Virus fakesysdef

trucmuche -  
flo-91 Messages postés 5973 Statut Contributeur sécurité -
Bonjour,
Depuis quelques jours le fond d'écran a disparu et un message me dit que certains secteurs du disque sont defectueux. Mais lorsque je lance scandisk il n'y a pas de problème. Mais je viens d'avoir un message d'avast signalant une infection par le Trojan "Win32;Fakesysdef-J"
Je n'arrive pas à m'en débarasser. Quelqu'un peut-il me conseiller svp?
Merci d'avance

13 réponses

  1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Bonsoir, :

    On va commencer par analyser ton pc, :

    Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme.

    Clique sur Tous pour cocher toutes les cases des options.

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

    Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
    Un lien te sera généré, postes le dans ta prochaine réponse .
    0
  2. trucmuche
     
    Salut
    Merci pour ton aide
    Voici le rapport:
    http://www.cijoint.fr/cjlink.php?file=cj201012/cijIU5qg59.txt
    0
    1. gen-hackman
       
      salut excusez-moi

      trucmuche je suis intéréssé par un de tes virus tu pourrais me l'envoyer ?
      0
    2. gen-hackman
       
      merci pour la réponse.....
      0
    3. trucmuche
       
      Salut
      Je comprends pas bien...
      Qu'est-ce que tu veux???
      à +
      0
  3. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Fait ceci :

    /!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    >Usbfix<

    >Télécharge USBFIX de Chiquitine29, C_xx ici :

    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

    >/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir

    > Double clic sur le raccourci UsbFix présent sur le bureau .

    >Choisir l'option 2 Supression et laisser travailler l'outil

    Ensuite poste le rapport UsbFix.txt qui apparaîtra.

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    * Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
    0
  4. trucmuche
     
    Salut
    J'ai passé un peu de temps hier, mais sans succès:
    D'abord le lien que tu m'as donné pour télécharger Usbfix ne marche pas (peut-être périmé?). En fouillant un peu sur le net, je l'ai trouvé à cette adresse:
    https://www.ionos.fr/?affiliate_id=77097
    Mais lorsque je lance "suppression", ça rame incroyablement et le programme finit par bloquer à 90%. Donc pas de rapport de suppression.
    Peut-être que la version que j'ai trouvée n'est pas bonne, ou pas adaptée à mon système d'exploitation?
    Y a-t-il un autre logiciel assurant les mêmes fonctions?
    Merci
    0
    1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Essaie en mode sans echec ( tapote F5 ou F8 au démarrage du pc ).
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. trucmuche
     
    Salut
    Pareil en mode sans échec. Le programme plante à 90% de l'analyse
    0
    1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Fait ceci :


      Analyse ce fichier :

      D:\DOCUME~1\maman\LOCALS~1\Temp\7141031.exe


      Sur ce site :

      https://www.virustotal.com/gui/

      Tu cliques sur "parcourir", tu copie/colle l'emplacement exact et tu clique sur "send file"

      Tu me postera le rapport qui apparaitra
      0
    2. gen-hackman
       
      D:\DOCUMENTS AND SETTINGS\maman\LOCAL SETTINGS\Temp\7141031.exe
      0
  7. trucmuche
     
    En fait ce fichier existe mais sans extension. Pas de .exe
    Voilà ce que me dit virustotal à propos de "7141031":

    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name: 7141031
    Submission date: 2010-12-29 19:17:02 (UTC)
    Current status: queued (#5) queued (#5) analysing finished

    Result: 0/ 43 (0.0%)
    VT Community

    not reviewed
    Safety score: -

    Compact Print results
    Antivirus Version Last Update Result
    AhnLab-V3 2010.12.29.02 2010.12.29 -
    AntiVir 7.11.0.220 2010.12.29 -
    Antiy-AVL 2.0.3.7 2010.12.29 -
    Avast 4.8.1351.0 2010.12.29 -
    Avast5 5.0.677.0 2010.12.29 -
    AVG 9.0.0.851 2010.12.29 -
    BitDefender 7.2 2010.12.29 -
    CAT-QuickHeal 11.00 2010.12.29 -
    ClamAV 0.96.4.0 2010.12.29 -
    Command 5.2.11.5 2010.12.29 -
    Comodo 7230 2010.12.29 -
    DrWeb 5.0.2.03300 2010.12.29 -
    Emsisoft 5.1.0.1 2010.12.29 -
    eSafe 7.0.17.0 2010.12.28 -
    eTrust-Vet 36.1.8068 2010.12.29 -
    F-Prot 4.6.2.117 2010.12.29 -
    F-Secure 9.0.16160.0 2010.12.29 -
    Fortinet 4.2.254.0 2010.12.29 -
    GData 21 2010.12.29 -
    Ikarus T3.1.1.90.0 2010.12.29 -
    Jiangmin 13.0.900 2010.12.29 -
    K7AntiVirus 9.75.3383 2010.12.29 -
    Kaspersky 7.0.0.125 2010.12.29 -
    McAfee 5.400.0.1158 2010.12.29 -
    McAfee-GW-Edition 2010.1C 2010.12.29 -
    Microsoft 1.6402 2010.12.29 -
    NOD32 5743 2010.12.29 -
    Norman 6.06.12 2010.12.29 -
    nProtect 2010-12-29.01 2010.12.29 -
    Panda 10.0.2.7 2010.12.29 -
    PCTools 7.0.3.5 2010.12.29 -
    Prevx 3.0 2010.12.29 -
    Rising 22.80.02.01 2010.12.29 -
    Sophos 4.60.0 2010.12.29 -
    SUPERAntiSpyware 4.40.0.1006 2010.12.29 -
    Symantec 20101.3.0.103 2010.12.29 -
    TheHacker 6.7.0.1.108 2010.12.29 -
    TrendMicro 9.120.0.1004 2010.12.29 -
    TrendMicro-HouseCall 9.120.0.1004 2010.12.29 -
    VBA32 3.12.14.2 2010.12.28 -
    VIPRE 7876 2010.12.29 -
    ViRobot 2010.12.29.4227 2010.12.29 -
    VirusBuster 13.6.119.0 2010.12.29 -
    Additional informationShow all
    MD5 : 8cacc93f5cdd34a9481ae4e6cec1846d
    SHA1 : 440b57f2e2602b5e54a2eb6f7f1b7b6e23c844f9
    SHA256: aefbeb000bc77840000f36515da2100fd528930d7ab11ff352a72f6f46fdd4bf
    ssdeep: 12:XcRqQCbEG3Z1B5EtYlogv51zYSW3Sukr2pWcWzA:XcRqQCI0SqlogjMY9r2kcR
    File size : 528 bytes
    First seen: 2010-12-29 19:17:02
    Last seen : 2010-12-29 19:17:02
    TrID:
    Unknown!
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    VT Community

    0
    This file has never been reviewed by any VT Community member. Be the first one to comment on it!
    0
    1. gen-hackman
       
      merci je t'explique sur le rapport c'est ca qui m'interesse :

      MD5 : 8cacc93f5cdd34a9481ae4e6cec1846d
      0
  8. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Bon, on va faire autrement ^^ :

    * Lance ZHPFix (via ZHPDiag)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Copie/colle les lignes suivantes et place les dans ZHPFix :

    O4 - HKCU\..\Run: [tSfkTNduxrPpGPr.exe] D:\DOCUME~1\maman\LOCALS~1\Temp\tSfkTNduxrPpGPr.exe (.not file.)
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    O4 - HKCU\..\Run: [7141031] D:\DOCUME~1\maman\LOCALS~1\Temp\7141031.exe (.not file.)
    O42 - Logiciel: Favorit (lfcaptsf) - (.Lavasoft.) [HKLM] -- lfcaptsf
    O51 - MPSK:{dc89e16e-f3a2-11de-a66f-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- K:\xmor.exe (.not file.)
    O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
    [HKLM\Software\116f]
    O51 - MPSK:{1228a8c8-e4fd-11df-a7bc-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\NoLimit.exe
    O51 - MPSK:{dc89e16e-f3a2-11de-a66f-00038a000015}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- K:\xmor.exe (.not file.)


    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse
    0
  9. trucmuche
     
    Voilà le rapport:

    Rapport de ZHPFix 1.12.3231 par Nicolas Coolman, Update du 27/12/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-29-12-2010-21-29-42.txt
    Run by Fabien at 29/12/2010 21:29:42
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O42 - Logiciel: Favorit (lfcaptsf) - (.Lavasoft.) [HKLM] -- lfcaptsf => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
    O51 - MPSK:{dc89e16e-f3a2-11de-a66f-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- K:\xmor.exe (.not file.) => Clé absente
    HKLM\Software\116f => Clé supprimée avec succès
    O51 - MPSK:{1228a8c8-e4fd-11df-a7bc-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\NoLimit.exe => Clé supprimée avec succès
    O51 - MPSK:{dc89e16e-f3a2-11de-a66f-00038a000015}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- K:\xmor.exe (.not file.) => Clé absente

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [tSfkTNduxrPpGPr.exe] D:\DOCUME~1\maman\LOCALS~1\Temp\tSfkTNduxrPpGPr.exe (.not file.) => Valeur absente
    O4 - HKCU\..\Run: [7141031] D:\DOCUME~1\maman\LOCALS~1\Temp\7141031.exe (.not file.) => Valeur absente
    O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

    ========== Fichier(s) ==========
    d:\docume~1\maman\locals~1\temp\tsfktnduxrppgpr.exe => Supprimé et mis en quarantaine
    d:\docume~1\maman\locals~1\temp\7141031.exe => Supprimé et mis en quarantaine
    c:\windows\system32\nolimit.exe => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    5 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    3 : Fichier(s)

    End of the scan
    0
  10. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Ok, tu peux essayer de passer Usbfix maintenant ?
    0
  11. trucmuche
     
    Toujours pareil; bloqué à 90%, et il fait planter la session windows.
    0
  12. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Ok, :

    >Telecharge malwarebytes ici :

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
    . enregistres le sur le bureau
    /!\Utilisateur de Vista : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  13. trucmuche
     
    Salut
    C'est fait voilà le rapport:

    Type d'examen: Examen complet (C:\|D:\|G:\|K:\|)
    Elément(s) analysé(s): 360262
    Temps écoulé: 3 heure(s), 32 minute(s), 58 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    d:\documents and settings\maman\local settings\temp\xuaosutwxeupkaf.dll (Rogue.FakeHDD) -> Quarantined and deleted successfully.
    0
  14. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    OK, usbfix maintenant ?
    Sa passe ?
    0