Infection system FIX

Résolu
ArnoMazz -  
 Utilisateur anonyme -
Bonjour,

Après avoir été infecté par le virus System Fix, j'ai suivi sur les forums tout ce qu'il fallait faire pour le supprimer : Rogue Killer, Malware que j'ai lancé à plusieurs reprises, MAJ d'adobe, falsh,etc... et maintenant j'en suis l'étape de ZHPDiag, mais je suis bien incapable de lire le rapport pour savoir s'il encore infecté.

Si quelqu'un a la gentillesse de m'aider j'en serai bien reconnaissant!!

Voici le dernier rapport RogueKiller en suppression puis en raccourci RAZ et ZHPDiag. Malware ne détecte plus de fichiers infectés.

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Arnaud Mazzucco [Droits d'admin]
Mode: Suppression -- Date : 15/12/2011 15:19:42

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] bb13b768bbf2331b2342805e68529a7b
[BSP] 46eb9db74adcbaa6f4fe607efbd6d67f : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 8628 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 16857088 | Size: 104 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 17061888 | Size: 491372 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Arnaud Mazzucco [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 15/12/2011 15:24:02

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 13 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 3 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 2

Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[E:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Le rapport ZHPDiag: http://cjoint.com/?3LppB1pGaO9

Voila :) ! Merci d'avance

9 réponses

  1. Utilisateur anonyme
     
    Bonjour
    Il y a des restants d'adwares
    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
    1
  2. ArnoMazz
     
    Salut California50 et merci!

    Voila le rapport de adwcleaner :

    # AdwCleaner v1.402 - Rapport créé le 15/12/2011 à 18:42:46
    # Mis à jour le 11/12/11 à 19h par Xplode
    # Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
    # Nom d'utilisateur : Arnaud Mazzucco - ARNAUDMAZZUCCO (Administrateur)
    # Exécuté depuis : C:\Users\Arnaud Mazzucco\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Arnaud Mazzucco\AppData\Roaming\freeTVRadio
    Dossier Supprimé : C:\Users\Arnaud Mazzucco\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
    Dossier Supprimé : C:\Users\Arnaud Mazzucco\AppData\Local\freetvradio Air
    Dossier Supprimé : C:\Program Files (x86)\freeTVRadio

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\freeTVRadio
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212

    ***** [Registre (x64)] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v8.0 (fr)

    Profil : azgfk0g7.default
    Fichier : C:\Users\Arnaud Mazzucco\AppData\Roaming\Mozilla\Firefox\Profiles\azgfk0g7.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [1534 octets] - [15/12/2011 18:42:46]

    *************************

    Dossier Temporaire : 9 dossier(s)et 39 fichier(s) supprimés

    ########## EOF - C:\AdwCleaner[S1].txt - [1754 octets] ##########
    0
    1. ArnMazz
       
      J'ai refait une analyse avec ZHPDiag au cas ou : http://cjoint.com/?ALptvkG5bAt

      Merci à toi!
      0
    2. ArnMazz
       
      Oups c'est ce rapport en fait http://cjoint.com/?ALptE7RJVpX
      0
    3. Utilisateur anonyme
       
      Tu vas mettre à jour Malwarebytes et faire un scan complet
      0
  3. ArnMazz
     
    Salut,

    Je viens de refaire un scan complet, le rapport m'indique qu'il n'a rien détecté.
    Tu penses que c'est bon?

    Merci!!
    0
  4. Utilisateur anonyme
     
    Bonjour
    On va cibler des restants d'infections et du superflu

    Copie les lignes suivantes en gras ci dessous, c'est à dire
    que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
    clic droit dessus>copier

    M2 - MFEP: prefs.js [Arnaud Mazzucco - azgfk0g7.default\vshare@toolbar] [] vShare Plugin v1.0.0 (.vShare.) => Infection PUP (PUP.VShareRedir)
    [HKCU\Software\Spointer] => Infection BT (Adware.SPointer)
    O43 - CFD: 02/11/2010 - 23:43:30 - [0,579] ----D- C:\Users\Arnaud Mazzucco\AppData\Roaming\moovida-1 => Infection BT (Adware.SPointer)
    O43 - CFD: 02/11/2010 - 23:43:24 - [0,128] ----D- C:\Users\Arnaud Mazzucco\AppData\Local\moovida Air => Infection BT (Adware.SPointer)
    O43 - CFD: 02/11/2010 - 23:44:24 - [0] ----D- C:\Program Files (x86)\Fluendo => Infection BT (Adware.SPointer)
    [HKUS\.DEFAULT\Software\settings] => Infection Diverse (Trojan.Lavandos)
    C:\Users\Arnaud Mazzucco\AppData\Local\moovida air => Infection BT (Adware.SPointer)
    O23 - Service: VAIO Care Performance Service (SampleCollector) - Clé orpheline => Orphean Key not necessary
    O43 - CFD: 14/10/2010 - 21:11:36 - [0,001] ----D- C:\ProgramData\Partner => Game
    O43 - CFD: 23/03/2011 - 21:48:46 - [0,002] ----D- C:\ProgramData\regid.1986-12.com.adobe
    OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
    OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
    FirewallRaz
    EmptyTemp
    EmptyFlash


    * Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
    ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
    tant qu'administrateur
    )
    Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt

    Redémarre ton PC

    Ensuite, poste moi un nouveau rapport ZHPDiag
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ArnMazz
     
    J'ai fait tout ca, voila le rapport : http://cjoint.com/?3Lqus5zrjQT
    0
  7. Utilisateur anonyme
     
    ll me faudrait le rapport de ZHPFix qui se trouve dans
    C:\ZHP\ZHPFixReport.txt
    0
    1. ArnMazz
       
      Rapport de ZHPFix 1.12.3366 par Nicolas Coolman, Update du 26/10/2011
      Fichier d'export Registre :
      Run by Arnaud Mazzucco at 16/12/2011 15:49:09
      Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

      ========== Clé(s) du Registre ==========
      SUPPRIME Key: HKCU\Software\Spointer
      SUPPRIME Key*: HKUS\.DEFAULT\Software\settings
      SUPPRIME Key: Service: SampleCollector

      ========== Valeur(s) du Registre ==========
      SUPPRIME RunValue: iTunesHelper
      SUPPRIME RunValue: QuickTime Task
      ABSENT Valeur Domain Profile: FirewallRaz :
      SUPPRIME FirewallRaz (None) : {F4E5804E-55E7-4745-914B-12279ED3EABA}

      ========== Dossier(s) ==========
      SUPPRIME Folder: C:\Users\Arnaud Mazzucco\AppData\Roaming\Mozilla\Firefox\Profiles\azgfk0g7.default\extensions\vshare@toolbar
      SUPPRIME Folder: C:\Users\Arnaud Mazzucco\AppData\Roaming\moovida-1
      SUPPRIME Folder: C:\Users\Arnaud Mazzucco\AppData\Local\moovida Air
      SUPPRIME Folder: C:\Program Files (x86)\Fluendo
      SUPPRIME Folder: C:\ProgramData\Partner
      SUPPRIME Folder: C:\ProgramData\regid.1986-12.com.adobe
      SUPPRIME Temporaires Windows: : 69
      SUPPRIME Flash Cookies: 21

      ========== Fichier(s) ==========
      ABSENT Folder/File: c:\users\arnaud mazzucco\appdata\local\moovida air
      SUPPRIME Temporaires Windows: : 32
      SUPPRIME Flash Cookies: 7


      ========== Récapitulatif ==========
      3 : Clé(s) du Registre
      4 : Valeur(s) du Registre
      8 : Dossier(s)
      3 : Fichier(s)


      End of clean in 00mn 06s

      ========== Chemin de fichier rapport ==========
      C:\ZHP\ZHPFix[R1].txt - 16/12/2011 15:49:09 [1571]
      0
    2. Utilisateur anonyme
       
      C'est bon, ton PC est propre
      On va finaliser
      Télécharge Del Fix (de Xplode), sur ton bureau

      http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix

      Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)

      Sélectionne Suppression

      Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

      Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

      Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
      0
  8. ArnMazz
     
    Merci pour ton aide, ca fait plaisir retrouver un pc propre! Faudrait que tu m'expliques comment tu trouves les traces du virus et comment tu fais les scripts :) !

    Voila le rapport :

    # DelFix v8.7 - Rapport créé le 17/12/2011 à 05:18:03
    # Mis à jour le 01/12/11 à 20h par Xplode
    # Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
    # Nom d'utilisateur : Arnaud Mazzucco - ARNAUDMAZZUCCO (Administrateur)
    # Exécuté depuis : C:\Users\Arnaud Mazzucco\Downloads\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\ZHP
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RK_Quarantine
    Supprimé : C:\Program Files (x86)\ZHPDiag

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\AdwCleaner[R1].txt
    Supprimé : C:\AdwCleaner[S1].txt
    Supprimé : C:\AdwCleaner[S2].txt
    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RKreport[1].txt
    Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RKreport[2].txt
    Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RKreport[3].txt
    Supprimé : C:\Users\Arnaud Mazzucco\Desktop\RKreport[4].txt
    Supprimé : C:\Users\Arnaud Mazzucco\Desktop\ZHPDiag.txt
    Supprimé : C:\Users\Arnaud Mazzucco\Desktop\ZHPFixReport.txt
    Supprimé : C:\Users\Arnaud Mazzucco\Downloads\adwcleaner.exe
    Supprimé : C:\Users\Arnaud Mazzucco\Downloads\RogueKiller.exe
    Supprimé : C:\Users\Arnaud Mazzucco\Downloads\ZHPDiag2.exe
    Supprimé : C:\Users\Arnaud Mazzucco\Downloads\ZHPFix.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [1566 octets] - [17/12/2011 05:18:03]

    ########## EOF - C:\DelFix[S1].txt - [1690 octets] ##########
    0
    1. Utilisateur anonyme
       
      Bonjour
      Je trouve les virus, parce que je reconnais les lignes suspectes, et les scripts, j'analyse les rapports avec un outil et je sélectionne les lignes qu'il faut supprimer
      C'est une question d'habitude, et j'ai fait une formation dans un forum de formation

      Tu dois supprimer les points de restauration infectés:

      *Démarrer, clic droit sur ordinateur
      *Clique sur propriétés
      *Dans le volet gauche, clique sur protection du système (l'UAC nous met en garde si on est à l'origine de cette action)
      *Dans la fenêtre propriétés système, va dans l'onglet protection du système
      *Sélectionne le disque Système, puis clique sur configurer
      *Dans protection système pour disque local (C), clique sur supprimer

      Tu dois créer un point de restauration propre:

      *Démarrer, clic droit sur ordinateur
      *Dans le volet gauche, clique sur protection du système
      *Dans propriétés du système, clique sur créer
      *Dans la petite fenêtre qui s'ouvre, entre la date du point de restauration que tu vas créer,
      puis clique sur créer
      0
  9. ArnMazz
     
    Merci pour ta précieuse aide California50, c'est très cool de ta part!!!
    Tout fonctionne parfaitement maintenant :) !
    0
  10. Utilisateur anonyme
     
    Bonjour
    *Surtout, il faut bien maintenir ton PC à jour pour boucher les failles de sécurité qui sont exploitées par les malwares
    *Evite le site Chat Land qui est piégé et les sites de streaming qui sont piégés par des publicités malicieuses
    *Il faut toujours télécharger les logiciels sur leur site officiel et ne jamais télécharger un logiciel qu'on ne connait pas
    *Il faut scanner une fois de temps en temps ton PC avec Malwarebytes, le mettre à jour avant de faire le scan
    *Passer un coup de C Cleaner régulièrement
    *Effectuer régulièrement des sauvegardes de tes documents
    *Bannir les cracks et keygens
    *Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont
    néfastes. Ils peuvent modifier la page d'accueil et la base de registre, puis évite
    de télécharger Tuto4PC, car c'est néfaste

    Défragmenter le disque dur qui a travaillé, le faire environ un fois par mois
    https://www.ccleaner.com/defraggler
    Tuto pour l'utiliser
    http://www.overclocking-pc.fr/forums/showthread.php?t=5100

    Pour ceux qui ont Firefox, je conseille ce module qui nous prévient si on visite
    un site dangereux
    https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
    0