Doc, xls et jpg corrompus

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Leon95

Doc, xls et jpg corrompus

par Leon95 »

Bonsoir à tous,

Voilà, je viens de récupérer le portable d'un collègue qui a choppé un truc vilain.

Depuis une partie de ces jpg, de ces fichiers word et excel sont corrompu.
En parcourant le forum, j'ai pu voir que certains malware pouvait réécrire une partie du code hexa et rendre le fichier inaccessible. Le problème s'est que j'ai tenté les modifications proposées ; à savoir modifier le premier caractères du code Hexa (ex : 50 pour les docx) mais sans succès.

Comment puis-je faire ?

Merci par avance.

PS : Les fichiers sont vraiment importants. Il y a les cours de sa femme qui est prof.
Leon95

Re: Doc, xls et jpg corrompus

par Leon95 »

Pas d'idée ?
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Doc, xls et jpg corrompus

par Malekal_morte »

Salut,

Sans le malware ou les documents original + version chiffrée, on peux rien pour toi.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Leon95

Re: Doc, xls et jpg corrompus

par Leon95 »

C'est à dire ?
Leon95

Re: Doc, xls et jpg corrompus

par Leon95 »

Malwarebyte a trouvé :
- Torjan.Bprotector
- Rogue.internetsecurityessentials

Avira
- TR/Dynamer.dtv.562
- tr/atraps.gen2
- tr/crypt.xpack.gen3

Et pour le moment, je n'ai que la version crypté. Mais je peux peut être me débrouiller pour avoir une copie originale.
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Doc, xls et jpg corrompus

par Malekal_morte »

Donne les rapports de scan.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Leon95

Re: Doc, xls et jpg corrompus

par Leon95 »

ci-joint



Avira Free Antivirus
Date de création du fichier de rapport : samedi 9 novembre 2013 12:26


Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows 7 Home Premium
Version de Windows : (Service Pack 1) [6.1.7601]
Mode Boot : Démarré normalement
Identifiant : BEVILACQUA
Nom de l'ordinateur : BEVILACQUA-TOSH

Informations de version :
BUILD.DAT : 13.0.0.4042 55008 Bytes 30/08/2013 14:28:00
AVSCAN.EXE : 13.6.20.2100 639032 Bytes 09/11/2013 11:12:43
AVSCANRC.DLL : 13.6.20.2174 63544 Bytes 09/11/2013 11:12:43
LUKE.DLL : 13.6.20.2174 65080 Bytes 09/11/2013 11:13:09
AVSCPLR.DLL : 13.6.20.2174 92216 Bytes 09/11/2013 11:12:43
AVREG.DLL : 13.6.20.2174 250424 Bytes 09/11/2013 11:12:42
avlode.dll : 13.6.20.2174 497720 Bytes 09/11/2013 11:12:40
avlode.rdf : 13.0.1.44 27859 Bytes 09/11/2013 11:13:39
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/2013 11:11:40
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/2013 11:11:43
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/2013 11:11:46
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21/06/2013 11:11:49
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23/07/2013 11:11:54
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29/08/2013 11:12:01
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24/09/2013 11:12:04
VBASE007.VDF : 7.11.111.18 3598336 Bytes 06/11/2013 11:12:08
VBASE008.VDF : 7.11.111.19 2048 Bytes 06/11/2013 11:12:08
VBASE009.VDF : 7.11.111.20 2048 Bytes 06/11/2013 11:12:08
VBASE010.VDF : 7.11.111.21 2048 Bytes 06/11/2013 11:12:08
VBASE011.VDF : 7.11.111.22 2048 Bytes 06/11/2013 11:12:08
VBASE012.VDF : 7.11.111.23 2048 Bytes 06/11/2013 11:12:08
VBASE013.VDF : 7.11.111.150 168448 Bytes 07/11/2013 11:12:08
VBASE014.VDF : 7.11.112.47 247808 Bytes 08/11/2013 11:12:09
VBASE015.VDF : 7.11.112.48 2048 Bytes 08/11/2013 11:12:09
VBASE016.VDF : 7.11.112.49 2048 Bytes 08/11/2013 11:12:09
VBASE017.VDF : 7.11.112.50 2048 Bytes 08/11/2013 11:12:09
VBASE018.VDF : 7.11.112.51 2048 Bytes 08/11/2013 11:12:09
VBASE019.VDF : 7.11.112.52 2048 Bytes 08/11/2013 11:12:09
VBASE020.VDF : 7.11.112.53 2048 Bytes 08/11/2013 11:12:10
VBASE021.VDF : 7.11.112.54 2048 Bytes 08/11/2013 11:12:10
VBASE022.VDF : 7.11.112.55 2048 Bytes 08/11/2013 11:12:10
VBASE023.VDF : 7.11.112.56 2048 Bytes 08/11/2013 11:12:10
VBASE024.VDF : 7.11.112.57 2048 Bytes 08/11/2013 11:12:10
VBASE025.VDF : 7.11.112.58 2048 Bytes 08/11/2013 11:12:10
VBASE026.VDF : 7.11.112.59 2048 Bytes 08/11/2013 11:12:10
VBASE027.VDF : 7.11.112.60 2048 Bytes 08/11/2013 11:12:10
VBASE028.VDF : 7.11.112.61 2048 Bytes 08/11/2013 11:12:10
VBASE029.VDF : 7.11.112.62 2048 Bytes 08/11/2013 11:12:10
VBASE030.VDF : 7.11.112.63 2048 Bytes 08/11/2013 11:12:10
VBASE031.VDF : 7.11.112.110 155648 Bytes 09/11/2013 11:12:11
Version du moteur : 8.2.12.140
AEVDF.DLL : 8.1.3.4 102774 Bytes 09/11/2013 11:12:19
AESCRIPT.DLL : 8.1.4.164 516478 Bytes 09/11/2013 11:12:19
AESCN.DLL : 8.1.10.4 131446 Bytes 09/11/2013 11:12:18
AESBX.DLL : 8.2.16.26 1245560 Bytes 09/11/2013 11:12:20
AERDL.DLL : 8.2.0.128 688504 Bytes 09/11/2013 11:12:18
AEPACK.DLL : 8.3.3.4 758136 Bytes 09/11/2013 11:12:17
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 09/11/2013 11:12:17
AEHEUR.DLL : 8.1.4.744 6283642 Bytes 09/11/2013 11:12:16
AEHELP.DLL : 8.1.27.8 266617 Bytes 09/11/2013 11:12:13
AEGEN.DLL : 8.1.7.18 446839 Bytes 09/11/2013 11:12:12
AEEXP.DLL : 8.4.1.100 369016 Bytes 09/11/2013 11:12:20
AEEMU.DLL : 8.1.3.2 393587 Bytes 09/11/2013 11:12:12
AECORE.DLL : 8.1.32.2 201081 Bytes 09/11/2013 11:12:11
AEBB.DLL : 8.1.1.4 53619 Bytes 09/11/2013 11:12:11
AVWINLL.DLL : 13.6.20.2174 24120 Bytes 09/11/2013 11:10:26
AVPREF.DLL : 13.6.20.2174 48696 Bytes 09/11/2013 11:12:41
AVREP.DLL : 13.6.20.2174 175672 Bytes 09/11/2013 11:12:42
AVARKT.DLL : 13.6.20.2174 258104 Bytes 09/11/2013 11:12:31
AVEVTLOG.DLL : 13.6.20.2174 165944 Bytes 09/11/2013 11:12:34
SQLITE3.DLL : 3.7.0.1 394824 Bytes 09/11/2013 11:13:26
AVSMTP.DLL : 13.6.20.2174 60472 Bytes 09/11/2013 11:12:44
NETNT.DLL : 13.6.20.2174 13880 Bytes 09/11/2013 11:13:16
RCIMAGE.DLL : 13.4.0.141 4782880 Bytes 09/11/2013 11:10:27
RCTEXT.DLL : 13.6.20.2174 70200 Bytes 09/11/2013 11:10:28

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Disques durs locaux
Fichier de configuration......................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldiscs.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche du registre.........................: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Recherche sur tous les fichiers...............: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé

Début de la recherche : samedi 9 novembre 2013 12:26

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0

i
Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'

i
Aucun virus trouvé !
Secteur d'amorçage 'D:\'

i
Aucun virus trouvé !

La recherche sur les processus démarrés commence :
Recherche en cours du processus 'svchost.exe' - '58' module(s) ont été recherchés
Recherche en cours du processus 'nvvsvc.exe' - '41' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '41' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '98' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '124' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '90' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '166' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '83' module(s) ont été recherchés
Recherche en cours du processus 'GFNEXSrv.exe' - '36' module(s) ont été recherchés
Recherche en cours du processus 'spoolsv.exe' - '84' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '67' module(s) ont été recherchés
Recherche en cours du processus 'NvXDSync.exe' - '47' module(s) ont été recherchés
Recherche en cours du processus 'nvvsvc.exe' - '54' module(s) ont été recherchés
Recherche en cours du processus 'ServiceMiseAJourIndex.exe' - '73' module(s) ont été recherchés
Recherche en cours du processus 'taskhost.exe' - '72' module(s) ont été recherchés
Recherche en cours du processus 'Dwm.exe' - '40' module(s) ont été recherchés
Recherche en cours du processus 'Explorer.EXE' - '198' module(s) ont été recherchés
Recherche en cours du processus 'App24x7Svc.exe' - '32' module(s) ont été recherchés
Recherche en cours du processus 'armsvc.exe' - '34' module(s) ont été recherchés
Recherche en cours du processus 'BitGuard.exe' - '38' module(s) ont été recherchés
Recherche en cours du processus 'schtasks.exe' - '34' module(s) ont été recherchés
Recherche en cours du processus 'conhost.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'BitGuard.exe' - '65' module(s) ont été recherchés
Recherche en cours du processus 'SeaPort.EXE' - '58' module(s) ont été recherchés
Recherche en cours du processus 'TosNcCore.exe' - '46' module(s) ont été recherchés
Recherche en cours du processus 'nvSCPAPISvr.exe' - '41' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '46' module(s) ont été recherchés
Recherche en cours du processus 'TODDSrv.exe' - '32' module(s) ont été recherchés
Recherche en cours du processus 'tor.exe' - '47' module(s) ont été recherchés
Recherche en cours du processus 'TosCoSrv.exe' - '34' module(s) ont été recherchés
Recherche en cours du processus 'WLIDSVC.EXE' - '57' module(s) ont été recherchés
Recherche en cours du processus 'TecoService.exe' - '43' module(s) ont été recherchés
Recherche en cours du processus 'WLIDSvcM.exe' - '24' module(s) ont été recherchés
Recherche en cours du processus 'TosReelTimeMonitor.exe' - '56' module(s) ont été recherchés
Recherche en cours du processus 'TemproTray.exe' - '72' module(s) ont été recherchés
Recherche en cours du processus 'TPwrMain.exe' - '46' module(s) ont été recherchés
Recherche en cours du processus 'TCrdMain.exe' - '96' module(s) ont été recherchés
Recherche en cours du processus 'RAVCpl64.exe' - '53' module(s) ont été recherchés
Recherche en cours du processus 'wmiprvse.exe' - '41' module(s) ont été recherchés
Recherche en cours du processus 'unsecapp.exe' - '35' module(s) ont été recherchés
Recherche en cours du processus 'RAVBg64.exe' - '53' module(s) ont été recherchés
Recherche en cours du processus 'SynTPEnh.exe' - '68' module(s) ont été recherchés
Recherche en cours du processus 'SynTPHelper.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'Teco.exe' - '40' module(s) ont été recherchés
Recherche en cours du processus 'SearchIndexer.exe' - '61' module(s) ont été recherchés
Recherche en cours du processus 'BJMYPRT.EXE' - '32' module(s) ont été recherchés
Recherche en cours du processus 'TOPI.exe' - '114' module(s) ont été recherchés
Recherche en cours du processus 'RebateInf.exe' - '78' module(s) ont été recherchés
Recherche en cours du processus 'TosDIMonitor.exe' - '125' module(s) ont été recherchés
Recherche en cours du processus 'AdobeARM.exe' - '75' module(s) ont été recherchés
Recherche en cours du processus 'TSleepSrv.exe' - '38' module(s) ont été recherchés
Recherche en cours du processus 'ToshibaServiceStation.exe' - '102' module(s) ont été recherchés
Recherche en cours du processus 'CNSEMAIN.EXE' - '61' module(s) ont été recherchés
Recherche en cours du processus 'VCDDaemon.exe' - '40' module(s) ont été recherchés
Recherche en cours du processus 'Inbox.exe' - '68' module(s) ont été recherchés
Recherche en cours du processus 'splwow64.exe' - '39' module(s) ont été recherchés
Recherche en cours du processus 'taskeng.exe' - '39' module(s) ont été recherchés
Recherche en cours du processus 'NDSTray.exe' - '98' module(s) ont été recherchés
Recherche en cours du processus 'CFSwMgr.exe' - '70' module(s) ont été recherchés
Recherche en cours du processus 'TMachInfo.exe' - '56' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '63' module(s) ont été recherchés
Recherche en cours du processus 'CFIWmxSvcs64.exe' - '27' module(s) ont été recherchés
Recherche en cours du processus 'CFSvcs.exe' - '64' module(s) ont été recherchés
Recherche en cours du processus 'LMS.exe' - '41' module(s) ont été recherchés
Recherche en cours du processus 'NASvc.exe' - '49' module(s) ont été recherchés
Recherche en cours du processus 'wmpnetwk.exe' - '126' module(s) ont été recherchés
Recherche en cours du processus 'UNS.exe' - '48' module(s) ont été recherchés
Recherche en cours du processus 'TPCHSrv.exe' - '46' module(s) ont été recherchés
Recherche en cours du processus 'TosSmartSrv.exe' - '44' module(s) ont été recherchés
Recherche en cours du processus 'TPCHWMsg.exe' - '41' module(s) ont été recherchés
Recherche en cours du processus 'TosSENotify.exe' - '46' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '38' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '44' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '63' module(s) ont été recherchés
Recherche en cours du processus 'DllHost.exe' - '49' module(s) ont été recherchés
Recherche en cours du processus 'mbamscheduler.exe' - '43' module(s) ont été recherchés
Recherche en cours du processus 'mbamservice.exe' - '55' module(s) ont été recherchés
Recherche en cours du processus 'mbamgui.exe' - '65' module(s) ont été recherchés
Recherche en cours du processus 'mbam.exe' - '94' module(s) ont été recherchés
Recherche en cours du processus 'avguard.exe' - '102' module(s) ont été recherchés
Recherche en cours du processus 'avshadow.exe' - '20' module(s) ont été recherchés
Recherche en cours du processus 'sched.exe' - '46' module(s) ont été recherchés
Recherche en cours du processus 'AVWEBGRD.EXE' - '72' module(s) ont été recherchés
Recherche en cours du processus 'avgnt.exe' - '94' module(s) ont été recherchés
Recherche en cours du processus 'apnmcp.exe' - '44' module(s) ont été recherchés
Recherche en cours du processus 'TBNotifier.exe' - '92' module(s) ont été recherchés
Recherche en cours du processus 'taskhost.exe' - '47' module(s) ont été recherchés
Recherche en cours du processus 'avcenter.exe' - '125' module(s) ont été recherchés
Recherche en cours du processus 'avscan.exe' - '110' module(s) ont été recherchés
Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'wininit.exe' - '33' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'services.exe' - '40' module(s) ont été recherchés
Recherche en cours du processus 'lsass.exe' - '75' module(s) ont été recherchés
Recherche en cours du processus 'lsm.exe' - '16' module(s) ont été recherchés
Recherche en cours du processus 'winlogon.exe' - '39' module(s) ont été recherchés

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '11861' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <WINDOWS>
C:\$RECYCLE.BIN\S-1-5-21-2762220177-1931031303-363629272-1000\$RX24NQ4.exe
[RESULTAT] Contient le cheval de Troie TR/Dynamer.dtc.562
C:\Users\BEVILACQUA\AppData\Local\Temp\msimg32.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/ZeroAccess.Gen7
C:\Users\BEVILACQUA\AppData\Local\Temp\setup_fsu_cid.exe
[RESULTAT] Contient le cheval de Troie TR/Sefnit.AS.49
C:\Users\BEVILACQUA\AppData\Local\Temp\~tmf5691910921395916669.tmp
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/ZeroAccess.Gen7
C:\Users\BEVILACQUA\AppData\Local\Temp\~tmf8581674127931092762.tmp
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/ZeroAccess.Gen7
C:\Users\BEVILACQUA\Downloads\emule050a.exe
[RESULTAT] Contient le modèle de détection du logiciel publicitaire ADWARE/Descarga.A
Recherche débutant dans 'D:\' <Data>

Début de la désinfection :
C:\Users\BEVILACQUA\Downloads\emule050a.exe
[RESULTAT] Contient le modèle de détection du logiciel publicitaire ADWARE/Descarga.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '576d9cd5.qua' !
C:\Users\BEVILACQUA\AppData\Local\Temp\~tmf8581674127931092762.tmp
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/ZeroAccess.Gen7
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fe2b379.qua' !
C:\Users\BEVILACQUA\AppData\Local\Temp\~tmf5691910921395916669.tmp
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/ZeroAccess.Gen7
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '1dbde991.qua' !
C:\Users\BEVILACQUA\AppData\Local\Temp\setup_fsu_cid.exe
[RESULTAT] Contient le cheval de Troie TR/Sefnit.AS.49
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '7b93a660.qua' !
C:\Users\BEVILACQUA\AppData\Local\Temp\msimg32.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/ZeroAccess.Gen7
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '3e028b6c.qua' !
C:\$RECYCLE.BIN\S-1-5-21-2762220177-1931031303-363629272-1000\$RX24NQ4.exe
[RESULTAT] Contient le cheval de Troie TR/Dynamer.dtc.562
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4128b922.qua' !


Fin de la recherche : samedi 9 novembre 2013 14:57
Temps nécessaire: 1:29:53 Heure(s)

La recherche a été effectuée intégralement

34284 Les répertoires ont été contrôlés
523309 Des fichiers ont été contrôlés
6 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
6 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
523303 Fichiers non infectés
6901 Les archives ont été contrôlées
0 Avertissements
6 Consignes
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Doc, xls et jpg corrompus

par Malekal_morte »

Apparemment, t'as choppé un exploit sur site WEB à un moment donné.
Ton infection est venue par là.


[*] Télécharger sur le bureau http://forum.malekal.com/roguekiller-t29444.html (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

~~

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Leon95

Re: Doc, xls et jpg corrompus

par Leon95 »

Voici les rapports.
RK en a fait deux, je t'ai fourni les deux.

Merci d'avance.

OTL : http://pjjoint.malekal.com/files.php?id ... q8r14g5w10

RKreport[0]_S_11102013_111553

RogueKiller V8.7.6 _x64_ [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : BEVILACQUA [Droits d'admin]
Mode : Recherche -- Date : 11/10/2013 11:15:53
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 2 ¤¤¤
[SUSP PATH] BitGuard.exe -- C:\ProgramData\BitGuard\2.7.1769.27\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [7] -> TUÉ [TermProc]
[SUSP PATH] BitGuard.exe -- C:\ProgramData\BitGuard\2.7.1769.27\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [7] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\GoogleUpdate.exe" >) -> TROUVÉ
[RUN][ZeroAccess] HKUS\S-1-5-21-2762220177-1931031303-363629272-1000\[...]\Run : Google Update ("C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\GoogleUpdate.exe" >) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll [7]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] c1849e6db63184530b3141dd45dac46d
[BSP] 095c5223f51f9044907f35d86d7f1c0e : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 357392 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 732760064 | Size: 357611 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_11102013_111553.txt >>

RKreport[0]_D_11102013_111642

RogueKiller V8.7.6 _x64_ [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : BEVILACQUA [Droits d'admin]
Mode : Suppression -- Date : 11/10/2013 11:16:42
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 2 ¤¤¤
[SUSP PATH] BitGuard.exe -- C:\ProgramData\BitGuard\2.7.1769.27\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [7] -> TUÉ [TermProc]
[SUSP PATH] BitGuard.exe -- C:\ProgramData\BitGuard\2.7.1769.27\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [7] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\GoogleUpdate.exe" >) -> SUPPRIMÉ
[RUN][ZeroAccess] HKUS\S-1-5-21-2762220177-1931031303-363629272-1000\[...]\Run : Google Update ("C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\GoogleUpdate.exe" >) -> [0xc0000034] Unknown error
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll [7]) -> REMPLACÉ ()

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Fichier] @ : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Fichier] GoogleUpdate.exe : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\GoogleUpdate.exe [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] [email protected] : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\L\[email protected] [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 76603ac3 : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\L\76603ac3 [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\L [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] [email protected] : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\U\[email protected] [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] [email protected] : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\U\[email protected] [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] [email protected] : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\U\[email protected] [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] [email protected] : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\U\[email protected] [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] [email protected] : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\U\[email protected] [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] [email protected] : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\U\[email protected] [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {e4d3f608-5e61-635e-6765-1b0dcfffd6c9} : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9} [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Repertoire] ???ﯹ๛ : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?��\???ﯹ๛ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Repertoire] ?��?��?�� : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?��\?��?��?�� [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Repertoire] ?��?��?�� : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9}\?��?��?�� [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Repertoire] {e4d3f608-5e61-635e-6765-1b0dcfffd6c9} : C:\Users\BEVILACQUA\AppData\Local\Google\Desktop\Install\{e4d3f608-5e61-635e-6765-1b0dcfffd6c9} [-] --> SUPPRIMÉ AU REBOOT

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] c1849e6db63184530b3141dd45dac46d
[BSP] 095c5223f51f9044907f35d86d7f1c0e : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 357392 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 732760064 | Size: 357611 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_11102013_111642.txt >>
RKreport[0]_S_11102013_111553.txt



Penses-tu que cela me permettra de récupérer les fichiers ?
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Doc, xls et jpg corrompus

par Malekal_morte »

Pour les documents non, les chances sont très très minces.

Là on va désinfecter le PC.

~~

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-an ... mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Leon95

Re: Doc, xls et jpg corrompus

par Leon95 »

Malekal_morte a écrit :Pour les documents non, les chances sont très très minces.
Très très mince = impossible ou possible ?
Leon95

Re: Doc, xls et jpg corrompus

par Leon95 »

J'ai pas installé MBAR mais la version originale. Cela pose-t-il pb ?
Malekal_morte
Messages : 111560
Inscription : 10 sept. 2005 13:57

Re: Doc, xls et jpg corrompus

par Malekal_morte »

Si c'est bien fait, casi impossible.

~~

Tu as tout supprimé de ce qui a été détecté par Malwarebytes?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Leon95

Re: Doc, xls et jpg corrompus

par Leon95 »

Oui j'ai tout supprimé

Et pour les fichiers comment je pourrais tester ?
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »