Security-X

Forum Security-X => Désinfections => Discussion démarrée par: Marcollose le juin 02, 2015, 13:16:15

Titre: DDE détecté mais certain fichiers sont illisibles [Résolu]
Posté par: Marcollose le juin 02, 2015, 13:16:15
Décidément je fini par être abonner aux bourdes informatiques :(
Bonjour, je suis dernièrement allé chez ma copine et ayant en tête de renforcer sa culture vidéo ludique très peu développée j'ai donc apporté mon DDE (Disque Dur Externe) chez elle et l'ai branché sur son Pc portable Asus Windows 8.1 pour lui transférer des jeux et aussi en profiter pour récupérer des photos. Quand nous étions sur son ordinateur tout les fichiers fonctionnaient parfaitement (et fonctionne toujours depuis).
Le problème survient au moment ou j'ai rebranché mon DDE sur mon Pc et que celui-ci a considéré comme inexistant (au démarrage) des fichiers qui avaient subis des transferts chez elle et même d'autres qui n'avaient aucun rapport.
A chaque tentative d'ouverture d'un de ces fichiers je reçois le message suivant : http://up.security-x.fr/file.php?h=Rda109a6f6f96fcbea9226759702134e4
De plus aucune de ces fichier n'est supprimable(aucun message d'erreurs), même avec Unlocker
Je suis moi sur un Silencio sous Windows 8.1 64Bit
Merci de comprendre la douleur que j'aurais à récupérer tout ces fichiers au quatre vents et de bien vouloir m'aider.
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 02, 2015, 15:13:56
Bonjour ;)

Y'a aussi une chance pour que t'es choppé un ver USB qui transforme les fichiers sur les support amovibles ...

Pour voir :

Télécharge UsbFix (http://www.usbfix.net/wp-content/uploads/UsbFix/Maj/UsbFix.exe) (de El Desaparecido) sur ton Bureau.

/!\ Déconnecte-toi et ferme toutes les applications en cours /!\
/!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\

Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: Marcollose le juin 02, 2015, 15:52:17
Merci pour ta réponse très rapide.
Voila le rapport :http://up.security-x.fr/file.php?h=R23aff5e61ab0f360792990953c095cb3
En espérant que ça t'aide dans ton diagnostic.
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 02, 2015, 16:01:15
Re,

Et moins d'un an après ta précédente désinfection, de nouveau, un pc bien remplis ...
Tu as réellement suivis nos conseils de prévention ?

En plus, et là, on rigole moins, présence d'un enregistreur de donnée, donc potentiellement tous tes mots de passes ont été piraté ...

Dès à présent, n'utilise plus ce PC pour accéder à tes différents comptes et services sur Internet, le temps de la désinfection.

à suive :


Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)


Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Poste les deux rapports générés.

Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: Marcollose le juin 02, 2015, 17:42:44
Je dois avouer un laisser allé flagrant... Désolé de vous réennuyez avec ça :-X :-[ :'(
Voici les rapports:
Addition: http://up.security-x.fr/file.php?h=R1873de035b0c16b3b7728081e559c6d3 (http://up.security-x.fr/file.php?h=R1873de035b0c16b3b7728081e559c6d3)
FRST: http://up.security-x.fr/file.php?h=R5c0c086f702dd6d7d989b508d0c19c99 (http://up.security-x.fr/file.php?h=R5c0c086f702dd6d7d989b508d0c19c99)
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 02, 2015, 20:02:18
Re,

C'est plutôt pour toi que je dis cela, on parle bien là d'un piratage de donnée personnels ...

Pour le disque, on s'en occupera après, c'est l'index qui a été endommagé, on devrait réussir à le réparer.


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java 7 Update 80 (64-bit)
Java 8 Update 31 (versions obsolètes et vulnérables, tu possèdes une plus récente)





start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
Task: {29FCE178-FE1C-433F-BB99-98A1230FC6DB} - System32\Tasks\{03EB3E30-B8E8-4761-95E2-3A207F65FFB4} => pcalua.exe -a C:\Users\Marcollose\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt
Task: {4BB010ED-7B2F-45F2-A0C5-4687A206D15B} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {7308CEBD-0D2A-448C-A5B9-2F9FFA2D1067} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Marcollose\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION
Task: {7548F94E-98BD-42DF-AB0E-749FDC1F5810} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {9B154A9F-786C-4F81-ABDC-24D02FF1FEB0} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {E35C023B-36AE-459F-A594-86A78DEBFB51} - System32\Tasks\Run_Browser => C:\Users\Marcollose\AppData\Local\UnicoBrowser\Application\unicobrowser.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\678a7185-5455-440b-b575-a67817b3d169-10_user.job => C:\Program Files (x86)\Cinema PlusV14.04-ntf\678a7185-5455-440b-b575-a67817b3d169-10.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
FirewallRules: [TCP Query User{F57DB331-BB83-44A5-9DA6-699F26D00DD4}C:\program files\java\jre7\bin\javaw.exe] => (Allow) C:\program files\java\jre7\bin\javaw.exe
FirewallRules: [UDP Query User{3BF99CE9-1A20-40D6-8456-DFA77666D1B8}C:\program files\java\jre7\bin\javaw.exe] => (Allow) C:\program files\java\jre7\bin\javaw.exe
FirewallRules: [{E6BC5D92-EA47-452B-956E-01F65CDA1044}] => (Block) C:\program files\java\jre7\bin\javaw.exe
FirewallRules: [{5F3FE904-A1D4-44FA-BD2C-4A9FAECB4841}] => (Block) C:\program files\java\jre7\bin\javaw.exe
HKLM-x32\...\Run: [gmsd_fr_421] => [X]
HKLM-x32\...\Run: [gmsd_fr_431] => [X]
HKU\S-1-5-21-1711936963-1032946900-3355487878-1001\...\Run: [EpicScale] => [X]
HKU\S-1-5-21-1711936963-1032946900-3355487878-1001\...\Run: [ContentAgent] => C:\Users\Marcollose\AppData\Local\ContentAgent.exe [109568 2014-03-21] ()
HKU\S-1-5-21-1711936963-1032946900-3355487878-1001\...\Run: [ContentFinder] => C:\Users\Marcollose\AppData\Local\ContentFinder.exe [161280 2014-03-14] (ContentFinder Company)
HKU\S-1-5-21-1711936963-1032946900-3355487878-1001\...\Run: [CommonLauncher] => C:\Users\Marcollose\AppData\Local\CommonLauncher.exe [210944 2014-03-12] (VDC Company)
HKU\S-1-5-21-1711936963-1032946900-3355487878-1001\...\Run: [WindApp] => "C:\Users\Marcollose\AppData\Roaming\Store\WindApp\WindApp.exe" /winstartup
HKU\S-1-5-21-1711936963-1032946900-3355487878-1001\...\Run: [Selection Tools] => "C:\Users\Marcollose\AppData\Roaming\WTools\Selection Tools\Selection Tools.exe" /winstartup
HKU\S-1-5-21-1711936963-1032946900-3355487878-1001\...\Run: [HKCU] => C:\Users\Marcollose\AppData\Local\Temp\Rar$EXa0.729 [0 2015-05-24] () <===== ATTENTION
Startup: C:\Users\Marcollose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hqghumeaylnlf.lnk [2015-04-16]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.<!DOCTYPE html>?type=hppppppppppppppppppppppppppppppp
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423265587&from=smt&uid=SamsungXSSDX840XSeries_S19HNEAD307067V&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.<!DOCTYPE html>?type=hppppppppppppppppppppppppppppppp
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423265587&from=smt&uid=SamsungXSSDX840XSeries_S19HNEAD307067V&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1711936963-1032946900-3355487878-1001 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3330124&octid=EB_ORIGINAL_CTID&ISID=M1F126693-4F51-4B71-8C3B-2D6DACFF0255&SearchSource=58&CUI=&UM=8&UP=SP0E791457-97A7-45AF-803A-352C51DDD113&q={searchTerms}&D=041615&SSPV=
SearchScopes: HKU\S-1-5-21-1711936963-1032946900-3355487878-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=SamsungXSSDX840XSeries_S19HNEAD307067V&ts=1423265645&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1711936963-1032946900-3355487878-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=SamsungXSSDX840XSeries_S19HNEAD307067V&ts=1423265645&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1711936963-1032946900-3355487878-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=SamsungXSSDX840XSeries_S19HNEAD307067V&ts=1423265645&type=default&q={searchTerms}
BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1423265587&from=smt&uid=SamsungXSSDX840XSeries_S19HNEAD307067V
FF Homepage: hxxp://www.<!DOCTYPE html>?type=hppppppppppppppppppppppppppppppp
FF SearchPlugin: C:\Users\Marcollose\AppData\Roaming\Mozilla\Firefox\Profiles\gzlhrpen.default\searchplugins\mystartsearch.xml [2015-02-18]
FF SearchPlugin: C:\Users\Marcollose\AppData\Roaming\Mozilla\Firefox\Profiles\gzlhrpen.default\searchplugins\trovi.xml [2015-04-16]
FF HKU\S-1-5-21-1711936963-1032946900-3355487878-1001\...\Firefox\Extensions: [SoundFrost@helper.com] - C:\Program Files (x86)\keepvid\SoundFrost.xpi
FF Extension: No Name - C:\Program Files (x86)\keepvid\SoundFrost.xpi [2015-04-16]
C:\Program Files (x86)\keepvid
R1 {369f59d7-4d51-422d-a5d9-ec096787635f}Gw64; C:\Windows\System32\drivers\{369f59d7-4d51-422d-a5d9-ec096787635f}Gw64.sys [48776 2015-04-15] (StdLib)
S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X]
C:\Windows\System32\drivers\{369f59d7-4d51-422d-a5d9-ec096787635f}Gw64.sys
2015-03-26 21:14 - 2015-04-18 16:03 - 0000385 _____ () C:\Users\Marcollose\AppData\Roaming\ACXWGNVQ
2015-04-16 00:18 - 2015-04-16 00:19 - 0001282 _____ () C:\Users\Marcollose\AppData\Roaming\Bubble Dock.boostrap.log
2015-04-16 00:18 - 2015-04-16 00:19 - 0005743 _____ () C:\Users\Marcollose\AppData\Roaming\Bubble Dock.installation.log
2015-03-26 21:14 - 2015-03-26 21:14 - 0004185 _____ () C:\Users\Marcollose\AppData\Roaming\PYSAL
2015-04-16 00:19 - 2015-04-16 00:19 - 0000078 _____ () C:\Users\Marcollose\AppData\Roaming\Selection Tools.installation.log
2015-04-16 00:18 - 2015-04-16 00:18 - 0000097 _____ () C:\Users\Marcollose\AppData\Roaming\WindApp.boostrap.log
2015-04-16 00:19 - 2015-04-16 00:19 - 0000078 _____ () C:\Users\Marcollose\AppData\Roaming\WindApp.installation.log
2015-04-16 00:18 - 2014-03-14 14:25 - 0161280 _____ (ContentFinder Company) C:\Users\Marcollose\AppData\Local\ContentFinder.exe
2015-04-16 00:18 - 2014-03-21 10:25 - 0109568 _____ () C:\Users\Marcollose\AppData\Local\ContentAgent.exe
C:\Program Files (x86)\AnyProtectEx
C:\Users\Marcollose\AppData\Roaming\mystartsearch
C:\Users\Marcollose\AppData\Local\SmartWeb
C:\Program Files (x86)\Cinema PlusV14.04-ntf
C:\Users\Marcollose\AppData\Local\UnicoBrowser
C:\Users\Marcollose\AppData\Local\ContentAgent.exe
C:\Users\Marcollose\AppData\Local\ContentFinder.exe
C:\Users\Marcollose\AppData\Local\CommonLauncher.exe
C:\Users\Marcollose\AppData\Roaming\Store\WindApp
C:\Users\Marcollose\AppData\Roaming\WTools
C:\ProgramData\{0554d145-3ee6-dcd6-0554-4d1453ee4514}
[-HKCU\Software\XtremeRAT]
[-HKU\S-1-5-21-1711936963-1032946900-3355487878-1001\Software\XtremeRAT]
end
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\



3) Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.

Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: Marcollose le juin 02, 2015, 23:22:52
Voci donc les deux rapports attendus:

Fixlog: http://up.security-x.fr/file.php?h=R07150167c99bd27c66e131b1bd46d03f (http://up.security-x.fr/file.php?h=R07150167c99bd27c66e131b1bd46d03f)
AdwCleaner : http://up.security-x.fr/file.php?h=Rce07014e031fe956fedc4bed79a2548f (http://up.security-x.fr/file.php?h=Rce07014e031fe956fedc4bed79a2548f)
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 03, 2015, 15:19:44
Re,

Ok pour les rapports, à suivre :

Relance Adwcleaner :

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: Marcollose le juin 03, 2015, 18:21:07
Les nouveaux rapports:
AdwCleaner : http://up.security-x.fr/file.php?h=R6e5de2765f537635be441446056e7162 (http://up.security-x.fr/file.php?h=R6e5de2765f537635be441446056e7162)
Malwarebytes : http://up.security-x.fr/file.php?h=Ra9bf22c37a9d24c58154adcfdf7a440d (http://up.security-x.fr/file.php?h=Ra9bf22c37a9d24c58154adcfdf7a440d)
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 03, 2015, 21:27:21
Re,

Ok pour les rapports, on est bon pour le nettoyage du pc.

à faire pour tenter de réparer le disque dur :

Branche le DDE
Clique sur Démarrer -> ordinateur
Fais un clic-droit sur l'icône du disque -> Propriétés
Puis onglet "Outils" et clique sur le bouton "Vérifier maintenant" sous vérification des erreurs

Laisse faire l'opération, cela peut être long

lorsque c'est terminé, pour avoir un rapport :

Télécharge Report_CHDSK.exe (http://security-x.fr/tools/download_ext.php?f=Report_CHKDSK.exe&r=laddy) (de Laddy) sur ton bureau

Note : Si ce n'est pas le cas, le rapport nommé RapportCHK_DD-MM-AAAA.txt se trouve sur ton bureau.

Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: Marcollose le juin 04, 2015, 19:16:24
Et voila le rapport obtenu : http://up.security-x.fr/file.php?h=Rea45e9bbf6d623827e49b4220308f4b0 (http://up.security-x.fr/file.php?h=Rea45e9bbf6d623827e49b4220308f4b0)
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 04, 2015, 19:43:25
Re,

Le disque n'a pas pu être entièrement réparé, soit il a été sollicité pendant la réparation, soit il y a un souci matériel sous-jacent

Il est auto-alimenté par USB ?

Tu peux accéder à certains fichiers/dossiers de nouveau ou pas ?
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: Marcollose le juin 04, 2015, 20:53:47
Oui, il est auto-alimenté par clé USB
Et non aucun fichiers n'est actuellement ré-ouvrable (sauf erreur d'attention de ma part)
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 04, 2015, 21:47:13
Re,

Peux-tu tenter la même procédure, et me fournir le rapport à nouveau ?
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: Marcollose le juin 05, 2015, 00:36:51
Après la nouvelle manip le DDE à récupéré toutes ces données manquante.
Veut tu quand même le rapport ?
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 05, 2015, 15:44:57
Re,

C'est une bonne nouvelle, oui s'il te plait, je veux bien le rapport.

 :AAN
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: Marcollose le juin 05, 2015, 19:00:04
Cool =J
Le fameux rapport : http://up.security-x.fr/file.php?h=R74e9dfb29c37bf9d12a4a6eac777936d (http://up.security-x.fr/file.php?h=R74e9dfb29c37bf9d12a4a6eac777936d)
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 05, 2015, 20:06:01
 :NNN Ah ben, il est vide ...

Pas grave, au moins, c'est réparé.

Dis-moi si tu as encore des soucis, que ce soit sur le disque ou le PC, si tout est ok, on conclura

 :AAN
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: Marcollose le juin 06, 2015, 01:16:18
J'ai tout vérifié tout est ok  :sup:
Merci beaucoup de ton aide, je vais m'appliquer à ne plus faire de bétises  :-[
Titre: Re : DDE détecté mais certain fichiers sont illisibles
Posté par: hyunkel30 le juin 06, 2015, 16:05:34
Re,

Très bien pour conclure alors, et les conseils, à bien suivre cette fois ;)

Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.

Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration



Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :




Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html)
Ici aussi ! (http://www.tomsguide.fr/forum/id-416930/dossier-prevention-protection.html)

Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.

A bientôt sur Security-X
 :AAN
Titre: Re : DDE détecté mais certain fichiers sont illisibles [Résolu]
Posté par: Marcollose le juin 06, 2015, 22:55:38
Voici le rapport =J :http://up.security-x.fr/file.php?h=Rfd897ee87bb299139db17c0454a1c947 (http://up.security-x.fr/file.php?h=Rfd897ee87bb299139db17c0454a1c947)