infection par Data Recovery

[invite15658557]

Bonjour,
Je m'appelle Romain et moi aussi, comme beaucoup d'autre, je suis infecté par Data Recovery. Je suis sur W7 edition familiale premium 64 bits.

Historique de mon problème:
Suite à vagabondage sur le net, j'ai vu apparaitre pleins de fenêtres "system error", vu disparaitre tout mon bureau, puis Data Recovery qui se lance.
J'ai d'abord redemarrer le pc, mais même résultat. Plus de bureau, plus rien dans le menu démarrer...
J'ai télécharger Gridinsoft Trojan Killer qui après analyse m'a bien détecté le malware Data Recovery, mais impossible de le supprimer.
J'ai alors effectuer une restauration système. J'ai récupéré mon fond d'écran, mes raccourcis et le contenu du menu démarrer. En revanche, les documents, images... sont encore tous cachés.
En arrivant sur ce forum, j'ai suivi la procédure préliminaire et j'ai fait un analyse avec Trendmicro HijackThis. Voici le rapport ci-dessous.
Merci de m'aider à finir de me débarrasser de ce Data Recovery et à récupérer mes fichiers.
-----

[JPL]

Il y a un autre rapport qui s'intitule info.txt. Il se trouve dans C:\RSIT

[invite15658557]

ah oui, voici le second rapport

[invite15658557]

Bonjour,
Aucunes réponses
Merci de m'aider.

[A voir en vidéo sur Futura]

[invite15658557]

Bonjour,
J'ai un peu essayé de progresser tout seul sur le sujet.
J'ai installé Malwarebytes Anti-Malware et effectué un examen rapide. Il a trouvé deux menaces qu'il a placé en quarantaine.
Voici le rapport généré.

Par contre, je n'ai toujours pas récupéré mes fichiers... Merci de m'aider à venir à bout de cet saloperie.

[chantal11]

Bonjour,

Désolée pour le délai d'attente.

---------------------------------------------------------------------------------------------

Recommandations pendant la désinfection :

• n'utilise ton PC que pour un strict minimum et surtout n'installe aucun autre programme (hormis les outils indiqués)
• suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative
• signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
• un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles dès que c'est possible
• que les symptômes ne se manifestent plus ne veut pas dire que le système est propre, il faut donc aller jusqu'au bout de la désinfection

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités :

• DAEMON Tools Toolbar (sauf si réelle utilité)

---------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste le rapport en pièce jointe dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Est attendu le rapport RKreport.txt

@+

[invite15658557]

Bonjour,

Il y a quelques mois de cela, j'ai eu des pb avec Data Recovery.
Comme je n'avais pas eu de réponse de helpeur au bout d'une quinzaine de jours (patience quand tu nous tiens), j'avais fini par m'en dépatouiller tout seul en téléchargant ZHPFix et en cliquant sur HiddenFix. Ce n'est que après que j'ai lu la phrase suivante: suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative

Cela m'avait toutefois permi de récupérer tous les fichiers (mes documents, mes images...) stockés sur C:, là où sont également installé Windows et la plupart de mes logiciels. En revanche, je n'ai pas récupérer les fichiers stockés sur D:, l'autre partition du disque.
Le PC a aussi quelques comportements bizarres. Entre autres, il a fait apparaitre des dossiers et des raccourcies (auquels il m'interdit l'accès !?!) qui n'étaient pas là avant.

La réponse ci-dessus étant arrivée après ma petite manipulation et puisque j'avais récupéré la majeure partie des fonctionnalités du pc (je n'avais pas besoin du contenu de D:, des archives photos...), et puis j'ai eu d'autres priorités... donc je n'ai rien fait de plus. Tout du moins jusqu'à aujourd'hui. J'aimerais bien en finir avec ce problème et récupérer mon disque D:

Voici ci-joint le rapport de roguekiller.

Merci de me fournir la souhaite de l'aide pour aller jusqu'au bout de la désinfection, en espérant ne pas avoir trop corrompu de choses lors de mes propre manip.

[chantal11]

Bonjour romain22abc,

Désolée, mais on ne reprend pas une désinfection 7 mois après.
Il t'était sûrement facile de répondre en juin !

Qu'est-ce qu'il se passe exactement avec le disque D ?
Ces dossiers et fichiers sont peut-être depuis le temps devenus irrécupérables.

@+

[invite15658557]

Bonsoir,

Pour la désinfection et la réparation du registe, je ne m'attendais plus à un miracle, surtout après tout ce temps (oui, je sais, 7 mois après j'abuse...). Donc, pas de souci. Le PC continu d'avoir des comportements bizarres, comme me posé des accès restreints à l'administrateur alors que je suis l'administrateur !?!

En revanche, j'ai trouvé pourquoi je ne voyais pas les fichiers. Je n'y avais pas pensé plus tôt et je n'avais même pas essayé parce qu'avec cette connerie de DATA Recovery, je ne pensais pas que cela puisse être si simple. Je suis allé dans panneau de configuration, options des dossiers, onglet affichage, Afficher les fichiers, dossiers et lecteurs cachés et BINGO (oui, c'est très très con). Tout le contenu de mon disque D est réapparu.
Je pense que ce n'est pas si simple tant que DATA recovery est sur le PC, mais avec toutes les manips hazardeuses que j'ai effectué, j'ai à peu près dû m'en débarrasser. Seulement les fichiers avaient visiblement gardé le statut "caché". Ce qui m'a d'abord intrigué c'était que quand je collais un fichier sur D, le nom était bleu (fichier compressé). C'est en fouillant dans options des dossiers que j'ai trouvé.
Le registre ne doit pas être complétement réparé lui, mais au moins je peux récupérer mes fichiers et envisagé de formater.

Tu dois prendre peur devant ma manière de gérer un problème informatique!!! Merci malgré tout pour tes messages, RogueKiller aura surement fait du bien et tu m'as répondu 7 mois après, ce qui m'a incité à fouiller un peu plus. Tu as toutes ma reconnaissance.

[chantal11]

Bonjour,

Tout le contenu de mon disque D est réapparu.

OK, donc de ce côté-là, plus d'inquiétude.

tu m'as répondu 7 mois après

Non, c'est toi qui a répondu 7 mois après !

RogueKiller aura surement fait du bien

RogueKiller a été utilisé en mode Recherche et n'a de toutes façons rien trouvé de néfaste.


On va contrôler le système.

OTL :

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
  
  Code:

  msconfig
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent. Poste ces rapports en PJ.

@+

[invite15658557]

Bonsoir,

Voici les deux rapports

Cordialement

[chantal11]

Bonsoir,



Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

DAEMON Tools Toolbar
Malwarebytes Anti-Malware version 1.65.1.1000 (une nouvelle version est disponible)

---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Malwarebyte's Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

----------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL) (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  :OTL
  IE - HKU\S-1-5-21-3047008423-1229066217-599549785-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
  CHR - default_search_provider: DAEMON Search (Enabled)
  CHR - default_search_provider: search_url = http://www.daemon-search.com/search?q={searchTerms}
  O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
  O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O3:64bit: - HKU\S-1-5-21-3047008423-1229066217-599549785-1001\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
  [2012/05/15 20:51:47 | 000,000,176 | ---- | C] () -- C:\ProgramData\-sbnuGilh5jdJHcr
  [2012/05/15 20:51:47 | 000,000,000 | ---- | C] () -- C:\ProgramData\-sbnuGilh5jdJHc
  [2012/05/15 20:51:43 | 000,000,256 | ---- | C] () -- C:\ProgramData\sbnuGilh5jdJHc
  @Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:41099CE9
  @Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:3AE22B1A
  @Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:D20FFA63
  @Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:3E7393FC
  
  :files
  ipconfig /flushdns /c
  
  :Commands
  [EMPTYTEMP]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste ce rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Sont attendus les rapports en PJ :

• AdwCleaner(S).txt
• mbam-log[date-heure].txt
• C:\_OTL\MovedFiles\********_** ****.log

@+

[invite15658557]

Bonjour,

Dsl pour le délais de ma réponse, j'étais en déplacement pro.
Voici les rapports.

Cordialement.

[chantal11]

Bonsoir,

OK pour les rapports.

---------------------------------------------------------------------------------------------

Désinstalle Java(TM) 6 Update 37 via Panneau de configuration -> Programmes et fonctionnalités.

Installe la dernière version Java 7 Update 11
http://www.java.com/fr/download/

Des failles de sécurité sur Java ne sont pas encore comblées.
Je te conseille vivement de désactiver Java et ne l'activer qu'au besoin, si un site le nécessite (très peu de sites en ont besoin)

• Panneau de configuration -> Programmes -> Java -> onglet Sécurité
• Décoche la case Activer le contenu Java dans le navigateur
• Clique sur Appliquer
  

---------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Rapport
• Poste le rapport rapport_SX.txt dans ta prochaine réponse.

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Est attendu le rapport rapport_SX.txt

@+

[invite15658557]

Bonsoir,

voici le rapport

A+

[chantal11]

Bonjour,

Tu as toujours Firefox installé ?
Il n'apparaît pas dans les programmes.
Si oui, il faut mettre le plugin Flash Player à jour directement depuis Firefox.

Comment se comporte le système maintenant ?

Si tout va bien, nous pourrons finaliser la procédure.

@+

[invite15658557]

Bonjour,
Non pas de firefox.
Je l'installe ?
a+

[chantal11]

Re,

Je l'installe ?

Non, si tu n'en as pas l'utilité, tu ne l'installes pas bien sûr.

Tu n'as pas répondu à la question Comment se comporte le système maintenant ?

Si tout va bien nous pourrons finaliser la procédure.

@+

[chantal11]

Bonjour,

Toujours avec nous ?

Pouvons-nous finaliser la procédure ?

@+