Security-X
Forum Security-X => Désinfections => Discussion démarrée par: nathy le août 21, 2014, 11:34:23
-
Bonjour,
Je n'arrive plus à ouvrir des photos, fichiers words, excel, pdf...Certainement du à un virus (j'ai nettoyer mon pc entre temps).
La taille et le nom des fichiers n'ont pas changé.
Quand je veux les ouvrir, j'ai différents messages :
" Il se peut que le fichier soit endommagé, corrompu ou non pris en charge" ou
"image non valide, le format de fichier n'est pas pris en charge ou n'est pas valide ".
Pour les documents Word, il me demande de choisir un alphabet pour conversion.
J'ai essayé une récupération avec différents logiciels mais rien n'y fait!
Bizarrement lorsque je suis sous explorer avec une vue "Grandes icônes", sur les répertoires on a un appercu des premières photos qui sont dedans alors qu'il m'est impossible de les ouvrir (je ne sais pas si je suis très clair mais je peux vous envoyer une capture écran pour être plus explicite).
Les photos enregistrées après sur le PC sont visualisables.
J'aimerais pouvoir récupérer mes photos et fichiers, si vous avez une idée de solution? Merci beaucoup pour votre aide.
-
:) Bonjour nathy,
Bienvenue sur Security-X,
Tout d'abord on va approfondir ceci :
Certainement du à un virus (j'ai nettoyer mon pc entre temps)
Qu'est-ce qui a été détecté, nettoyé, utilisé ?
-
Merci pour votre lecture rapide et votre accueil.
J'ai utilisé "Malwarebytes" et "SuperAntispyware Professional". Ma compréhension sur les résultats des analyses n'étant pas au top, je peux vous faire suivre le fichier de log ?
Encore Merci pour votre aide
-
Re,
Oui, tout à fait, tuto pour la rapport Malwarebyte's :
tutoriel suivant (http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/msg116398/#msg116398)exporter le rapport Malwarebyte's
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Je viens de suivre le tuto pour exporter le rapport Malwarebytes en .txt mais l'affichage est vide, cependant quand je vais dans ProgramData/Malwarebytes/ log, le fichier xml contient bien des informations. Je vous les copie en fichier .txt et vous fais de même pour le log de "superAntispiware".
Je vous les poste ensuite dans le service de rapport en ligne.
Merci
-
Voici les liens des fichiers log :
http://up.security-x.fr/file.php?h=R67d5f90a20d782ddaacd467703d2fd6d
http://up.security-x.fr/file.php?h=R0aa1c3b7198930e0e668cc20eb1f1e75
Merci
-
Re,
Y'a le fichier de rapport de Malwarebyte's parmi ces deux ?
Je vois pas grand chose de dangereux ou qui ai pu corrompre les fichiers ...
Pour voir :
Télécharge RstAssociations (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/16-rstassociations-version-scr) (de Xplode ) sur ton bureau.
- Double-clique sur le fichier pour le lancer.
- Coche l'ensemble des cases
- Clique sur "Restaurer"
- Un fichier bloc-note va s'ouvrir, copie-colle son contenu dans ta prochaine réponse
Note : s'il ne s'ouvre pas, il est ici "C:\RstAssociations.txt"
- Ferme l'outil.
~~~~~~~~~~
Redémarre le pc, et dis-moi si tu peux ensuite ouvrir tes fichiers ou pas.
:AAN
-
Oui, le log Malwarebytes est le premier lien.
Je lance et reviens.
-
Toujours pas possible d'ouvrir mes fichiers.
Voici le rapport :
RstAssociations v1.3 - Rapport créé le 21/08/2014 à 15:14
Mis à jour le 26/05/11 à 16h par Xplode
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [version 6.0.6001] Service Pack 1
Nom d'utilisateur : nathy - PC-1020 (Administrateur)
Exécuté depuis : C:\Users\nathy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U6LDRT1B\Beq6[1].scr
¤¤¤¤¤ Restauration ¤¤¤¤¤
-> asf ... association de fichiers restaurée !
-> asx ... association de fichiers restaurée !
-> audioCD ... association de fichiers restaurée !
-> avi ... association de fichiers restaurée !
-> bat ... association de fichiers restaurée !
-> bmp ... association de fichiers restaurée !
-> cab ... association de fichiers restaurée !
-> chm ... association de fichiers restaurée !
-> cmd ... association de fichiers restaurée !
-> com ... association de fichiers restaurée !
-> cpl ... association de fichiers restaurée !
-> cur ... association de fichiers restaurée !
-> directory ... association de fichiers restaurée !
-> dll ... association de fichiers restaurée !
-> drive ... association de fichiers restaurée !
-> drvms ... association de fichiers restaurée !
-> eml ... association de fichiers restaurée !
-> exe ... association de fichiers restaurée !
-> folder ... association de fichiers restaurée !
-> gif ... association de fichiers restaurée !
-> hlp ... association de fichiers restaurée !
-> hta ... association de fichiers restaurée !
-> htm ... association de fichiers restaurée !
-> html ... association de fichiers restaurée !
-> ico ... association de fichiers restaurée !
-> inf ... association de fichiers restaurée !
-> ini ... association de fichiers restaurée !
-> jpe ... association de fichiers restaurée !
-> jpeg ... association de fichiers restaurée !
-> jpg ... association de fichiers restaurée !
-> js ... association de fichiers restaurée !
-> lnk ... association de fichiers restaurée !
-> m3u ... association de fichiers restaurée !
-> mp3 ... association de fichiers restaurée !
-> mpa ... association de fichiers restaurée !
-> mpe ... association de fichiers restaurée !
-> mpeg ... association de fichiers restaurée !
-> mpg ... association de fichiers restaurée !
-> msc ... association de fichiers restaurée !
-> msi ... association de fichiers restaurée !
-> png ... association de fichiers restaurée !
-> reg ... association de fichiers restaurée !
-> rtf ... association de fichiers restaurée !
-> scr ... association de fichiers restaurée !
-> tif ... association de fichiers restaurée !
-> tiff ... association de fichiers restaurée !
-> txt ... association de fichiers restaurée !
-> url ... association de fichiers restaurée !
-> vbe ... association de fichiers restaurée !
-> vbs ... association de fichiers restaurée !
-> wma ... association de fichiers restaurée !
-> wmv ... association de fichiers restaurée !
-> wsf ... association de fichiers restaurée !
-> xml ... association de fichiers restaurée !
-> xps ... association de fichiers restaurée !
-> zip ... association de fichiers restaurée !
¤¤¤¤¤ Résultats ¤¤¤¤¤¤
-> [56 association(s) de fichiers restaurée(s) avec succès]
-> [0 association(s) de fichiers non restaurée(s)]
########## EOF - "C:\RstAssociations.txt" - [3369 octets] ##########
-
Re,
Pour continuer les diagnostics :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Voilà les deux fichiers
FRST :
http://up.security-x.fr/file.php?h=Re89cc2ad88fef6c272bbb1443e6e0811
Addition :
http://up.security-x.fr/file.php?h=R6b7c59f1f44826f54e0372cdc678712e
Merci
-
Re,
Infection par rootkit zeroaccess ...
C'est une infection dangereuse, et grave, issue du fait que ton système et tes logiciels ne sont pas à jour, et contiennent donc des failles de sécurité, et que tu as visité des sites de streaming/téléchargement qui contenaient des pubs piégées (malvertising)
La dangerosité de cette infection vient aussi du fait qu'elle peut installer des modules de vol de données, personnelles ou bancaires.
A la fin de la procédure, tu devras modifier par précaution l'ensemble de tes mots de passes importants.
Pour le nettoyage :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- Java(TM) 6 Update 7 (version obsolète et vulnérable, tu possèdes une plus récente)
- McAfee Security Scan Plus (pas ou peu utile, sponsor)
- Media Buzz (adware)
- Media View (idem)
- Media Viewer (idem)
- Media Watch (idem)
- Rich Media View (idem)
- Software Version Updater (idem)
- Trust Media Viewer (idem)
[Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)
/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
HKLM\...\Run: [QuickTime Task] => C:\Program Files\QuickTime\QTTask.exe [421888 2010-08-10] (Apple Inc.)
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] fastprox.dll ATTENTION! ====> ZeroAccess?
HKU\S-1-5-21-2039344203-3359114791-3240107686-1000\...\Run: [msnmsgr] => C:\Program Files\Windows Live\Messenger\msnmsgr.exe [3872080 2010-04-16] (Microsoft Corporation)
HKU\S-1-5-21-2039344203-3359114791-3240107686-1000\...\Run: [] => C:\Users\nathy\Local Settings\Application Data\qslapeuw.exe
HKU\S-1-5-21-2039344203-3359114791-3240107686-1000\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess?
HKU\S-1-5-21-2039344203-3359114791-3240107686-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-2039344203-3359114791-3240107686-1000\$ff24043d55f85ce9a20a8337d9b4b888\n. ATTENTION! ====> ZeroAccess?
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
SearchScopes: HKCU - DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^FR&apn_uid=4BF1A699-A086-4ECF-BE73-56FD68B5743F&apn_sauid=0353DE67-561F-4523-B12D-FA4AFAA2D148
SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL =
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^FR&apn_uid=4BF1A699-A086-4ECF-BE73-56FD68B5743F&apn_sauid=0353DE67-561F-4523-B12D-FA4AFAA2D148
BHO: Rich Media View -> {0656eddf-8316-4146-89b4-28777d1855e2} -> C:\Program Files\RichMediaViewV1\RichMediaViewV1release29\ie\RichMediaViewV1release29.dll No File
BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO: Media Watch -> {165577e0-83be-4eae-b340-7a8bea6c1a71} -> C:\Program Files\MediaWatchV1\MediaWatchV1home882\ie\MediaWatchV1home882.dll No File
BHO: Media View -> {196827ec-f811-489c-b96d-eec1e44f2800} -> C:\Program Files\MediaViewV1\MediaViewV1alpha2748\ie\MediaViewV1alpha2748.dll No File
BHO: Bubble Dock SurfMatch -> {23AF19F7-1D5B-442c-B14C-3D1081953C94} -> C:\Program Files\Nosibay\Bubble Dock\extensions\axSurfMatch.dll No File
BHO: Media View -> {46ac0fdd-cde1-40d8-9e5c-d54ef4a2df14} -> C:\Program Files\MediaViewV1\MediaViewV1alpha8317\ie\MediaViewV1alpha8317.dll No File
BHO: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File
BHO: Media Buzz -> {67351757-1040-4fbb-9d39-bc3e54057735} -> C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1912\ie\MediaBuzzV1mode1912.dll No File
BHO: Media Viewer -> {7f372b75-bc61-401f-b7a2-55357e87c622} -> C:\Program Files\MediaViewerV1\MediaViewerV1alpha116\ie\MediaViewerV1alpha116.dll No File
BHO: Trust Media Viewer -> {ffd1b625-4e4d-4fd8-9ad3-b80f816bb4e7} -> C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3471\ie\TrustMediaViewerV1alpha3471.dll No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No File
FF DefaultSearchEngine: Ask.com
FF SearchEngineOrder.1: Ask.com
FF SelectedSearchEngine: Ask.com
FF SearchPlugin: C:\Users\nathy\AppData\Roaming\Mozilla\Firefox\Profiles\efg7n9xr.default\searchplugins\askcom.xml
FF HKLM\...\Firefox\Extensions: [bubbledock@nosibay.com] - C:\Program Files\Nosibay\Bubble Dock\extensions\FFSurfMatch
FF HKLM\...\Firefox\Extensions: [ext@MediaViewerV1alpha116.net] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha116\ff
FF Extension: Media Viewer - C:\Program Files\MediaViewerV1\MediaViewerV1alpha116\ff [2014-02-24]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha2748.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha2748\ff
FF Extension: Media View - C:\Program Files\MediaViewV1\MediaViewV1alpha2748\ff [2014-02-28]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha8317.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha8317\ff
FF Extension: Media View - C:\Program Files\MediaViewV1\MediaViewV1alpha8317\ff [2014-03-15]
FF HKLM\...\Firefox\Extensions: [ext@MediaWatchV1home882.net] - C:\Program Files\MediaWatchV1\MediaWatchV1home882\ff
FF Extension: Media Watch - C:\Program Files\MediaWatchV1\MediaWatchV1home882\ff [2014-03-22]
FF HKLM\...\Firefox\Extensions: [ext@MediaBuzzV1mode1912.net] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1912\ff
FF Extension: Media Buzz - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1912\ff [2014-04-25]
FF HKLM\...\Firefox\Extensions: [ext@RichMediaViewV1release29.net] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release29\ff
FF Extension: Rich Media View - C:\Program Files\RichMediaViewV1\RichMediaViewV1release29\ff [2014-05-14]
FF HKLM\...\Firefox\Extensions: [ext@TrustMediaViewerV1alpha3471.net] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3471\ff
FF Extension: Trust Media Viewer - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3471\ff [2014-06-29]
CHR HKLM\...\Chrome\Extension: [cpenncilcbnglfkmdhapmknacklkoobh] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha116\ch\MediaViewerV1alpha116.crx [2014-02-23]
CHR HKLM\...\Chrome\Extension: [ehlapbfeaepfjkebflmldhomemgdabfn] - C:\Program Files\MediaWatchV1\MediaWatchV1home882\ch\MediaWatchV1home882.crx [2014-03-20]
CHR HKLM\...\Chrome\Extension: [gikanjopdlaobmdnnadbikdcceebgkpo] - C:\Program Files\MediaViewV1\MediaViewV1alpha8317\ch\MediaViewV1alpha8317.crx [2014-02-27]
CHR HKLM\...\Chrome\Extension: [hinfknjadeefnmdhkmpmocenjefedmnm] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release29\ch\RichMediaViewV1release29.crx [2014-05-13]
CHR HKLM\...\Chrome\Extension: [kbjlipmgfoamgjaogmbihaffnpkpjajp] - C:\Program Files\Nosibay\Bubble Dock\extensions\GCSurfMatch.crx [2014-05-13]
CHR HKLM\...\Chrome\Extension: [khmpolmcibmjamdlldfodphinphemepn] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1912\ch\MediaBuzzV1mode1912.crx [2014-04-23]
CHR HKLM\...\Chrome\Extension: [nmkagmpjophlkmejfpaclhebcehakbpi] - C:\Program Files\MediaViewV1\MediaViewV1alpha2748\ch\MediaViewV1alpha2748.crx [2014-02-27]
CHR HKLM\...\Chrome\Extension: [pgfoeminakhlanglfceaponfcbdcfdpd] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3471\ch\TrustMediaViewerV1alpha3471.crx [2014-06-26]
S2 CltMngSvc; C:\PROGRA~1\SearchProtect\Main\bin\CltMngSvc.exe [X]
S4 Norton Internet Security; "C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "C:\Program Files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1
S3 NAVENG; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS [X]
S3 NAVEX15; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS [X]
S1 SRTSP; \??\C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS [X]
S1 SRTSPX; \??\C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS [X]
2014-08-20 14:32 - 2014-08-20 14:32 - 00000687 _____ () C:\awh7A9B.tmp
2014-08-18 23:18 - 2014-08-18 23:18 - 00000687 _____ () C:\awhABE7.tmp
2014-08-18 22:26 - 2014-08-18 22:26 - 00000687 _____ () C:\awh9108.tmp
2014-08-18 20:32 - 2014-08-18 20:32 - 00000687 _____ () C:\awh697B.tmp
2014-08-18 19:22 - 2014-08-18 19:22 - 00000687 _____ () C:\awh59D5.tmp
2014-08-09 14:17 - 2014-08-09 14:17 - 00000687 _____ () C:\awhDE1E.tmp
2014-08-08 10:02 - 2014-08-08 10:02 - 00000687 _____ () C:\awh3EF4.tmp
C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
C:\$Recycle.Bin\S-1-5-21-2039344203-3359114791-3240107686-1000\$ff24043d55f85ce9a20a8337d9b4b888
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888
C:\Users\nathy\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
CustomCLSID: HKU\S-1-5-21-2039344203-3359114791-3240107686-1000_Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32 -> C:\$Recycle.Bin ()
Task: {ADC07B38-3211-4909-86E1-71AE964A5A0C} - System32\Tasks\AmiUpdXp => C:\Users\nathy\AppData\Local\SwvUpdater\Updater.exe <==== ATTENTION
Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\nathy\AppData\Local\SwvUpdater\Updater.exe <==== ATTENTION
C:\Program Files\MediaWatchV1
C:\Program Files\RichMediaViewV1
C:\Program Files\MediaViewV1
C:\Users\nathy\AppData\Local\SwvUpdater
C:\Users\nathy\Local Settings\Application Data\qslapeuw.exe
C:\Program Files\Nosibay
C:\Program Files\MediaBuzzV1
C:\Program Files\TrustMediaViewerV1
C:\Program Files\Norton Internet Security
C:\PROGRA~1\SearchProtect
C:\ProgramData\Norton
C:\Windows\system32\drivers\NIS
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
3) Télécharge TDSSKiller (http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe) de Kaspersky sur ton bureau.
- Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
- Clique alors sur le bouton "Change parameters".
- Coche la case Loaded modules
- Valide l'avertissement de Reboot avec Reboot Now
- Le pc va redémarrer, au redémarrage, accepte le lancement automatique de l'outil
- Clique de nouveau sur le bouton "Change parameters"
- Coche les cases Verify file digital signatures et Detect TDLFS file system sous Additional options
- Valide avec Ok
- Clique alors sur le bouton "Start Scan".
- Laisse le scan s'effectuer. (cela peut être long)
- Dans la fenêtre de résultat :
- Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
- Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
- Pour la partie "Suspicious object" laisse sur "Skip"
- /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
- Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
- Clique enfin sur "Continue"
Note : si No threat found apparait, pas besoin de nous fournir le rapport ni chercher ces options
- Il peut t'être demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
- Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Un aide à l'utilisation ici (http://forum.security-x.fr/tutoriels-317/tutoriel-tdsskiller-nouvelle-version/)
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Bonsoir,
Voici le rapport du Fixlog :
start
HKLM\...\Run: [QuickTime Task] => C:\Program Files\QuickTime\QTTask.exe [421888 2010-08-10] (Apple Inc.)
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] fastprox.dll ATTENTION! ====> ZeroAccess?
HKU\S-1-5-21-2039344203-3359114791-3240107686-1000\...\Run: [msnmsgr] => C:\Program Files\Windows Live\Messenger\msnmsgr.exe [3872080 2010-04-16] (Microsoft Corporation)
HKU\S-1-5-21-2039344203-3359114791-3240107686-1000\...\Run: [] => C:\Users\nathy\Local Settings\Application Data\qslapeuw.exe
HKU\S-1-5-21-2039344203-3359114791-3240107686-1000\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess?
HKU\S-1-5-21-2039344203-3359114791-3240107686-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-2039344203-3359114791-3240107686-1000\$ff24043d55f85ce9a20a8337d9b4b888\n. ATTENTION! ====> ZeroAccess?
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
SearchScopes: HKCU - DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^FR&apn_uid=4BF1A699-A086-4ECF-BE73-56FD68B5743F&apn_sauid=0353DE67-561F-4523-B12D-FA4AFAA2D148
SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL =
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^FR&apn_uid=4BF1A699-A086-4ECF-BE73-56FD68B5743F&apn_sauid=0353DE67-561F-4523-B12D-FA4AFAA2D148
BHO: Rich Media View -> {0656eddf-8316-4146-89b4-28777d1855e2} -> C:\Program Files\RichMediaViewV1\RichMediaViewV1release29\ie\RichMediaViewV1release29.dll No File
BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO: Media Watch -> {165577e0-83be-4eae-b340-7a8bea6c1a71} -> C:\Program Files\MediaWatchV1\MediaWatchV1home882\ie\MediaWatchV1home882.dll No File
BHO: Media View -> {196827ec-f811-489c-b96d-eec1e44f2800} -> C:\Program Files\MediaViewV1\MediaViewV1alpha2748\ie\MediaViewV1alpha2748.dll No File
BHO: Bubble Dock SurfMatch -> {23AF19F7-1D5B-442c-B14C-3D1081953C94} -> C:\Program Files\Nosibay\Bubble Dock\extensions\axSurfMatch.dll No File
BHO: Media View -> {46ac0fdd-cde1-40d8-9e5c-d54ef4a2df14} -> C:\Program Files\MediaViewV1\MediaViewV1alpha8317\ie\MediaViewV1alpha8317.dll No File
BHO: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File
BHO: Media Buzz -> {67351757-1040-4fbb-9d39-bc3e54057735} -> C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1912\ie\MediaBuzzV1mode1912.dll No File
BHO: Media Viewer -> {7f372b75-bc61-401f-b7a2-55357e87c622} -> C:\Program Files\MediaViewerV1\MediaViewerV1alpha116\ie\MediaViewerV1alpha116.dll No File
BHO: Trust Media Viewer -> {ffd1b625-4e4d-4fd8-9ad3-b80f816bb4e7} -> C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3471\ie\TrustMediaViewerV1alpha3471.dll No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No File
FF DefaultSearchEngine: Ask.com
FF SearchEngineOrder.1: Ask.com
FF SelectedSearchEngine: Ask.com
FF SearchPlugin: C:\Users\nathy\AppData\Roaming\Mozilla\Firefox\Profiles\efg7n9xr.default\searchplugins\askcom.xml
FF HKLM\...\Firefox\Extensions: [bubbledock@nosibay.com] - C:\Program Files\Nosibay\Bubble Dock\extensions\FFSurfMatch
FF HKLM\...\Firefox\Extensions: [ext@MediaViewerV1alpha116.net] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha116\ff
FF Extension: Media Viewer - C:\Program Files\MediaViewerV1\MediaViewerV1alpha116\ff [2014-02-24]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha2748.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha2748\ff
FF Extension: Media View - C:\Program Files\MediaViewV1\MediaViewV1alpha2748\ff [2014-02-28]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha8317.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha8317\ff
FF Extension: Media View - C:\Program Files\MediaViewV1\MediaViewV1alpha8317\ff [2014-03-15]
FF HKLM\...\Firefox\Extensions: [ext@MediaWatchV1home882.net] - C:\Program Files\MediaWatchV1\MediaWatchV1home882\ff
FF Extension: Media Watch - C:\Program Files\MediaWatchV1\MediaWatchV1home882\ff [2014-03-22]
FF HKLM\...\Firefox\Extensions: [ext@MediaBuzzV1mode1912.net] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1912\ff
FF Extension: Media Buzz - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1912\ff [2014-04-25]
FF HKLM\...\Firefox\Extensions: [ext@RichMediaViewV1release29.net] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release29\ff
FF Extension: Rich Media View - C:\Program Files\RichMediaViewV1\RichMediaViewV1release29\ff [2014-05-14]
FF HKLM\...\Firefox\Extensions: [ext@TrustMediaViewerV1alpha3471.net] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3471\ff
FF Extension: Trust Media Viewer - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3471\ff [2014-06-29]
CHR HKLM\...\Chrome\Extension: [cpenncilcbnglfkmdhapmknacklkoobh] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha116\ch\MediaViewerV1alpha116.crx [2014-02-23]
CHR HKLM\...\Chrome\Extension: [ehlapbfeaepfjkebflmldhomemgdabfn] - C:\Program Files\MediaWatchV1\MediaWatchV1home882\ch\MediaWatchV1home882.crx [2014-03-20]
CHR HKLM\...\Chrome\Extension: [gikanjopdlaobmdnnadbikdcceebgkpo] - C:\Program Files\MediaViewV1\MediaViewV1alpha8317\ch\MediaViewV1alpha8317.crx [2014-02-27]
CHR HKLM\...\Chrome\Extension: [hinfknjadeefnmdhkmpmocenjefedmnm] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release29\ch\RichMediaViewV1release29.crx [2014-05-13]
CHR HKLM\...\Chrome\Extension: [kbjlipmgfoamgjaogmbihaffnpkpjajp] - C:\Program Files\Nosibay\Bubble Dock\extensions\GCSurfMatch.crx [2014-05-13]
CHR HKLM\...\Chrome\Extension: [khmpolmcibmjamdlldfodphinphemepn] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode1912\ch\MediaBuzzV1mode1912.crx [2014-04-23]
CHR HKLM\...\Chrome\Extension: [nmkagmpjophlkmejfpaclhebcehakbpi] - C:\Program Files\MediaViewV1\MediaViewV1alpha2748\ch\MediaViewV1alpha2748.crx [2014-02-27]
CHR HKLM\...\Chrome\Extension: [pgfoeminakhlanglfceaponfcbdcfdpd] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3471\ch\TrustMediaViewerV1alpha3471.crx [2014-06-26]
S2 CltMngSvc; C:\PROGRA~1\SearchProtect\Main\bin\CltMngSvc.exe [X]
S4 Norton Internet Security; "C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "C:\Program Files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1
S3 NAVENG; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS [X]
S3 NAVEX15; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS [X]
S1 SRTSP; \??\C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS [X]
S1 SRTSPX; \??\C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS [X]
2014-08-20 14:32 - 2014-08-20 14:32 - 00000687 _____ () C:\awh7A9B.tmp
2014-08-18 23:18 - 2014-08-18 23:18 - 00000687 _____ () C:\awhABE7.tmp
2014-08-18 22:26 - 2014-08-18 22:26 - 00000687 _____ () C:\awh9108.tmp
2014-08-18 20:32 - 2014-08-18 20:32 - 00000687 _____ () C:\awh697B.tmp
2014-08-18 19:22 - 2014-08-18 19:22 - 00000687 _____ () C:\awh59D5.tmp
2014-08-09 14:17 - 2014-08-09 14:17 - 00000687 _____ () C:\awhDE1E.tmp
2014-08-08 10:02 - 2014-08-08 10:02 - 00000687 _____ () C:\awh3EF4.tmp
C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
C:\$Recycle.Bin\S-1-5-21-2039344203-3359114791-3240107686-1000\$ff24043d55f85ce9a20a8337d9b4b888
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888
C:\Users\nathy\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
CustomCLSID: HKU\S-1-5-21-2039344203-3359114791-3240107686-1000_Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32 -> C:\$Recycle.Bin ()
Task: {ADC07B38-3211-4909-86E1-71AE964A5A0C} - System32\Tasks\AmiUpdXp => C:\Users\nathy\AppData\Local\SwvUpdater\Updater.exe <==== ATTENTION
Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\nathy\AppData\Local\SwvUpdater\Updater.exe <==== ATTENTION
C:\Program Files\MediaWatchV1
C:\Program Files\RichMediaViewV1
C:\Program Files\MediaViewV1
C:\Users\nathy\AppData\Local\SwvUpdater
C:\Users\nathy\Local Settings\Application Data\qslapeuw.exe
C:\Program Files\Nosibay
C:\Program Files\MediaBuzzV1
C:\Program Files\TrustMediaViewerV1
C:\Program Files\Norton Internet Security
C:\PROGRA~1\SearchProtect
C:\ProgramData\Norton
C:\Windows\system32\drivers\NIS
end
-
Re,
Voici le TSSKILLER.log :
http://up.security-x.fr/file.php?h=Rec26e4e69ee9d50fd9820d745f4fcc18
encore merci beaucoup pour le temps passé à m'aider.
-
Re,
Ok pour TDSSkiller, mais pour FRST, tu m'as juste copié le contenu du rapport fixlist.txt, pas le rapport de suppression, fixlog.txt
Ce dernier doit se trouver au même endroit que FRST.exe
:AAN
-
Desolée, voici le fixlog :
http://up.security-x.fr/file.php?h=R036ca86e83e3501a191480e0eea143f6
-
Re,
Ok, on continu :
Télécharge RogueKiller (http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe) (de Tigzy) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
- Laisse l'outil travailler.
- Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse
(S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)
~~~~~~~~~~
Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Rapport.
- Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Je viens d'installer RogueKiller, mais impossible de le lancer en tant qu'administrateur. Dès que je fais un clic droit sur l'exe, le système ne répond plus.
Par contre en l'ouvrant simplement il se lance bien.
-
Re,
Alors lance comme ça pour la recherche ;)
-
Pour info, après avoir terminé le scan RogueKiller, la page suivante s'est ouverte :
http://www.adlice.com/kernelmode-rootkits-part-3-kernel-filters/
Voici le rapport RogueKiller :
RogueKiller V9.2.8.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com
Système d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : nathy [Droits d'admin]
Mode : Recherche -- Date : 08/22/2014 14:50:01
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrées de registre : 2 ¤¤¤
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Fichiers : 1 ¤¤¤
[Suspicious.Path][Fichier] Connexion Rez.lnk -- C:\Users\nathy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Connexion Rez.lnk [LNK@] C:\Windows\logon.cmd -> TROUVÉ
¤¤¤ Fichier HOSTS : 2 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\Windows\System32\drivers\etc\hosts] ::1 localhost
¤¤¤ Antirootkit : 1 (Driver: CHARGE) ¤¤¤
[Filter(Kernel.Filter)] \Driver\atapi @ Unknown : \Driver\disk @ \Device\Harddisk0\DR0 (\SystemRoot\system32\DRIVERS\hpdskflt.sys)
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST9250320AS ATA Device +++++
--- User ---
[MBR] 7a20913c207875c97e1fd3af5a762781
[BSP] 06327d35da483201a92f96eddafc2eb5 : Toshiba MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 228111 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 467173376 | Size: 10360 MB
User = LL1 ... OK
User = LL2 ... OK
-
Pour l'outil "adwcleaner", il me propose de nettoyer des dossiers, fichiers, REgistres...
Je lance un nettoyage ou je lance uniquement la demande de rapport?
-
Re,
Comme demandé dans ma procédure, uniquement la recherche pour le moment (Scanner) ;)
-
Voici le rapport du scan :
http://up.security-x.fr/file.php?h=Re2453f0cab932187636738be1ea32235
-
Re,
Bon par contre j'ai pas attendu ta réponse et j'ai lancé un nettoyage après ! :oups:
-
Re,
Alors rapports de suppression s'il te plait ;)
il est situé ici C:\AdwCleaner[Sx].txt
-
Voici la Adwcleaner
:
http://up.security-x.fr/file.php?h=R47a2a98b80138aded8489fe97510ad5e
-
Re,
Ok, regardons si le rootkit à fait des dégâts sur le système maintenant :
Télécharge Farbar Service Scanner (http://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/) (de Farbar) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche toutes les options
- Clique sur le bouton "Scan"
- Laisse travailler l'outil, un rapport va apparaitre.
- Poste son contenu dans ta prochaine réponse
(S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
-
Voici le FSS.txt :
http://up.security-x.fr/file.php?h=R19a1db5bc006519b2fead15f4e5df387
Encore merci
-
Re,
Pas de dégâts visible, bien qu'il semble y avoir un souci de connexion.
On va quand même lancer des réparations, cela pourrait ensuite permettre de retrouver l'accès à tes fichiers :
Télécharge Windows Repair (http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe) (de Tweaking.com) sur ton bureau.
Info : si le téléchargement ne démarre pas automatique, clique ici :
http://www.tweaking.com/content/page/windows_repair_all_in_one.html
Puis choisi : Installer (5.32 MB) => Direct Download
- Double-Clic dessus pour l'installer puis lance-le.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Va directement à l'onglet "step 4"
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FWindowsrepair%2FWindowsrepair4.png&hash=ffb5c2569900648dbd4bfe5e89f5928a02416d56)
- Clique sur le bouton Do It, et laisse le scan s'effectuer.
- Ferme le programme et redémarre le PC
- Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
- Clique sur le bouton"Start"
- Dans la fenêtre suivante, coche exactement ces options :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FWindowsrepair%2FWindowsrepair10.png&hash=3a3f048c725b8b3577f2f668fcceb81e2b365ed2)
- Clique enfin sur "Start" en bas à droite.
- Redémarre le pc s'il ne le fait pas automatiquement.
-
ok, j'espère que ça va marcher. Pour info maintenant c'est "Installer (9.09 MB)"
A toute.
-
Re,
Oui, merci pour l'info, il a était mis à jour depuis cette image ;)
Il faut que je m’attelle à changer le tuto.
Regarde maintenant si tu peux ouvrir les fichiers ou pas.
Si tu ne peux toujours pas, copie quelques un de ces fichiers, et tente de les ouvrir depuis un autre pc afin de savoir si le problème vient de ton système ou si les fichiers sont réellement corrompus ...
-
Bonjour,
J'ai toujours le même message à l'ouverture de mes fichiers.
Impossible de les copier : quand je fais un clic droit l'explorer ne répond plus et la même chose quand je fais un ctrl+C.
Encore merci
-
Re,
C'est l'ensemble des fichiers d'une même extension, ou seulement certains ? (dans un dossier, etc ...)
Leur nom a été modifié, ou l'extension changé ?
-
C'est l'ensemble des fichiers, toutes extensions confondues, et stockés à différents endroits.
-
Le nom et l'extension des fichiers n'a pas changé.
Par contre je suis allée supprimer des taches qui tournaient sans utilité, et maintenant j'arrive à faire des copier coller.
Donc j'ai testé des fichiers sur un autre pc et toujours pareil :(.
-
Re,
Ce sont donc bien les fichiers eux-mêmes qui sont altéré.
Là, pas grand chose à faire malheureusement.
Pour voir, peux-tu me mettre en pièce jointe l'un des fichiers corrompu, notamment une photo .jpg ou autre ?
-
Voici un jpeg corrompu
http://up.security-x.fr/file.php?h=R5981b9b770254a368420520f7b2fa921
-
Re,
Alors non, comme ça je pourrais rien en faire ;)
Quand tu réponds ici à ce sujet, as-tu l'option "Fichier joints et autres options" en dessous de l'encart pour répondre ?
Si oui, c'est là qu'il faut joindre l'image ;)
S tu n'as pas cela, on fera autrement.
-
J'ai bien "Fichiers joints et autres options" puis les sous menus suivants :
"Suivre les réponse"
"Ne pas utiliser de smiley"
"Retourner au sujet"
Pas d'option PJ
-
Re,
Bon pas grave, j'ai pu récupérer malgré tout l'image par l'autre lien, et d'après ce que j'ai vu, en éditant le fichier, il semble totalement corrompu, il manque une partie de l'entête notamment.
C'est assez étrange car les infections qui provoquent ce type de problème sont des ransomwares, et tu n'en avais pas de traces sur ton système.
Avais-tu des sauvegardes de ces différents fichiers quelque part ?
Il me faudrait une ou deux copie saine pour voir en comparaison avec l'un des fichier corrompu.
-
Bonsoir,
Voici des Photos saines :
http://up.security-x.fr/file.php?h=R7071ec8b507340413e2012671d3dbbc6
http://up.security-x.fr/file.php?h=R57809bdf11df40df4875b48fad7ec0eb
Voici les photos corrompues :
http://up.security-x.fr/file.php?h=R4de9e65a97b26cab91b73cee356e208d
http://up.security-x.fr/file.php?h=Rf7c9011a6088d2a4990bdc0c229ef7f4
-
Re,
C'est assez incompréhensible ...
Y'a aucune correspondance entre les deux fichiers, sauf la taille, à peu près.
L'entête EXIF n'existe plus sur le fichier corrompu.
J'ai testé tout une batterie de décrypteur, aucun ne trouve quelque chose à décrypter, même en comparaison avec le fichier sain.
Je suis interrogatif car rien dans ce que nous avons nettoyé se rapproche d'une infection de type crypteur.
Pourrais-tu m'expliquer exactement comment ce problème est apparu, ou s'est manifesté ?
Suite à une manipulation ?
A l'ouverture du pc, ou après quelque chose ?
-
Bonjour,
Avant de partir en vacances j'ouvrais me fichiers (jpg, word, excel, pdf) sans aucun problème. 15 jours après je redémarre mon pc et là plus rien. Impossible d'ouvrir quoi que ce soit.
Les photos j'ai quelques sauvegardes mais le plus ennuyeux est pour mes documents words et Excel où je n'avais pas encore fait de sauvegarde !
En tous les cas merci du temps que vous consacrez à mon problème.
-
Re,
cela m'a donc tout l'air d'un problème matériel, si le système n'a pas été utilisé pendant ce laps de temps, aucune raison pour qu'une infection ai agit PC éteins.
Les logiciels fonctionnent normalement sur le pc ?
Pas d'erreur quelconque ?
Pour voir aussi si la vérification du disque faite avant Windows repair a trouvé des problèmes :
Télécharge Report_CHDSK.exe (http://security-x.fr/tools/download_ext.php?f=Report_CHKDSK.exe&r=laddy) (de Laddy) sur ton bureau
- Double-Clic dessus pour l'exécuter.
- Le rapport va s'ouvrir dans le bloc-note.
- Copie-colle son contenu dans ta prochaine réponse.
Note : Si ce n'est pas le cas, le rapport nommé RapportCHK_DD-MM-AAAA.txt se trouve sur ton bureau.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
voici le rapport :
Report_CHKDSK v1.0 BY Laddy
Début le 25/08/2014 à 17:39:07.
OS : Windows Vista (TM) Home Basic Service Pack 1
Utilisateur nathy : Utilisateur droits limités
Lancement: C:\Users\nathy\Desktop\Report_CHKDSK.exe
########## [EVENTLOG CHKDSK]
SourceName = Microsoft-Windows-Wininit
TimeGenerated = 19/08/2014 01:07:39
Message =
Vérification du système de fichiers sur C:
Le type du système de fichiers est NTFS.
Le nom de volume est SYS.
Une vérification de disque a été planifiée.
Windows va maintenant vérifier le disque.
274368 enregistrements de fichier traités.
243 enregistrements de grand fichier traités.
0 enregistrements de fichier incorrect traités.
20 enregistrements EA traités.
65 enregistrements d'analyse traités.
325884 entrées d'index traitées.
0 fichiers non indexés traités.
274368 descripteurs de sécurité traités.
Nettoyage en cours de 624 entrées d'index inutilisées à partir de l'index $SII
du fichier 0x9.
Nettoyage en cours de 624 entrées d'index inutilisées à partir de l'index $SDH
du fichier 0x9.
Nettoyage en cours de 624 descripteurs de sécurité non utilisés.
25759 fichiers de données traités.
CHKDSK vérifie le journal USN...
37360160 octets USN traités.
Vérification du journal USN terminée.
CHKDSK est en train de vérifier les données du fichier (étape 4 de 5)...
274352 fichiers traités.
La vérification des données du fichier est terminée.
CHKDSK est en train de vérifier l'espace libre (étape 5 de 5)...
3485796 clusters libres traités.
La vérification de l'espace libre est terminée.
CHKDSK a découvert de l'espace libre marqué alloué dans la bitmap du volume.
Windows a effectué des corrections sur le système de fichiers.
233585663 Ko d'espace disque au total.
219216708 Ko dans 170297 fichiers.
102800 Ko dans 25760 index.
0 Ko dans des secteurs défectueux.
322967 Ko utilisés par le système.
4096 Ko occupés par le fichier journal.
13943188 Ko disponibles sur le disque.
4096 octets dans chaque unité d'allocation.
58396415 unités d'allocation au total sur le disque.
3485797 unités d'allocation disponibles sur le disque.
Informations internes :
c0 2f 04 00 df fd 02 00 c8 f7 04 00 00 00 00 00 ./..............
fa 0e 00 00 41 00 00 00 00 00 00 00 00 00 00 00 ....A...........
42 00 00 00 1f 86 09 77 70 ea 1f 00 70 e2 1f 00 B......wp...p...
Windows a terminé la vérification de votre disque.
Veuillez patienter pendant le redémarrage de votre ordinateur.
###########################################################################
########## ENDOF 17:42:08
-
Re,
Rien de particulier.
Écoute, je suis vraiment désolé, je ne vois ni pourquoi, ni comment ces fichiers ont été corrompu, donc je n'ai aucun moyen de t'aider à les réparer actuellement ...
Je suis à peu près certain que ce n'est pas lié à une infection, aucun élément ne permet de raccorder cela aux infections connues pour crypter/bloquer ce type de fichier.
C'est donc probablement une fausse manipulation (ce qu'on peut écarter vu que le pc n'a pas été utilisé avant apparition du problème), ou un souci système, mais impossible de savoir lequel, pour qu'il corrompe ainsi tous les fichiers, et de plusieurs type, sans pour autant déstabiliser Windows et les logiciels ...
Je suis donc dans une impasse ...
-
En tous les cas merci beaucoup pour tout le temps passé à m'aider et la clarté des explications.
Aure question, quel serait l'outil de réparation pour des fichiers word et Excel, le plus puissant?
Merci
-
Re,
Ben le problème est de savoir .... qu'est-ce qu'on appel réparation.
Un fichier corrompu peut l'être de nombreuses manières, et il n'y a pas de recette miracle la plupart du temps, le fichier est perdu.
D'où la nécessité absolue de faire régulièrement des sauvegardes sur différents supports.
Je préfère ne pas te conseiller "d'outil" de réparation, car la plupart du temps, ce sont des récupérateur de fichiers supprimé sur les disques, et non de réparation de fichier corrompu comme ici.
Quand à ceux qui mettent en avant de "réparer" les fichiers, ce sont le plus souvent des paroles en l'air et du pur produit commercial, voir dangereux/arnaque.
Une dernière question, y'a-t-il encore sur ton pc des fichiers de type JPG, pdf , excel ou autre qui sont "ouvrable" ? Ou bien sont-ils tous corrompus ?
-
Les fichiers Word Excel et pdf créés avant le problème sont tous inutilisables, par contre ceux que j'ai créé après pas de problème.
Pour les photos, j'en ai certaines qui ont toujours été lisibles mais elles sont peu nombreuses.
-
Re,
OK, c'était pour voir, mais cela ne m'avance pas plus pour t'aider malheureusement ...
Tu avais des sauvegardes ?
-
Pour les photos, j'avais une sauvegarde de la majorité mais pour mes documents word et excel je n'ai pas fait de sauvegarde des 4 derniers mois :(.
Encore merci beaucoup pour toute l'aide apportée, la patience et le temps passé.
-
Re,
Est-ce que sur ces fichiers, tu peux tester l'option : clic-droit -> propriétés
Onglet "versions précédentes"
Est-ce qu'il en trouve Windows ou pas ?