Un virus m'a volé mes fichiers et programmes

Idoll · le 7 mai 2011

Bonjour,

J'envoie ce message car depuis quelques heures l'accès à mes fichiers m'est refusé. J'ai utiliser mon anti virus AVIRA AntiVir, Malwarebytes Antimalware, rien n'y fait.

En fait, j'ai eu une fenêtre intempestive qui n'arretait pas de me demander une autorisation d'acces que j'ai refusé à chaque fois. L'apparition de cette fenêtre était telle que j'ai du fermé ma session.

Et horreur quand je reviens sur mon ordinateurs, mon bureau n'a plus de dossiers, mes programmes sont vides, lorsque je tente d'aller dans mes document tout est sous forme de raccourcis et je n'y ai pas accès.

Depuis je recois des messages de memoire defaillante de RAM, et bien sur je ne retrouve pas la source, que faire?

Modifié le 7 mai 2011 par Idoll

bernard53 · le 7 mai 2011

Bonjour fait ceci s.t.p

Dans cet ordre.

1-* Télécharge sur le bureau RogueKiller (par tigzy)

* Lance le puis valide choix 2.

* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

2-Relance RoqueKiller mais cette fois avec option 6

3-Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

A la fin de l'installation ZHPDiag va se lancer....

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

Idoll · le 7 mai 2011

Malheureusement Rogue killer ne cesse de s'arretter de fonctionner encours d'analyse. On me dit d'abord que le version n'est pas la dernière version puis lorque je tape l'option de suppression, le programme cesse de fonctionner.

J'ai néansmoins pu utiliser ZHPDiag dont voici le lien vers le rapport:

Cliquez ici.

Idoll · le 7 mai 2011

Oh!!!! Je viens de réutiliser RogueKiller en sautant l'étape 2, et je suis donc directement passer par la phase de suppression et oh surprise j'ai un rapport et MES FICHIERS ET MES PROGRAMMES et surtt j'y AI ACCES!!!!

Par contre, j'ai encore plein de petit raccourcis : par exemple le fichier "mes documents" existes en DEUX exemplaires. J'en fait quoi?

Voici le rapport De ROGUEKILLER:

RogueKiller V5.1.1 [05/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/22)

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode normal

Utilisateur: IDOLL [Droits d'admin]

Mode: Raccourcis RAZ -- Date : 08/05/2011 01:17:18

Processus malicieux: 0

Attributs de fichiers restaures:

Bureau: Success 166 / Fail 0

Lancement rapide: Success 14 / Fail 0

Programmes: Success 0 / Fail 0

Menu demarrer: Success 33 / Fail 0

Dossier utilisateur: Success 2380 / Fail 0

Mes documents: Success 2907 / Fail 0

Mes favoris: Success 48 / Fail 0

Mes images: Success 157 / Fail 0

Ma musique: Success 57 / Fail 3

Mes videos: Success 12 / Fail 0

Disques locaux: Success 84698 / Fail 2

Termine : << RKreport[1].txt >>

RKreport[1].txt

MERCI infiniement en tout cas, je vais faire un tour dans la section prévention.

bernard53 · le 8 mai 2011

ok fait ceci maintenant.

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

M3 - MFPP: Plugins - [iDOLL] -- C:\Users\IDOLL\AppData\Roaming\Mozilla\Firefox\Profiles\ts5pid28.default\searchplugins\conduit.xml

M3 - MFPP: Plugins - [iDOLL] -- C:\Users\IDOLL\AppData\Roaming\Mozilla\Firefox\Profiles\ts5pid28.default\searchplugins\fissa.xml

M0 - MFSP: prefs.js [iDOLL - ts5pid28.default] http://search.conduit.com/?ctid=CT2542115&SearchSource=13

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Windows programs

R0 - HKUS\S-1-5-21-3934209237-436822869-1708141147-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Windows programs

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Windows programs

R1 - HKUS\S-1-5-21-3934209237-436822869-1708141147-1000\Software\Microsoft\Internet Explorer\Main,Search Page = Windows programs

R3 - URLSearchHook: Softonic_France Toolbar [64Bits] - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.2.4) -- C:\Program Files (x86)\Softonic_France\tbSoft.dll

R3 - URLSearchHook: Eazel-FR Toolbar [64Bits] - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files (x86)\Eazel-FR\prxtbEaze.dll

O23 - Service: (Microsoft SharePoint Workspace Audit Service) - Clé orpheline

O23 - Service: (SampleCollector) - Clé orpheline

O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine

O42 - Logiciel: Eazel-FR Toolbar - (.Eazel-FR.) [HKLM][64Bits] -- Eazel-FR Toolbar

O42 - Logiciel: Fissa - (.Secure Digital Services.) [HKLM][64Bits] -- {4BD271AB-66E2-4D58-AF88-80FE3B0770C4}

O42 - Logiciel: Java 6 Update 16 (64-bit) - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F86416016FF}

O42 - Logiciel: Java 6 Update 21 - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216016FF}

O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM][64Bits] -- Softonic_France Toolbar

[HKCU\Software\AppDataLow\Software\Conduit]

[HKCU\Software\AppDataLow\Software\PriceGong]

[HKCU\Software\AppDataLow\Software\ShopperReports3]

[HKCU\Software\AppDataLow\Software\Softonic_France]

[HKCU\Software\AppDataLow\Software\conduitEngine]

[HKCU\Software\AppDataLow\Toolbar]

[HKCU\Software\FissaSearch]

[HKCU\Software\OfferBox]

[HKCU\Software\Spointer]

[HKLM\Software\Conduit]

[HKLM\Software\FissaSearch]

[HKLM\Software\OfferBox]

[HKLM\Software\Softonic_France]

[HKLM\Software\Trymedia Systems]

O43 - CFD: 13/11/2010 - 11:46:04 - [25115] --H-D- C:\Users\IDOLL\AppData\Roaming\FissaSearch

O43 - CFD: 19/02/2011 - 07:49:02 - [242321] --H-D- C:\Users\IDOLL\AppData\Roaming\OfferBox

O43 - CFD: 01/04/2011 - 20:52:24 - [38496] --H-D- C:\Users\IDOLL\Appdata\Local\Conduit

O43 - CFD: 08/12/2010 - 15:05:16 - [634976] ----D- C:\Program Files (x86)\Conduit

O43 - CFD: 08/12/2010 - 15:05:14 - [3984238] ----D- C:\Program Files (x86)\ConduitEngine

O43 - CFD: 31/03/2011 - 14:07:50 - [93016] ----D- C:\Program Files (x86)\OfferBox

O43 - CFD: 08/12/2010 - 15:05:16 - [4131963] ----D- C:\Program Files (x86)\Softonic_France

O69 - SBI: C:\Users\IDOLL\AppData\Roaming\Mozilla\Firefox\Profiles\ts5pid28.default\searchplugins\conduit.xml

O69 - SBI: prefs.js [iDOLL - ts5pid28.default] user_pref("CT2542115.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115

O69 - SBI: prefs.js [iDOLL - ts5pid28.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=

O69 - SBI: prefs.js [iDOLL - ts5pid28.default] user_pref("browser.startup.homepage", "http://search.conduit.com/?ctid=CT2542115&SearchSource=13");

O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Softonic_France Customized Web Search) - http://search.conduit.com

O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} - (Fissa) - Fissa search

O69 - SBI: SearchScopes [HKCU] {F04BEA40-023B-44A2-9443-18F2C2B81F72} - (http://www.eazel.com/fr/index.php?rvs=hompag) - Windows programs

FirewallRaz

EmptyFlash

Emptytemp

Puis Lance ZHPFix depuis le raccourci du bureau.

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

-> laisse travailler l'outil et ne touche à rien ...

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

ensuite::

Installe Malewarebytes' Antimalware,

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

Puis pour tes raccourcis en double::

Clique droit sur les raccourcis en double--Propriété--dis moi s'ils ont la même cible.

Idoll · le 8 mai 2011

Bonjour,

Voila le rapport de ZHPFix:

Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011

Fichier d'export Registre :

Run by IDOLL at 08/05/2011 10:32:11

Windows 7 Home Premium Edition, 64-bit (Build 7600)

Web site : ZHPFix Fix de rapport

========== Logiciel(s) ==========

O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine => Logiciel déjà supprimé

O42 - Logiciel: Eazel-FR Toolbar - (.Eazel-FR.) [HKLM][64Bits] -- Eazel-FR Toolbar => Logiciel déjà supprimé

O42 - Logiciel: Fissa - (.Secure Digital Services.) [HKLM][64Bits] -- {4BD271AB-66E2-4D58-AF88-80FE3B0770C4} => Logiciel déjà supprimé

O42 - Logiciel: Java 6 Update 21 - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216016FF} => Logiciel déjà supprimé

O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM][64Bits] -- Softonic_France Toolbar => Logiciel déjà supprimé

========== Clé(s) du Registre ==========

O42 - Logiciel: Java 6 Update 16 (64-bit) - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F86416016FF} => Clé non supprimée

O23 - Service: (Microsoft SharePoint Workspace Audit Service) - Clé orpheline => Clé supprimée avec succès

O23 - Service: (SampleCollector) - Clé orpheline => Clé supprimée avec succès

HKCU\Software\AppDataLow\Software\Conduit => Clé supprimée avec succès

HKCU\Software\AppDataLow\Software\PriceGong => Clé supprimée avec succès

HKCU\Software\AppDataLow\Software\ShopperReports3 => Clé supprimée avec succès

HKCU\Software\AppDataLow\Software\Softonic_France => Clé supprimée avec succès

HKCU\Software\AppDataLow\Software\conduitEngine => Clé supprimée avec succès

HKCU\Software\AppDataLow\Toolbar => Clé supprimée avec succès

HKCU\Software\FissaSearch => Clé supprimée avec succès

HKCU\Software\OfferBox => Clé supprimée avec succès

HKCU\Software\Spointer => Clé supprimée avec succès

HKLM\Software\Conduit => Clé absente

HKLM\Software\FissaSearch => Clé absente

HKLM\Software\OfferBox => Clé absente

HKLM\Software\Softonic_France => Clé absente

HKLM\Software\Trymedia Systems => Clé absente

O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Softonic_France Customized Web Search) - http://search.conduit.com => Clé supprimée avec succès

O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} - (Fissa) - Fissa search => Clé supprimée avec succès

O69 - SBI: SearchScopes [HKCU] {F04BEA40-023B-44A2-9443-18F2C2B81F72} - (http://www.eazel.com....php?rvs=hompag) - Windows programs => Clé supprimée avec succès

========== Valeur(s) du Registre ==========

R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.2.4) -- C:\Program Files (x86)\Softonic_France\tbSoft.dll => Valeur supprimée avec succès

R3 - URLSearchHook: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files (x86)\Eazel-FR\prxtbEaze.dll => Valeur supprimée avec succès

FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"

FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"

FirewallRaz (Domain) : FPS-SpoolSvc-In-TCP-NoScope => Valeur supprimée avec succès

FirewallRaz (Public) : FPS-SpoolSvc-In-TCP => Valeur supprimée avec succès

FirewallRaz (Domain) : CoreNet-GP-LSASS-Out-TCP => Valeur supprimée avec succès

FirewallRaz (Domain) : RemoteSvcAdmin-In-TCP-NoScope => Valeur supprimée avec succès

FirewallRaz (Public) : RemoteSvcAdmin-In-TCP => Valeur supprimée avec succès

FirewallRaz (Domain) : NetPres-In-TCP-NoScope => Valeur supprimée avec succès

FirewallRaz (Domain) : NetPres-Out-TCP-NoScope => Valeur supprimée avec succès

FirewallRaz (None) : NetPres-WSD-In-UDP => Valeur supprimée avec succès

FirewallRaz (None) : NetPres-WSD-Out-UDP => Valeur supprimée avec succès

FirewallRaz (Public) : NetPres-In-TCP => Valeur supprimée avec succès

FirewallRaz (Public) : NetPres-Out-TCP => Valeur supprimée avec succès

FirewallRaz (Domain) : {1B0D8250-7BAB-4D15-BCFF-47D261055D67} => Valeur supprimée avec succès

FirewallRaz (None) : {27B68EB7-80B0-4F45-80AD-542D48CD82F3} => Valeur supprimée avec succès

FirewallRaz (Private) : {8912E11A-B35D-462C-BD27-4DB7262F62AD} => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Windows programs => Donnée supprimée avec succès

R0 - HKUS\S-1-5-21-3934209237-436822869-1708141147-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Windows programs => Donnée supprimée avec succès

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Windows programs => Donnée supprimée avec succès

R1 - HKUS\S-1-5-21-3934209237-436822869-1708141147-1000\Software\Microsoft\Internet Explorer\Main,Search Page = Windows programs => Donnée supprimée avec succès

========== Préférences navigateur ==========

O69 - SBI: prefs.js [iDOLL - ts5pid28.default] user_pref("CT2542115.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115 => Valeur supprimée avec succès

O69 - SBI: prefs.js [iDOLL - ts5pid28.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource= => Valeur supprimée avec succès

O69 - SBI: prefs.js [iDOLL - ts5pid28.default] user_pref("browser.startup.homepage", "http://search.conduit.com/?ctid=CT2542115&SearchSource=13"); => Valeur supprimée avec succès

========== Dossier(s) ==========

Dossiers temporaires Windows supprimés: 551

========== Fichier(s) ==========

Fichiers temporaires Windows supprimés : 1869

========== Autre ==========

http://fr.viki.com/channels/1729-maM3 - MFPP: Plugins - [iDOLL] -- C:\Users\IDOLL\AppData\Roaming\Mozilla\Firefox\Profiles\ts5pid28.default\searchplugins\conduit.xml => Format Non supporté

ry-stayed-out-all-night/videos/30210/4 => Format Non supporté

========== Récapitulatif ==========

20 : Clé(s) du Registre

18 : Valeur(s) du Registre

4 : Elément(s) de donnée du Registre

1 : Dossier(s)

1 : Fichier(s)

5 : Logiciel(s)

3 : Préférences navigateur

2 : Autre

End of the scan

bernard53 · le 8 mai 2011

Tu as passé Malewarebytes :chpas:

Idoll · le 8 mai 2011

Ben en fait,

j'ai du interrompre l'analyse ce matin. La je poursuis et j'attends toujours le résultat( 35minutes de scan pour l'instant avec 131900 elements analyseé et pas de virus)

bernard53 · le 9 mai 2011

Ben en fait,

j'ai du interrompre l'analyse ce matin. La je poursuis et j'attends toujours le résultat( 35minutes de scan pour l'instant avec 131900 elements analyseé et pas de virus)

Selon le pc le scan peux être très long

Idoll · le 16 mai 2011

Bonjour,

voila le rapport scan.

Rien de détecter.

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Version de la base de données: 6589

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

16/05/2011 18:29:42

mbam-log-2011-05-16 (18-29-42).txt

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 364322

Temps écoulé: 1 heure(s), 30 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):