -> Programmes et fonctionnalités.

Installe la dernière version Java 7 Update 4
http://www.java.com/fr/download/

---------------------------------------------------------------------------------------------

Mets à jour Firefox :

Télécharge et installe cette dernière version Firefox

---------------------------------------------------------------------------------------------

Mise à jour d'Internet Explorer :

Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE9.
Téléchargez Internet Explorer 9

---------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Rapport
  
• Copie-colle le contenu de ce rapport dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

Mise à jour Vista SP2 :

Télécharge et installe le SP2 :
https://www.microsoft.com/fr-fr/down....aspx?id=16468

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• ZHPFixReport.txt
• SX Check&Update

@+

[mooki]

Bonjour,

(ma réponse est tardive, je n'avais plus accès à internet...)

J'ai suivit toute les démarches mais je n'ai pas réussit à installer internet explorer 9 :
"Le programme d'installation ne prend pas en charge cette version de Service Pack Windows
actuellement installée sur votre ordinateur. "

La Mise à jour Vista SP2 a bien fonctionnée

Merci encore,

Elise

Ci-joint le rapport ZHPFix et ci-dessous le rapport SX :

SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels...x-checkupdate/
---
Windows Version : Windows Vista 32 bits
Service Pack : 1
UserName : EL
06/06/2012
10:15:11
version = v0.2.3
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX
Version : 9.0.124.0
Flash Player ActiveX n'est pas à jour!

Name : FlashPlayer Plugin
Version : 10.3.183.10
Flash Player Plugin n'est pas à jour!

Nom : Mozilla Firefox 13.0 (x86 fr)
Version : 13.0

Nom : Mozilla Maintenance Service
Version : 13.0

Java Information :
Nom : Java(TM) 7 Update 4
Version : 7.0.40
Java(TM) 7 Update 4 est à jour

Name : Adobe Reader 9 - Français
Version : 9.0.0
Adobe Reader n'est pas à jour!

Nom : Internet Explorer
Version : 7.0.6001.18000

[chantal11]

Bonjour,

J'ai suivit toute les démarches mais je n'ai pas réussit à installer internet explorer 9

Retente l'installation de IE9, maintenant que le SP2 est installé ou recherche des mises à jour via Windows Update et installe tout ce qui t'est proposé, y compris IE9.

---------------------------------------------------------------------------------------------

Les mises à jour n'ont pas été effectuées avec l'outil SX Check&Update

On va les faire manuellement.

---------------------------------------------------------------------------------------------

Installe la dernière version Adobe Flash Player :

Télécharge et installe cette dernière version :
Adobe Flash Player
Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)
Il faut installer Flash Player sous chaque navigateur présent sur le système

---------------------------------------------------------------------------------------------

Mets à jour ta version d'Adobe Reader :

Télécharge et installe cette dernière version :
Adobe - Téléchargement d'Adobe Reader
N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan

---------------------------------------------------------------------------------------------

Tu me dis quand c'est fait, nous pourrons ensuite finaliser la procédure.

@+

[mooki]

Re,

J'ai réussi a installer internet explorer 9!

Cependant, l'installation d'Adobe Flash Player a échoué : "l'écriture de l'un des fichiers requis (C:/Windows/systeme32/FlashPlayerCPLApp.cpl:5) a échoué car les autorisations sont insuffisantes. "
Le téléchargement de Adobe Reader échoue égallement... décidément!

Merci encore pour tout ce temps passé à m'aider,

Elise

[chantal11]

Re,

OK pour IE9.

Tu es bien dans une session administrateur pour faire les mises à jour Adobe ?

Il te faut télécharger le fichier proposé et l'enregistrer sur ton Bureau.
Ensuite, tu l'exécutes par clic-droit -> Exécuter en tant qu'administrateur.

@+

[mooki]

Re,

J'ai bien fait les étapes recommandées (enregistrer sur le bureau + excecutez en tant qu'administrateur ) et mon compte est bien en administrateur mais je ne parvient toujours pas à enregistrer le fichiers, les mêmes message s'affichent...

Elise

[chantal11]

Re,

Désinstalle Adobe Flash Player et Adobe Reader via Panneau de configuration -> Programmes et fonctionnalités.

Redémarre le PC.

Retente leurs installations.

@+