Bonjour,
 
 
Mon ordinateur a été infecté par le malware de nom "File Recovery"
Je signale que c'était d'ailleurs en étant en train de surfer sur des pages tout à fait "convenables" puisque il s'agissait de pages de la Open Street Map Foundation
 
 
Sur le forum Hardware/Disques durs, on m'a donné l'intéressant lien suivant:
http://malwaretips.com/blogs/file-recovery-virus/
 
Il y a ce passage:
Registration codes for File Recovery
As an optional step,you can use the following license key to register File Recovery virus and stop the fake alerts.
File Recovery activation code: 56723489134092874867245789235982
Please keep in mind that entering the above registration code will NOT remove File Recovery from your computer , instead it will just stop the fake alerts so that you’ll be able to complete our removal guide more easily.
 
Je ne sais pas comment il faut utiliser le Registration Code dont il est question.
J'aimerais bien pouvoir utiliser ce code car ça me permettrait peut être de pouvoir faire tourner le logiciel Drive Backup 9.0 qui me permet habituellement de restaurer ma partition active avec un simple recopiage d'image préenregistrée.
Cela m'éviterait toute une procédure d'éradiquation du malware.  
 
Quelqu'un pourrait il me renseigner ?

Est-ce que ce qui se trouve dans la page suivante concerne le même malware de nom "File Recovery" ?
 
http://www.raymond.cc/blog/free-pc [...] -everyone/
 
Ce nom du malware est énervant: comme l'expression 'file recovery' se trouve dans quantités de pages internet, on n'arrive, pas à distinguer si une page parle de 'file recovery' en général ou du malware en particulier.
Il est à tuer ce malware ! Et les auteurs à foutre en prison !

essaie ce tuto,  
 
http://malwaretips.com/blogs/file-recovery-virus/

Yop.
 
A première vue ça ressemble à un rogue --> http://forum.malekal.com/rogues-al [...] t7139.html
 
Essaie ça :
 
• Télécharge RogueKiller (de Tigzy) sur ton bureau
• Quitte tous tes programmes puis lance le  
• Quand le préscan est fini, appuie sur Scan
• A la fin de ce scan, clique sur Rapport et copie/colle moi son contenu
 
++

..Bonjour,
 
 
1) Je ne pensais pas devoir un jour rentrer dans ces processus de désinfection car j'utilisais jusqu'à présent, pour me sortir de ces problèmes, la restauration de mon disque actif C:\ avec une image préalablement enregistrée, au moyen de Drive Backup 9.0
 
C'est ainsi que j'ai été deux fois confronté au "virus de la gendarmerie" et j'ai réglé le problème en 1/4 h en recollant l'image de C:\ sur le disque.
Je n'enregistre en effet aucune donnée sur C:\, tout part sur les autres partitions.
 
Tout ça pour dire que je me fous de ce qui était sur C:\ avant l'infection par "File Recovery" : je n'ai pas besoin de garder le disque C:\ sans la vermine.
Je voudrais seulement pouvoir récupérer la maîtrise minimale de mon ordi de façon à pouvoir faire tourner Drive Backup  
 
Le problème cette fois est en effet que la vermine "File Recovery" n'autorise même pas l'exécution de Drive Backup: à la dernière étape, quand il s'agit que l'image soit écrite, l'exécution est stoppée.
 
Si vous avez une solution pour cela, je suis preneu.
 
 
2) Mais je ne suis pas contre d'autres solutions.
 
J'ai donc essayé de suivre le tuto donné par le_niak. Merci d'ailleurs à toi le_niak
 
Le problème que j'ai rencontré cette fois est que l'installation de RKill (step 3) n'aboutit pas car tout à la fin il me sort que "le chemin spécifié" n'existe pas.
Et ce avec aussi les autres RKill à l'adresse
http://www.bleepingcomputer.com/do [...] irus/rkill
 
 
3) Je vais aller voir ce qui se dit sur malekal et esayer de télécharger/installer RogueKiller

RKill et RogueKiller traitent tous les deux le rogue, mais RogueKiller est beaucoup plus efficace.
 
Fais déjà la recherche, j'te dirais s'il détecte quelque chose et si besoin, lancer la suppression.
 
++

Merci aznoviet
 
J'ai suivi ton instruction, voilà le résultat:
 
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discus [...] ntees.html
Blog: http://tigzyrk.blogspot.com
 
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Administrateur [Droits d'admin]
Mode : Recherche -- Date : 06/09/2012 21:02:03
 
¤¤¤ Processus malicieux : 0 ¤¤¤
 
¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKLM\[...]\Run : qkdngoVqkpstjP.exe (C:\Documents and Settings\All Users\Application Data\qkdngoVqkpstjP.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1004336348-220523388-842925246-1003[...]\Run : w5rt658CcJlID6 (C:\Documents and Settings\All Users\Application Data\w5rt658CcJlID6.exe) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
 
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
 
¤¤¤ Driver : [NON CHARGE] ¤¤¤
 
¤¤¤ Infection : Root.MBR ¤¤¤
 
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
 
127.0.0.1       localhost
 
 
¤¤¤ MBR Verif: ¤¤¤
 
+++++ PhysicalDrive0: ST340014A +++++
--- User ---
[MBR] d7282babbc7067856dfa5ea414a6b8d6
[BSP] aeccf7ebd829aea5b8821d466f3e402c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 7169 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 14683410 | Size: 30992 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] f85a86cc95f23c524d8f28b7d2ec7dfb
[BSP] b4efea61b63781bbacfa796376da5a5e : MaxSS MBR Code!
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 7169 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 14683410 | Size: 30992 Mo
 
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Ah ouais ok ...    
 
Déjà vire le rogue (pour que l'ordi soit moins chiant à utiliser) :
 
• Quitte tous tes programmes puis relance le  
• Quand le préscan est fini, appuie sur Scan puis sur Suppression
• Dès que c'est fini, clique sur Rapport et copie/colle moi son contenu
 
----------------
 
Ensuite tu as une infection assez coriace, et c'est assez casse couille à enlever car une mauvaise manip peut faire planter ton PC. Je préfère honnêtement pas prendre le risque    
 
Si quelqu'un d'autre ici peut s'en occuper, sinon tu peux aller sur le forum de Malekal ou sur Sur-La-Toile. Ils sauront s'en occuper :-)
 
Tu posteras un nouveau rapport de RogueKiller en Recherche, ils verront tout de suite le problème !
 
++

- Qu'est ce que tu appelles "rogue" finalement ?
Parce que si tu me dis que je dois l'éliminer mais qu'il restera à éliminer l'infection, je me demande qu'est ce qui constitue l'infection et qu'est ce que le rogue.
 
 
- Pour faire ce que tu m'as demandé, j'ai été obligé de retélécharger RogueKiller parce que j'avais redémarré l'ordinateur et que manifestement la vermine invalide tout ce que j'avais fait auparavant:
je ne savais pas où retrouver RogueKiller (mais peut être ai-je mal cherché)
et les favoris que j'avais enregistrés avaient disparus
 
 
 
- J'ai fait Scan puis Suppression
Mais j'aimerais savoir ce que fait Suppression. Ca supprime quoi ?
 
 
- Alors voilà le rapport:
 
 
Blog: http://tigzyrk.blogspot.com
 
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Administrateur [Droits d'admin]
Mode : Suppression -- Date : 06/09/2012 22:04:47
 
¤¤¤ Processus malicieux : 0 ¤¤¤
 
¤¤¤ Entrees de registre : 0 ¤¤¤
 
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
 
¤¤¤ Driver : [NON CHARGE] ¤¤¤
 
¤¤¤ Infection :  ¤¤¤
 
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
 
127.0.0.1       localhost
 
 
¤¤¤ MBR Verif: ¤¤¤
 
+++++ PhysicalDrive0: ST340014A +++++
--- User ---
[MBR] d7282babbc7067856dfa5ea414a6b8d6
[BSP] aeccf7ebd829aea5b8821d466f3e402c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 7169 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 14683410 | Size: 30992 Mo
User = LL1 ... OK!
User = LL2 ... OK!
 
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Euh .... Oo
 
Tu peux me poster les autres rapports de RogueKiller ?  

(au moins les 2, 3 et 4)
 
-----------------
 
La suppression vire les fichiers et clefs que RogueKiller détecte, dans ton cas :
 

1) et 2) Ce sont les deux clefs du rogue (ton fameux "File recovery" ) + le fichier. En gros cette clef va lancer son fichier infectieux au démarrage --> le rogue.
3) Le rogue a désactivé le gestionnaire des tâches, RogueKiller va "réparer" la clef pour le réactiver.
 
----------------
 
Un rogue c'est un faux logiciel de sécurité, qui t'affiche plein d'erreur, d'infections etc pour que tu achètes leur connerie de logiciel qui "devrait réparer". Mais ça répare que dalle.
 
Et en fait tu avais aussi une infection du MBR, en gros si j'avais essayé de le réparer avec d'autres outils, ton PC aurait pu ne plus démarrer du tout (peu de chance mais c'est possible, donc j'ai préféré ne pas prendre le risque). Là visiblement, RogueKiller a tout réparé ... donc pas besoin de poster sur les deux autres forums !    
 
Tu as compris ou je t'ai encore plus embrouillé ?  

Je n'aurais pas dû poser ma question inutile. J'ai cherché sur internet et vu qu'un rogue est un malware qui essaie de se faire passer pour un anti-malware. Pffff, il ne reste plus aux bandits du net qu'à créer un faux RogueKillerArnacus qui se fera passer pour un désactivateur de rogue pseudo-antimalware.....
 
 
 
 
En fait je n'avais pas compris ton message :
 

 
 
J'ai cru que l'infection coriace était dans le même paquet cadeau que le rogue que tu me demandais de virer.
Mais avec ton dernier message, je comprends que tu faisais allusion à une atteinte du MBR et je comprends maintenant pourquoi tu qualifiais le problème de coriace et délicat à traiter.
 
Or il faut que je dise que j'ai fait une restauration du MBR avec une image que j'avais préenregistrée, et ceci avec Drive Backup 9.0
J'ai fait cette restauration parce que j'avais vu l'indication
¤¤¤ Infection : Root.MBR ¤¤¤
dans le premier rapport que j'ai posté.
 
Donc ce n'est pas RogueKiller qui a éliminé me problème de MBR mais ma restauration.
 
 
 
 
------------------------------------
 
Je ne sais pas où je dois trouver les rapports
Kreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
 
 
 
 

Ah ok !
 
Et File Recovery t'embête encore là ?

 
Non non, je finis par comprendre peu à peu.
L'essentiel est de ne pas être livré à soi même  
Et je fais marcher ma petite tête
Merci pour ton aide.
 
 
 
Par contre j'ai des difficultés à comprendre RogueKiller.
 
J'ai cliqué sur "Racc RAZ", l'exécution vient de se terminer et je constate que mes raccourcis d'avant infection sont réapparus sur mon bureau.    
 
Ca doit vouloir dire que le rogue a été désactivé.
mais est-ce un désactivation définitive, ou bien va-t-il se réactiver quand je redémarrerai ?
 
 
 
 
Je n'arrive pas bien à lire les étiquettes de RogueKiller car en plus j'ai un problème d'écran: les lettres sont floues. Dans une page internet je fais des zooms, mais dans la fenêtre RogueKiller il n'y a pas la possibilité de zoom.
Qu'est ce qui est marqué à droite / :
H~~ RAZ
Proxy RAZ  (proxy ?)
DNS RAZ  ça c'est bon

 
 
 
C'est ce que je me demande.
Il va falloir que j'essaie de redémarrer en mode normal.
Car là, pour accéder à internet, je suis en Mode sans échec avec gestion du réseau
Et je crains de redémarrer sans avoir curer tout ce qu'il faudrait curer. Cette infection est tellement empoisonnante. Ca fait depuis 6 h ce matin que je suis là dessus et rien que la restauration des raccourcis a pris 10 minutes.
 
Je suis étonné que RogueKiller semble éliminer "File Recover" de façon relativement simple et aisée, alors que la procédure indiquée dans  
http://malwaretips.com/blogs/file-recovery-virus/
comporte d'autres étapes

Yop.
 
Ouais RogueKiller restaure les fichiers/dossiers que certains rogues cachent. D'après le dernier rapport RogueKiller que tu m'as fourni, le rogue ne devrait pas se relancer au démarrage.
 
Juste pour vérifier s'il y a des restes :
 
• Télécharge Malwarebytes' Anti-Malware puis intalle-le
• À la fin, laisse les deux cases cochées (Mettre à jour Malwarebytes Anti-Malware et Exécuter Malwarebytes Anti-Malware)
• Le logiciel s'ouvre, dans l'onglet Recherche choisis Exécuter un examen rapide puis clique sur Rechercher
• À la fin, s'il a trouvé des infections, clique sur Afficher les résultats  
• Coche tous les éléments puis Supprimer la sélection
• S'il te demande de redémarrer, fais-le puis poste le rapport qui devrait s'ouvrir automatiquement
Note : il se trouve aussi dans l'onglet Rapports/logs du menu principal
 
-------------------
 
Et RogueKiller vire très bien ce rogue, vu qu'il a été fait pour ! C'est le meilleur outil contre ce type d'infection.
 
Si tu souhaites, il existe des formations pour apprendre à utiliser ces outils (et bien plus)

Eh bien oui et non.
Il semblait se relancer à chaque démarrage mais ce n'était qu'en partie et donc en fait pas d'une façon efficace puisque cela ne rebloquait pas l'ordinateur.
 
Ce qu'il se passait à chaque redémarrage (je parle de démarrages en Mode normal, pas en Mode sans échec avec gestion du réseau, n'est ce pas), c'était:
 
1) le bureau réapparaissait avec tous mes raccourcis pré-infection sur fond normal, alors que lorsque "File Recovery" faisait des siennes, il n'y avait que les deux icônes du Poste de travail et de la Corbeille sur fond noir
 
2) la simulation d'analyse du disque dur que déclenche le rogue se relançait dans la même fenêtre qu'avant. Mais cette simulation n'est que de la poudre au yeux destinée à faire peur, je pouvais l'arrêter, en fait ce n'est pas le processus esentiel du rogue
 
3) surtout, il ne se produisait plus l'affichage d'une quarantaine de messages en rafale, tous identiques à ceci:
A write command during the test has failed to complete. This may be due to a media or read/write error. The system generates an exception error when using a reference to an invalid system memory address.
C'est ce point qui est en fait le plus important car d'après des tests que j'ai effectués,
c'est lorsque ce produit l'affichage de cette rafale de messages que le rogue "File Recovery" effectue son blocage de l'ordinateur.
 
Après avoir utilisé RogueKiller, j'ai fait un ménage complet des reliquats du rogue au moyen de Malwarebytes, si bien que maintenant il n'y a plus non plus le déclenchement de la simulation d'analyse du disque dur lorsque je redémarre mon ordi comme d'habitude.
 
----------------------------
 
Cependant, avant de passer l'éponge avec Malwarebytes, j'ai fait des tests.
 
Je me suis demandé comment le rogue se relance à chaque démarrage.
J'ai regardé ce qu'il y avait dans les dossiers
C:\Documents and Settings\Admin\Menu Démarrer\Programmes\Démarrage
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage
et je n'ai rien trouvé qui ait rapport avec le rogue.
 
Par contre j'ai trouvé un fichier qui était signalé par une icône triangulaire jaune (je n'ai pas relevé à quelle localisation et je ne peux plus la retrouver car  maintenant que j'ai totalement désinfecté, les fichiers du rogue ont disparu):
lorsque j'ai appuyé sur ce fichier, la rafale de messages s'est produite et mon ordinateur s'est retrouvé de nouveau bloqué et il a fallu que je refasse tout la procédure de correction pour le redébloquer:
redémarrage de l'ordi en Mode sans échec avec gestion du réseau, re-téléchargement/installation de RogueKiller, scanning, appui sur bouton Suppression.
 
Donc, je ne sais toujours pas quel est le processus automatique par lequel ce fichier à icône triangulaire jaune est activé à chaque démarrage en Mode normal mais d'après ce que je comprends, l'action déclenchée par le bouton Suppression de RogueKiller est de désactiver ce processus de lancement automatique. Et le tour est joué.
Quant à la restauration des raccourcis, elle est réalisée par le bouton Racc RAZ
 
Ensuite, même si le fichier à icône triangulaire jaune n'est plus lancé aux démarrages, on n'a qu'une envie, c'est de le détruire. On peut sans doute le faire à la main, mais le mieux est de le faire disparaître avec toutes les autres traces du rogue, et Malwarebytes doit faire ça très bien.
 
 
------------------
 
 
Après coup, cette désinfection m'apparait simple. Le plus essentiel consiste à:
 
* démarrer son computer en Mode sans échec avec gestion du réseau
Je n'avais jamais eu besoin de le faire, je n'en connaissais même pas la possibilité.
J'en ai trouvé la description dans le lien
http://malwaretips.com/blogs/file-recovery-virus/
donné par le_niak1982   Merci le_niak1982   !!
 
* utiliser RogueKiller, plutôt que RKill qui n'arrivait pas à finir de s'installer
RogueKiller, le sauveur absolu ! Je vais faire un don sur son site, ça c'est sûr.
Le tuyau sur RogueKiller m'a été donné par azn0viet   Merci azn0viet !!
 
 
 

Oui, ça m'intéresse.

de rien, en esperant que tout est réglé maintenant

Yop.
 

Ouais, c'est le rogue qui a viré le fond d'écran (en général ils mettent un truc "choquant" pour stresser les gens et les pousser à acheter leur truc) et bien sûr les raccourcis c'est lui.
 

Alors ça, je sais pas du tout, dans le sens où il y a le même rogue mais inoffensif x)
 

Tant mieux Si je me trompe pas, RogueKiller ne supprime pas le fichier infectieux, MBAM oui. Ça pourrait expliquer le fichier infectieux que tu rencontres après et qui relance l'infection.  
 

Normal   Il ne se lance pas à partir d'un dossier startup  

--> HKLM\[...]\Run
 
L'infection se lance à partir de cette clef de registre, RogueKiller l'a supprimé, donc il ne se lance plus au démarrage    
 

Oui
 

Tu peux sans problème le virer à la main, MBAM recherchera d'autres fichiers infectieux, c'est tout.
 

RogueKiller débloque tellement bien les PC que d'un côté, on a plus rien à faire nous  
 

Il en existe plusieurs, mais celle où je suis : http://www.security-domain.be/helper-formation/
 
Pour te dire honnêtement, c'est la formation la plus accessible et faisable. Les autres étant trop strictes (filtrage aux inscriptions par exemple) ou trop dur pour un début, je te conseille honnêtement celle-là
 
À bientôt peut-être