Sujet Précédent Sujet Suivant

Check System

Fermé
matros3000 - 11 févr. 2012 à 18:33
 matros3000 - 14 févr. 2012 à 20:37
Bonjour,
Hier je me suis fait contaminé je ne sais comment par le virus Check System. J'ai essayé plusieurs logiciels comme Spyware doctor mais ils sont tous payants au niveau du nettoyage. J'ai donc installé Rogue Killer, qui m'a réalisé le scan suivant:

RogueKiller V7.0.4 [08/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Matthieu [Droits d'admin]
Mode: Recherche -- Date : 11/02/2012 15:26:21

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 23 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : PydcCCBGCsduGr.exe (C:\ProgramData\PydcCCBGCsduGr.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : AV Security Essentials ("C:\ProgramData\7d16ae\AV7d1_8032.exe" /s /d) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2787841995-549611915-2043799249-1001[...]\Run : PydcCCBGCsduGr.exe (C:\ProgramData\PydcCCBGCsduGr.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2787841995-549611915-2043799249-1001[...]\Run : AV Security Essentials ("C:\ProgramData\7d16ae\AV7d1_8032.exe" /s /d) -> FOUND
[HJPOL] HKCU\[...]\Explorer : DisallowRun (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
108.163.215.51 www.google-analytics.com.
108.163.215.51 ad-emea.doubleclick.net.
108.163.215.51 www.statcounter.com.
67.215.245.19 www.google-analytics.com.
67.215.245.19 ad-emea.doubleclick.net.
67.215.245.19 www.statcounter.com.


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD3200BEVT-80A0RT0 +++++
--- User ---
[MBR] dacefda7334427c4ba596b95f4a2421b
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 14997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30716280 | Size: 76308 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 186996600 | Size: 213935 Mo
User != LL1 ... KO!
--- LL1 ---
[MBR] 6eb8ba3a35f2b1f3a72c2fa40a48fda5
[BSP] e92dd81741158bc9d6b243ae0172f62a : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 14997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30716280 | Size: 76308 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 186996600 | Size: 213935 Mo
User != LL2 ... KO!
--- LL2 ---
[MBR] 6eb8ba3a35f2b1f3a72c2fa40a48fda5
[BSP] e92dd81741158bc9d6b243ae0172f62a : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 14997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30716280 | Size: 76308 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 186996600 | Size: 213935 Mo

Termine : << RKreport[1].txt >>
RKreport[1].txt

Voilà je ne m'y connais pas assez en informatique pour savoir quoi faire, donc je vous pose la question. De plus, comment utiliser Roguekiller, permet-il de nettoyer et tuer Check System? Comment ensuite faire réaparaitre les fichiers cachés? J'ai vu que beaucoup de personnes posaient ces questions, mais j'ai l'impression qu'à chaque fois les réponses étaients personnalisées. Merci d'avance,
Matros3000

27 réponses

Précédent
  • 1
  • 2
Réponse 21 / 27
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 févr. 2012 à 19:27
ok,

J'ai oublié de dire de poster le rapport ;)

A +
0
matros3000
12 févr. 2012 à 19:33
Petit problème, il me met "veuillez écrire correctement alors qu'il n'y a que le rapport :/
0
Réponse 22 / 27
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 févr. 2012 à 20:35
Le rapport doit contenir des caractères spéciaux qui ne passe pas sur le forum
Héberge le sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.


A +
0
matros3000
12 févr. 2012 à 20:42
Voici le lient ;)
http://cjoint.com/?BBmuPvmhSei
0
Réponse 23 / 27
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 févr. 2012 à 21:14
re,

En espérant que l'infection laisse l'outil se lancer :

1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
Conserve l'action proposée par défaut par l'outil

▸ Pour Rootkit.Boot.ssB : assure toi que Cure est bien cochée.

● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

2. Héberge le rapport et donne moi le lien.

A +
0
matros3000
13 févr. 2012 à 13:26
Voici le lien qui mène vers le rapport ;)
http://cjoint.com/?BBnnAsFGi2j
0
matros3000
13 févr. 2012 à 13:29
Je t'ai également fait un scan avec Roguekiller, je pense que le MBR a été supprimé nan?

RogueKiller V7.0.4 [08/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Matthieu [Droits d'admin]
Mode: Recherche -- Date : 13/02/2012 13:32:28

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD3200BEVT-80A0RT0 +++++
--- User ---
[MBR] e17c510e8e9e3f5dca51f587d19a7aae
[BSP] b85488da922acb0ca8a173b6d0c01820 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 14997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30716280 | Size: 76308 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 186996600 | Size: 213935 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Réponse 24 / 27
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 févr. 2012 à 17:38
Bonjour,

TDSSKiller semble avoir fonctionné en nettoyant les données malicieuses du MBR.

Un nouveau rapport MbrScan nous le confirmerait mieux que RogueKiller ;)

Encore des soucis ?

A +
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
14 févr. 2012 à 17:12 
Un nouveau rapport MbrScan nous le confirmerait mieux que RogueKiller ;)



mhhh.... RK est fiable pour les infections MBR hein :)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 févr. 2012 à 17:17
Formule maladroite qui trahissait mon idée, je t'ai déjà dit le bien que je pensais de ton travail.

Un nouveau rapport MbrScan nous confirmerait le résultat du rapport RogueKiller

:)
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
14 févr. 2012 à 17:20
Faut savoir que je travaille souvent avec Eric, les 2 outils sont assez proches techniquement ;)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 févr. 2012 à 17:29
Oui, je l'avais lu quelque part.
C'est toujours utile d'avoir des outils différents pouvant corroborer un diagnostic :)

A +
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 27
matros3000
13 févr. 2012 à 18:18
Voici le rapport MbrScan ;)
http://cjoint.com/?BBnsryvaQzO

Au niveau des ralentissements plus de problème, plus de redirection sur les pages internet. Je pense qu'il n'y a plus rien.
Merci grandement,
Matros3000 :)
0
Réponse 26 / 27
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 févr. 2012 à 18:31
re,

1. Supprime les outils et les rapports sur ton Bureau

2. Désactive/Réactive la restauration système

3. Vérifie que tes logiciels sont à jour

== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation
0
matros3000
14 févr. 2012 à 18:54
D'accord mais juste à quoi sert la manip de désactivation et de restauration. Ensuite comment désinstaller Tdss killer par exemple? Ou dois-je le laisser? ;)
0
Réponse 27 / 27
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 févr. 2012 à 19:17
Bonsoir,

L'utilité de purger la restauration système est indiqué en premier dans le tuto que j'ai donné. Il faut la désactiver puis la réactiver, bien sûr.

Les outils ne s'installent pas vraiment, ils sont "portables".
Cela ne sert à rien de les conserver, ils sont régulièrement mis à jour par leur développeurs.

Si tu veux supprimer toutes traces de leur passage : Utilise DelFix

A +
0
matros3000
14 févr. 2012 à 20:37
Merci à toi tous mes logiciels sont à jour, j'ai purgé la restauration système. Mais delfix bug, c'est pas grave de toute façon ;)
0

Discussions similaires

comment faire si on a un mail delivery system
angeldu5954 -
angeldu5954 -

5 réponses
Problème d'écran : "Check video cable"
_WayzFX -
gugu01 -

19 réponses
Supprimer un fichier ouvert dans systeme.
kakashiles -
yly -

12 réponses
missing operating system
sissy123 -
Utilisateur anonyme -

5 réponses
le pc me dit : check cable connection
chrispet -
chrispet -

5 réponses