problème "WINDOWS RECOVERY"

[invite1852e093]

Bonjour à tous!
depuis avant hier, j'ai reçu une alerte "windows recovery", vous voyez le genre? j'ai trouvé louche tt des suite car je n'avais pas d'usage p2p ou autre... enfin ca a été envahissant: les messages alerte disque dur ne répond pas, 39% du disque dur n'est pas trouvable, la mémoire RAM est gelée (un truc du genre). Le pc qui redémarre après quelques alertes, un scan de windows recovery qui me sort 5 erreurs critiques.
Aussi, mes documents étaient "vides", je n'y retrouvais plus rien! Seul, mon poste de travail, fidèle à mes commandes et fier de me rendre ses vieux services me répondait, pauvre ami me suis-je dit...tout seul malgré le gel du disque et la chaleur du processeur!!! looool.
Sur le coup, je me suis dit ca y est c'est clair que mon disque dur est grillé!!! mais après toutes les alertes et du fait que j'ai jeté un coup d'œil rapide sur google, j'ai compris que c'était des fausses alertes d'un virus du genre "honnête et poli", qui sait bien se présenter, loool! Du coup y'avait un forum où on recommandait fortement d'utiliser LOARIS v1.2.3.6 qui était la solution idéale pour s'en débarrasser à vie! mais c'était une version payante et je ne voulais pas l'acheter.
sur un autre forum on recommandait RogueKiller à quelqu'un qui a eu le même problème et je l'ai essayé. Ça a enlevé 2 virus je crois... puis encore AD-REMOVER et tdsskiller. Et aussi Malwarebyte (2 scans efrfectués), mais lui, il ne voulait pas faire la mise à jour et il ne m'a sorti qu'un malware qu'il a soit disant supprimé.
C'est vrai que le pc redevient plus ou moins fonctionnel, puisque le papier peint de bureau est réapparu (après s'être transformé en "cagoule noire"), et les icônes principales du bureau (poste de travail, favoris réseau, corbeille, mes documents et internet explorer) mais pas mes propres raccourcis. D'ailleurs, dans le menu démarrer les programmes ont tous disparus comme dans mes documents, mes images, mes vidéos et ma musique! et ça c'est resté inopérable jusqu'à maintenant.
Bref voilà pourquoi je me suis dit qu'il fallait que je poste une question sur ce sujet pour être sûr de ce que je fais et pas mélanger tout et n'importe quoi!
Merci de me répondre et de m'aider.

PS: je ne trouve pas le rapport de roguekiller....
-----

[JPL]

Peux-tu appliquer cette procédure : http://www.futura-sciences.com/fr/do...701/c3/221/p1/ ?

De façon générale les recettes données pour un cas particulier d'infection sont rarement transposables sur des cas en apparence semblables à cause des diverses versions successives du même malware et à cause de la possibilité fréquente d'infections multiples. Donc en attendant l'avis du groupe antimalware n'applique plus aucun autre outil recommandé sur le net : tu pourrais même faire des dégâts irrécupérables.

[invite42302d4e]

Salut,

tu n'aurais pas due utiliser ces outils sans demander conseil

espérons que les fichiers temporaires n'aient pas étés vider

enfonce les touches Windows+R pour ouvrir une fenêtre "exécuter"
tape cmd et valide en cliquant sur "OK"

Une fenêtre noire va s'ouvrir...

tape à l'intérieure de celle-ci le texte en rouge
attrib -h c:\* /s
/!\ respecte bien les espaces/!\

toute une liste de commande devrait défiller...laisse faire tout ça...et beaucoup de documents devraient réapparaitre..

ensuite enfonce les touches Windows+R pour ouvrir une fenêtre "exécuter"
tape %temp% et valide en cliquant sur "OK"

Le dossier "temp" va s'ouvrir...

clique sur outil > options des dossiers > choisie l'onglet "affichage"

• Coche "Afficher les Fichiers et dossiers cachés"
• Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"
• Décoche "Masquer les extensions dont le type est connu"
• Clique sur "Appliquer" et "Ok" pour valider les changements.

regarde dans le dossier "temp" et dis moi si tu y vois un dossier "smtmp" ?


@++

[invite1852e093]

salut; merci de m'avoir répondu aussi vite! c vrai je sais qu'il aurait fallut te demander auparavant...j'en suis désolé mais ca me gênait et quand j'ai vu que l'autre gars était plus ou moins satisfait, j'ai opéré comme lui...
Enfin, voilà, j'ai fait comme tu m'as dit et j'ai trouvé le dossier "smtmp"! chose bizarre, les dossiers sont tous "cachés" alors que les fichiers, eux, ne le sont pas! autre chose dans la fenêtre noire (qui ne se referme d'ailleurs pas tte seule), presque tout n'est pas "remis à zéro"...c'est normal? Aussi elle est restée sur C:documents and settings user...normal qu'elle se referme pas tte seule?
Bref, apparemment, ce que je ne retrouve pas c'est les raccourcis des programmes dans le menu "démarrer". Ceux du bureau, eux, bien!
Je te remercie de bien vouloir me répondre,bonne nuit!

[A voir en vidéo sur Futura]

[invite42302d4e]

hello,

Fais cela dans l'ordre stp...

1.Si ce dossier smtmp est caché, fais un clic-droit dessus et décoche "caché".
2.Copie se fichier smtmp à la racine de ton disque c:\ ( le chemin d'accès devras être "c:\smtmp"

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

* Copier et colle le contenue de cette citation en grasdans la partie inférieure d'OTL "personnalisation"

%SYSTEMDRIVE%\smtmp\* /s
%SYSTEMDRIVE%\smtmp\*.* /s
%ALLUSERSPROFILE%\Menu Démarrer\* /s
%ALLUSERSPROFILE%\Menu Démarrer\*.* /s
%USERSPROFILE%\Menu Démarrer\* /s
%USERSPROFILE%\Menu Démarrer\*.* /s
nslookup www.google.fr /c
SAVEMBR:0
NetSvcs
%systemroot%\system32\drivers\ *.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
sptd.sys
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles


* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Copie et colle les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL

[invite1852e093]

coucou, comment vas-tu? Voilà sans trop parler les 2 rapports...y'a juste que le menu démarrer est tjr comme je t'ai dit: à moitié vide! j'en fais quoi de mes programmes???

P.S: le fichier OTL.txt étant trop grand par rapport à la limite permise pour les pièces jointes; je l'ai partagé en 2 fichiers "bloc note" la première partie est OTL 1.txt et la suite est OTL 2.txt ...désolé!

[invite42302d4e]

hello, c'est normal que tu n'ai presque rien dans le menu démarrer, mais rassure toi on pourra les restaurer plus tard

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

Code:

:OTL
[2011/05/11 03:59:00 | 000,000,000 | -H-D | M] (Babylon) -- C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\nxvivipt.default\extensions\ffxtlbr@babylon.com      
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=b4e54407000000000000001f1f554003&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18027&q="    

:Files
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Loaris Trojan Remover
C:\Program Files\Loaris
C:\Documents and Settings\User\Menu Démarrer\Programmes\Windows Recovery      
C:\WINDOWS\tasks\Automatic troubleshooting.job              
C:\Documents and Settings\All Users\Application Data\~18931492      
C:\Documents and Settings\All Users\Application Data\~18931492r 
C:\Documents and Settings\All Users\Application Data\18931492 
C:\Documents and Settings\User\Application Data\BabylonToolbar         
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Loaris Trojan Remover\Loaris Trojan Remover on the Web.url    
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Loaris Trojan Remover\Loaris Trojan Remover.lnk    

:Commands
[emptytemp] 
[EMPTYFLASH]

* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport va s'ouvrir
* Copie et colle le rapports dans ta réponse stp...

@++

[invite1852e093]

salut, comment ca va? Vlà le fichier OTL! Merci beaucoup!!! Dis-moi si tt est en ordre...quant aux programmes ils sont dans prog files mais plus dans le menu démarrer, sinon le dossier "smtmp", je le laisse dans le disque C:/ ou non??? BONNE NUIT.

[invite42302d4e]

hello,

c'est pas mal, on s'occupe maintenant de ton menu démarrer...

Li bien mes instructions et fais cela dans l'ordre stp...

1.Ouvre les disque "C:\" et fais un clic-droit sur le dossier "smtmp",choisis "propriétés" , à l'onglet "Général" décoches le case "Caché" et cliques sur "appliquer" >> "OK"
au message te demandant si tu veux appliquer à tous les éléments, laisse le choix proposé par défaut

ensuite ouvre OTL...

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

Code:

:Files
C:\Documents and Settings\All Users\Menu Démarrer|c:\smtmp\1\* /replace
C:\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\Quick Launch|c:\smtmp\2\* /replace
C:\Documents and Settings\All Users\Bureau|c:\smtmp\4\* /replace

\Application Data\Microsoft\Internet Explorer\Quick Launch
C:\Documents and Settings\All Users\Bureau|
* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport va s'ouvrir
* Copie et colle le rapports dans ta réponse stp...

dis moi ensuite si le menu démarrer et de retour à la normal

[invite1852e093]

Hi, dis, en dessous de la citation que tu m'as indiqué pour OTL, y'a un chemin supplémentaire que tu as mit en dehors de la case simulée pour la personnalisation...c'est une erreur de ta part ou est-ce que je dois l'inclure dans la citation comme suite, ou bien...???

[invite42302d4e]

oups, désolé

oui, c'est une erreur à l'édition, tient compte uniquement de ce qui est dans la citation

[invite1852e093]

Vlà le travail, mais y'a pas grand chose qui soit revenue dans le menu...au fait, ca vient tt seul ce "windows recovery"??? et le dossier "smtmp" que j'ai copié dans C:/ , je le supprime ou je laisse la copie là où elle est? MERCI...

[invite42302d4e]

plop,

ça a merdouiller quelque part, c'est pas grave on va restaurer ton menu démarrer manuellement...

ouvre le dossier "c:\smtmp\1\" et copie tout ce qui se trouve à l'intérieure...
ensuite ouvre le dossier "C:\Documents and Settings\All Users\Menu Démarrer\" et fais un clic-droit à l'intérieure et choisis "coller"
vérifie que tous les dossiers et raccourcis ne soient pas cachés.

ensuite regarde si tout est revenu dans le menu démarrer et tient moi au courant

pour l'instant garde le dossier "smtmp" car il contient la sauvegarde des raccourcis de ton menu démarrer.

@++

[invite1852e093]

coucou, j'ai l'impression que c à cause que tous les dossiers sont "cachés"! car j'ai fait ce que tu m'as dit et j'ai trouvé le même contenu...mais caché!!! j'ai décoché et le menu démarrer s'est rempli à nouveau! D'où la question: est ce que je dois remettre tout ce que je vois en apparent...non, je sais, mais quoi exactement???

Un truc qui apparait à chaque démarrage maintenant est ceci:

desktop.ini
[.ShellClassInfo]
LocalizedResourceName=@%System Root%\system32\shell32.dll,-21787

alors est ce que c un résidu du "windows recovery"???? Aucune idée!

Y'a aussi des dossiers genre "system volume information" (contenu vide); autorun.inf; recycler; MSOCache tous en "caché" qui se sont rajoutés au disque C:/, normal?

MERCI ENORMEMENT POUR TON AIDE PRECIEUSE ET BONNE NUIT...

[invite42302d4e]

hello,

Y'a aussi des dossiers genre "system volume information" (contenu vide); autorun.inf; recycler; MSOCache tous en "caché" qui se sont rajoutés au disque C:/, normal?

oui c'est normal, il faut les laissés ainsi, c'est important

pour le fichier "desktop.ini" qui se trouve dans le menu démarrer, il apparait car à mon avis il a perdu son attribut "system".
pour résoudre cela c'est très simple...
Tu fais un clic-droit dessus et tu choisis "Propriétés", puis tu coches les cases "system" et caché".
contrôle que tous les fichiers "desktop.ini" (tu en a en général un dans le menu démarrer, sur ton bureau...) afin de cocher "system" et "caché"

en tout cas, dans le dossier "C:\Documents and Settings\All Users\Menu Démarrer", le suel fichier qui doit être caché, c'est le "desktop.ini", tous les autres doivent être visible.

Pardonne moi un peu le brouillon de cette procédure, mais c'est le première fois que l'on tente une restauration de tous ces éléments avec "windows recovery"

Le but du jeu est de rendre visible tous les élément qui son dans le dossier C:\smtmp\1\ (dossiers et fichiers) et de tout copier dans le dossier ""C:\Documents and Settings\All Users\Menu Démarrer".

Si tu as des difficultés pour restaurer tout cela dis le moi et je te préparerai un petit scipt pour faire toutt ça.

@++

[invite1852e093]

Bonsoir cher ami, comment ca va? Désolé de te répondre si tard mais j'étais fort occupé ces derniers jours! Normalement tt est redevenu normal, sauf que dans la barre des taches, les petits raccourcis du côté de la case "démarrer", n'y sont plus! J'ai vite fait regardé dans propriétés, mais j'étais pressé et je n'ai pas bien vérifié ce que je pouvais plus ou moins faire. Si sur ce coup là tu as une solution...ce serait un plaisir de t'obéir...loool. Merci du fond du coeur! Bonne nuit!

[invite42302d4e]

hello,

Télécharge UnHide.exe (de grinler) sur ton bureau
exécute -le et dit moi si c'est revenu...