Infection system FIX Résolu/Fermé

Question

Bonjour,

Après avoir été infecté par le virus System Fix, j'ai suivi sur les forums tout ce qu'il fallait faire pour le supprimer : Rogue Killer, Malware que j'ai lancé à plusieurs reprises, MAJ d'adobe, falsh,etc... et maintenant j'en suis l'étape de ZHPDiag, mais je suis bien incapable de lire le rapport pour savoir s'il encore infecté.

Si quelqu'un a la gentillesse de m'aider j'en serai bien reconnaissant!!

Voici le dernier rapport RogueKiller en suppression puis en raccourci RAZ et ZHPDiag. Malware ne détecte plus de fichiers infectés.

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Arnaud Mazzucco [Droits d'admin]
Mode: Suppression -- Date : 15/12/2011 15:19:42

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] bb13b768bbf2331b2342805e68529a7b
[BSP] 46eb9db74adcbaa6f4fe607efbd6d67f : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 8628 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 16857088 | Size: 104 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 17061888 | Size: 491372 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Arnaud Mazzucco [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 15/12/2011 15:24:02

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 13 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 3 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 2

Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[E:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Le rapport ZHPDiag: http://cjoint.com/?3LppB1pGaO9

Voila :) ! Merci d'avance

Utilisateur anonyme · Answer

Bonjour
Il y a des restants d'adwares
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

ArnoMazz · Answer

Salut California50 et merci!

Voila le rapport de adwcleaner :

# AdwCleaner v1.402 - Rapport créé le 15/12/2011 à 18:42:46
# Mis à jour le 11/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Arnaud Mazzucco - ARNAUDMAZZUCCO (Administrateur)
# Exécuté depuis : C:\Users\Arnaud Mazzucco\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Arnaud Mazzucco\AppData\Roaming\freeTVRadio
Dossier Supprimé : C:\Users\Arnaud Mazzucco\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Users\Arnaud Mazzucco\AppData\Local\freetvradio Air
Dossier Supprimé : C:\Program Files (x86)\freeTVRadio

***** [Registre] *****

Clé Supprimée : HKCU\Software\freeTVRadio
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212

***** [Registre (x64)] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v8.0 (fr)

Profil : azgfk0g7.default
Fichier : C:\Users\Arnaud Mazzucco\AppData\Roaming\Mozilla\Firefox\Profiles\azgfk0g7.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1534 octets] - [15/12/2011 18:42:46]

*************************

Dossier Temporaire : 9 dossier(s)et 39 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [1754 octets] ##########

ArnMazz · Answer

Salut, 

Je viens de refaire un scan complet, le rapport m'indique qu'il n'a rien détecté.
Tu penses que c'est bon?

Merci!!

Utilisateur anonyme · Answer

Bonjour
On va cibler des restants d'infections et du superflu

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

M2 - MFEP: prefs.js [Arnaud Mazzucco - azgfk0g7.default\vshare@toolbar] [] vShare Plugin v1.0.0 (.vShare.)    => Infection PUP (PUP.VShareRedir)
[HKCU\Software\Spointer]    => Infection BT (Adware.SPointer)
O43 - CFD: 02/11/2010 - 23:43:30 - [0,579] ----D- C:\Users\Arnaud Mazzucco\AppData\Roaming\moovida-1    => Infection BT (Adware.SPointer)
O43 - CFD: 02/11/2010 - 23:43:24 - [0,128] ----D- C:\Users\Arnaud Mazzucco\AppData\Local\moovida Air    => Infection BT (Adware.SPointer)
O43 - CFD: 02/11/2010 - 23:44:24 - [0] ----D- C:\Program Files (x86)\Fluendo    => Infection BT (Adware.SPointer)
[HKUS\.DEFAULT\Software\settings]    => Infection Diverse (Trojan.Lavandos)
C:\Users\Arnaud Mazzucco\AppData\Local\moovida air    => Infection BT (Adware.SPointer)
O23 - Service: VAIO Care Performance Service (SampleCollector) - Clé orpheline    => Orphean Key not necessary
O43 - CFD: 14/10/2010 - 21:11:36 - [0,001] ----D- C:\ProgramData\Partner    => Game
O43 - CFD: 23/03/2011 - 21:48:46 - [0,002] ----D- C:\ProgramData\regid.1986-12.com.adobe
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
FirewallRaz
EmptyTemp
EmptyFlash

* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt

Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

ArnMazz · Answer

J'ai fait tout ca, voila le rapport : 	http://cjoint.com/?3Lqus5zrjQT

Utilisateur anonyme · Answer

ll me faudrait le rapport de ZHPFix qui se trouve dans
C:\ZHP\ZHPFixReport.txt

ArnMazz · Answer

Merci pour ton aide, ca fait plaisir retrouver un pc propre! Faudrait que tu m'expliques comment tu trouves les traces du virus et comment tu fais les scripts :) ! 

Voila le rapport : 

# DelFix v8.7 - Rapport créé le 17/12/2011 à 05:18:03
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Arnaud Mazzucco - ARNAUDMAZZUCCO (Administrateur)
# Exécuté depuis : C:\Users\Arnaud Mazzucco\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RKreport[1].txt
Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RKreport[2].txt
Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RKreport[3].txt
Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RKreport[4].txt
Supprimé : C:\Users\Arnaud Mazzucco\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Arnaud Mazzucco\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Arnaud Mazzucco\Downloads\adwcleaner.exe
Supprimé : C:\Users\Arnaud Mazzucco\Downloads\RogueKiller.exe
Supprimé : C:\Users\Arnaud Mazzucco\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Arnaud Mazzucco\Downloads\ZHPFix.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1566 octets] - [17/12/2011 05:18:03]

########## EOF - C:\DelFix[S1].txt - [1690 octets] ##########

ArnMazz · Answer

Merci pour ta précieuse aide California50, c'est très cool de ta part!!!
Tout fonctionne parfaitement maintenant :) !

Utilisateur anonyme · Answer

Bonjour
*Surtout, il faut bien maintenir ton PC à jour pour boucher les failles de sécurité qui sont exploitées par les malwares
*Evite le site Chat Land qui est piégé et les sites de streaming qui sont piégés par des publicités malicieuses
*Il faut toujours télécharger les logiciels sur leur site officiel et ne jamais télécharger un logiciel qu'on ne connait pas
*Il faut scanner une fois de temps en temps ton PC avec Malwarebytes, le mettre à jour avant de faire le scan
*Passer un coup de C Cleaner régulièrement
*Effectuer régulièrement des sauvegardes de tes documents
*Bannir les cracks et keygens
*Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont 
néfastes. Ils peuvent modifier la page d'accueil et la base de registre, puis évite
de télécharger Tuto4PC, car c'est néfaste


Défragmenter le disque dur qui a travaillé, le faire environ un fois par mois
https://www.ccleaner.com/defraggler
Tuto pour l'utiliser
http://www.overclocking-pc.fr/forums/showthread.php?t=5100

Pour ceux qui ont Firefox, je conseille ce module qui nous prévient si on visite
un site dangereux
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Infection system FIX

9 réponses

Discussions similaires