Smart HDD 2

[Marc2]

Bonjour,

 

J'ai eu des messages et symptome équivalents à ceux décrits par KS_Croc ("Je viens de me faire infecter par SMART HDD...

Je n'ai plus de programmes ou d’icônes affichées et une fenêtre m'indique que mon disque dur est endommagé.

")

 

Fenêtre SMART HDD et indication de correction à apporter pour résoudre des problème de mon disque dur (que je n'ai pas suivi).

 

J'ai essayé de suivre les consignes du forum :

J'ai mis RogueKiller.

J'ai mis TDSSKiller.

J'ai mis Unhide.

Et les ai utilisé comme indiqué par le forum.

 

Je suis en mode sans echec avec prise en charge réseau.

Je n'ai plus la fenetre HDD mais je n'ai toujours pas mes programmes ni mes répertoires.

 

Sur le disque, je n'ai que ma quarantaine tdsskiller. Je ne suis pas sur d'avoir agi comme il fallait.

 

Merci pour votre aide.

 

Marc

 

Merci de votre aide!

[Apollo]

Bonsoir,

 

Il vaut toujours mieux exposer son problème et attendre la venue d'un assistant avant de lancer des outils au hasard.

 

Ici, ceux que tu as utilisés ne sont pas dangereux mais sans rapports, nous ne pouvons rien faire.

 

Je te suggère de relancer Rogue Killer avec seulement le bouton "scan", puis poste son rapport.

 

Poste également le rapport de TDSSKiller que tu trouveras sur le C:\ s'il est trop long, héberge-le ici: Accueil de Cjoint.com ceci afin de ne pas prendre le risque de palnter le sujet.

 

@++

Modifié le 8 avril 2012 par Apollo

[Marc2]

Bonsoir,

 

Merci pour la réponse et excusez moi pour ce délai de suivi.

 

La situation s'est un peu améliorée bien que pas complètement (utilisation notamment de AVAST).

 

Je peux désormais lancer mon ordi normalement.

La plupart de mes fichiers sont dispos sur le disque.

En revanche, je n'ai plus aucune icône sur le bureau, j'ai perdu d'ailleurs de nombreux programmes dans le menu "démarrer" (utilitaires entre autres) et ceux qui restent ne lancent rien...

 

Bref, je n'en ai pas encore fini.

 

Voici les rapports TDSSKiller : Lien CJoint.com BDobngibomg

et de RogueKiller

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Compaq_Propriétaire [Droits d'admin]

Mode: Recherche -- Date: 14/04/2012 00:48:35

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 14 ¤¤¤

[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[31] : NtConnectPort @ 0x80598C34 -> HOOKED (Unknown @ 0xE17C1580)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3120022A +++++

--- User ---

[MBR] 75da0e39c862ae267901e07a677e2d58

[bSP] 5701e99c6e5ec67d1b4558e1876d5636 : MBR Code unknown

Partition table:

0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 4510 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 9238320 | Size: 109952 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

 

Que devrais je faire pour récupérer mes liens sur mes programmes et m'assurer que mon PC est sain ?

 

Merci d'avance.

 

Marc

[Apollo]

Bonjour,

 

Relancer Rogue KIller et utiliser:

 

1. suppression, poster le rapport.

 

2. RaccourcisRaz puis poster le rapport.

 

-------------Pour réparer les associations de fichiers:

 

Sous XP:

 

Télécharge xp_exe_fix.zip de Doug Knox et enregistre-le sur ton bureau.

 

Décompresse le fichier zip, tu obtiendras un fichier *.reg.

 

Fais un clic droit dessus puis clique sur fusionner; accepte la fusion dans le registre.

 

Redémarre ton pc et réessaie d'utiliser tes exécutables.-

 

 

 

-------------

MBAM: Ne pas accepter la proposition d'essai de la version Pro sous peine de conflits possibles. (c'est comme vous voulez)

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.61.1.1400 Download

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Marc2]

Merci

 

Voilà déjà le rapport de RogueKiller:

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Compaq_Propriétaire [Droits d'admin]

Mode: Suppression -- Date: 14/04/2012 12:50:41

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[31] : NtConnectPort @ 0x80598C34 -> HOOKED (Unknown @ 0xE17721F8)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3120022A +++++

--- User ---

[MBR] 75da0e39c862ae267901e07a677e2d58

[bSP] 5701e99c6e5ec67d1b4558e1876d5636 : MBR Code unknown

Partition table:

0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 4510 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 9238320 | Size: 109952 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

Avant d'effectuer cette opération, j'avais utilise Unhide et j'ai retrouvé des icones et des programmes dans "demarrer=>tous les programmes", Toutefois ces derniers renvoie souvent au "vide". Point intéressant, dans ces programmes je trouve SMART HDD avec une fenetre de lancement et un utilitaire uninstall SMART HDD ! Je n'ai rien lancé.

 

Je continue avec xp_exe_fix.zip.

 

Marc

[Marc2]

BOnjour,

 

après racc.RAZ, voilà ce que donne le rapport :

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Compaq_Propriétaire [Droits d'admin]

Mode: Raccourcis RAZ -- Date: 14/04/2012 13:10:43

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 0 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 21 / Fail 0

Mes documents: Success 4 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 143 / Fail 0

Sauvegarde: [FOUND] Success 297 / Fail 10

 

Lecteurs:

[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[E:] \Device\CdRom0 -- 0x5 --> Skipped

[F:] \Device\Harddisk1\DP(1)0-0+7 -- 0x2 --> Restored

[G:] \Device\Harddisk2\DP(1)0-0+8 -- 0x2 --> Restored

[H:] \Device\Harddisk3\DP(1)0-0+9 -- 0x2 --> Restored

[i:] \Device\Harddisk4\DP(1)0-0+a -- 0x2 --> Restored

 

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

[Marc2]

Re-bounjour,

 

J'ai fait la recherche MBAM (2h30).

2 detections.

Lorsque j'ai essaye de les supprimer ca a planté, mais en rebootant, j'ai retrouvé les 2 (1 fichier et 1 REgistry data) en quarantaine. Donc peut être que cela a fonctionné.

 

Voilà le rapport que j'avais obtenu.

Le staut actuel est qu'il semble que j'ai retrouvé les icone, les liens avec les programmes et le menu de démarrage...

 

Mais je ne suis pas sur d'avoir éradiquer le virus d'une part, et le PC est excessivement lent d'autre part. Enfin, Firefox et IE, explorer se bloquent très régulièrement... peut etre des conflits entre antivirus...

 

 

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.04.14.03

 

Windows XP Service Pack 2 x86 NTFS

Internet Explorer 6.0.2900.2180

Compaq_Propriétaire :: NOM-47D5A5B94AD [administrateur]

 

14/04/2012 14:59:25

mbam-log-2012-04-14 (18-31-39).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 313148

Temps écoulé: 2 heure(s), 36 minute(s), 51 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL|CheckedValue (PUM.Hijack.System.Hidden) -> Mauvais: (0) Bon: (1) -> Aucune action effectuée.

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\05ABC527\SoftonicDownloader_pour_kaspersky-tdsskiller[1].exe (PUP.ToolbarDownloader) -> Aucune action effectuée.

 

(fin)

 

 

Merci d'avance

 

Marc

[Marc2]

J'ai toujours dans démarrer => tous mes programmes

 

SMART HDD avec proposition d'un exe de désintallation

 

Que dois je faire ?

 

Marc

[Apollo]

Bonjour,

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes soient fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

[Marc2]

Merci,

 

juste une petite remarque avant de lancer combo fix,

 

J'ai relancé MBAM cette nuit et je n'avais plus aucune "alerte".

Ce matin, Firefox et IE ont l'air de fonctionner pas trop mal (pas très rapide mais tout de même correctement - il ne plante plus pour le moment).

 

Croyez vous qu'il soit nécessaire de lancer ComboFix qui a l'air d'être bien puissant. Si cela était motivé par le plantage de la connexion internet, cela ne semble plus nécessaire.

 

Si cela était motivé par le contenu du rapport MBAM (voir nouvelle données).

 

Globalement, les problèmes que je délore encore sont :

le relatif ralentissement de la machine, qui pourrait très bien être causé par des conflits d'antivirus et autres outils d'analyse...

La présence récurrente de SMART HDD dans les programmes...

Le ménage dans les outils que je dois faire

 

Pensez vous que je doive utiliser ComboFix ? ou faire le ménage (comment?)

 

Merci

 

Marc