Virus System Check
Falcorr
-
kalimusic Messages postés 14619 Statut Contributeur sécurité -
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,
J'ai choppé le virus System Check et lancé RogueKiller comme il était dit dans différents sujets. Voici mon rapport : http://pjjoint.malekal.com/files.php?read=20120221_c8u11l6j13g8
Ensuite j'ai installé MalwareBytes et effectuéun scan rapide de l'ordinateur.
Que faire maintenant?
Merci d'avance.
J'ai choppé le virus System Check et lancé RogueKiller comme il était dit dans différents sujets. Voici mon rapport : http://pjjoint.malekal.com/files.php?read=20120221_c8u11l6j13g8
Ensuite j'ai installé MalwareBytes et effectuéun scan rapide de l'ordinateur.
Que faire maintenant?
Merci d'avance.
A voir également:
- Virus System Check
- Reboot system now - Guide
- Virus mcafee - Accueil - Piratage
- System file checker - Guide
- Check disk - Guide
- Check cable connection - Forum Matériel & Système
21 réponses
Voici le rapport d'analyse d'OTL:
' target='_blank' rel='nofollow'>http://pjjoint.malekal.com/files.php?read=20120221_t75v14u5u6</code>
Que faire maintenant?
Merci d'avance.
Bonsoir,
Tu as en prime une grosse infection ZAccess
1. Relance RogueKiller.exe
● Décoche la case suivante :
● Clique sur Suppression
● Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message
2. Relance RogueKiller.exe
● Clique sur Racc. RAZ
● Poste le rapport.
A +
Tu as en prime une grosse infection ZAccess
1. Relance RogueKiller.exe
● Décoche la case suivante :
[SUSP PATH] chrome_updater.exe -- C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Google\Update\Install\{FE01BFBF-5602-44A3-BFD2-89E24FF0F9E9}\chrome_updater.exe
● Clique sur Suppression
● Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message
2. Relance RogueKiller.exe
● Clique sur Racc. RAZ
● Poste le rapport.
A +
RogueKiller V7.1.0 [15/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Compaq_Propriétaire [Droits d'admin]
Mode: Suppression -- Date: 22/02/2012 18:20:12
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG SP0802N +++++
--- User ---
[MBR] f4df0313e5c950d88e9fe4607442c5bb
[BSP] 5701e99c6e5ec67d1b4558e1876d5636 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 4518 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 9253440 | Size: 71821 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] a6b32656c3d7cf80386116597d6a5220
[BSP] 837555c565497cc679330ef8b0f34c68 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16-LBA (0x0e) [VISIBLE] Offset (sectors): 8064 | Size: 1906 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
1er rapport après suppression
Par contre je n'ai pas trouvé comment décocher la case chrome_updater.exe... C'est l'ordinateur de mon père et je ne suis avec lui que le midi et le soir.
RogueKiller V7.1.0 [15/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Compaq_Propriétaire [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 22/02/2012 18:25:42
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 1 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 18 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 34 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 342
Lecteurs:
[A:] \Device\Floppy0 -- 0x2 --> Skipped
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[E:] \Device\Harddisk1\DP(1)0-0+4 -- 0x2 --> Restored
¤¤¤ Infection : Rogue.FakeHDD|ZeroAccess ¤¤¤
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
Et voici le deuxième rapport après Racc RAZ. Que faut-il faire maintenant?
Merci d'avance
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Compaq_Propriétaire [Droits d'admin]
Mode: Suppression -- Date: 22/02/2012 18:20:12
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG SP0802N +++++
--- User ---
[MBR] f4df0313e5c950d88e9fe4607442c5bb
[BSP] 5701e99c6e5ec67d1b4558e1876d5636 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 4518 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 9253440 | Size: 71821 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] a6b32656c3d7cf80386116597d6a5220
[BSP] 837555c565497cc679330ef8b0f34c68 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16-LBA (0x0e) [VISIBLE] Offset (sectors): 8064 | Size: 1906 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
1er rapport après suppression
Par contre je n'ai pas trouvé comment décocher la case chrome_updater.exe... C'est l'ordinateur de mon père et je ne suis avec lui que le midi et le soir.
RogueKiller V7.1.0 [15/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Compaq_Propriétaire [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 22/02/2012 18:25:42
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 1 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 18 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 34 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 342
Lecteurs:
[A:] \Device\Floppy0 -- 0x2 --> Skipped
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[E:] \Device\Harddisk1\DP(1)0-0+4 -- 0x2 --> Restored
¤¤¤ Infection : Rogue.FakeHDD|ZeroAccess ¤¤¤
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
Et voici le deuxième rapport après Racc RAZ. Que faut-il faire maintenant?
Merci d'avance
J'ai téléchargé aswMBR et effectué un scan.
Voici le rapport du scan :
http://pjjoint.malekal.com/files.php?id=20120222_f10j8n13o6z15
Voici le rapport du scan :
http://pjjoint.malekal.com/files.php?id=20120222_f10j8n13o6z15
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
As tu retrouvé le bureau, ainsi que tous les dossiers et documents qui avaient été cachés par le rogue ?
A +
As tu retrouvé le bureau, ainsi que tous les dossiers et documents qui avaient été cachés par le rogue ?
A +
Oui j'ai bien tout retrouvé mais moi je cherche à supprimer System check. Car il est toujours visible dans mes programmes ainsi que sur mon bureau. J'ai essayé une desinstallation mais il m'a ouvert System Check et dit qu'il fallait pas supprimer, et donc pas moyen après de desinstaller...
Patience, il fallait d'abord faire cette étape sous peine de les perdre définitivement.
System Check n'est pas seul, il y a aussi une infection plus coriace Zaccess.
On s'en occupe maintenant.
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarrer l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
System Check n'est pas seul, il y a aussi une infection plus coriace Zaccess.
On s'en occupe maintenant.
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarrer l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Je n'ai pas encore de Disque Dur externe pour sauvegarder mes fichiers importants. Je reviens donc demain soir poster le rapport de ComboFix. J'achète un DD Externe demain matin, je transfère mes dossiers importants et je débute le Scan.
A demain. Merci
A demain. Merci
Bonsoir,
Voici le rapport de Combofix :
http://pjjoint.malekal.com/files.php?id=20120223_c13s6h11e15p8
Tout s'est bien passé, que faut-il faire maintenant?
Merci.
Voici le rapport de Combofix :
http://pjjoint.malekal.com/files.php?id=20120223_c13s6h11e15p8
Tout s'est bien passé, que faut-il faire maintenant?
Merci.
Bonsoir,
ComboFix a fait le boulot, nous allons voir ce qui reste avec cet outil de diagnostic déjà présent sur ton système :
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Registre: approfondi, coche Avec liste blanche
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Clique sur le bouton Analyse, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note, ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
ComboFix a fait le boulot, nous allons voir ce qui reste avec cet outil de diagnostic déjà présent sur ton système :
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Registre: approfondi, coche Avec liste blanche
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Clique sur le bouton Analyse, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note, ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Bonjour,
Voici le 1er lien OTL.txt:
http://pjjoint.malekal.com/files.php?id=20120224_i12u12y11l11s10
Le lien Extras.txt ensuite :
http://pjjoint.malekal.com/files.php?id=20120224_8z13p8f9w14
Merci.
Voici le 1er lien OTL.txt:
http://pjjoint.malekal.com/files.php?id=20120224_i12u12y11l11s10
Le lien Extras.txt ensuite :
http://pjjoint.malekal.com/files.php?id=20120224_8z13p8f9w14
Merci.
Bonjour,
Vérifie l'intégrité des fichiers système et répare si nécéssaire : http://www.vista-xp.fr/forum/topic346.html
Désinstalle toutes les anciennes versions de Java (c'est par ces failles de sécurité que les infections peuvent arriver)
Télécharge et installe JRE 6 Update 31
Vérifie que tes logiciels sont à jour avec SX Check&Update
Comment se comporte le pc maintenant ?
A +
Vérifie l'intégrité des fichiers système et répare si nécéssaire : http://www.vista-xp.fr/forum/topic346.html
Désinstalle toutes les anciennes versions de Java (c'est par ces failles de sécurité que les infections peuvent arriver)
Télécharge et installe JRE 6 Update 31
Vérifie que tes logiciels sont à jour avec SX Check&Update
Comment se comporte le pc maintenant ?
A +
Bonjour,
Pour l'intégrité des fichiers système je fais ça ce soir.
Je téléchargerais ensuite la dernière version de Java.
Le PC se comporte bien depuis le début, c'est juste que je souhaite supprimer System check qui est encore dans "Tous les programmes" et sur mon bureau (raccourcis). Est-ce que je dois supprimer à "l'arrache" ou il y a une solution? (J'ai essayé le uninstall qu'il propose mais il me ré ouvre System Check et du coup impossible de supprimer...)
Pour l'intégrité des fichiers système je fais ça ce soir.
Je téléchargerais ensuite la dernière version de Java.
Le PC se comporte bien depuis le début, c'est juste que je souhaite supprimer System check qui est encore dans "Tous les programmes" et sur mon bureau (raccourcis). Est-ce que je dois supprimer à "l'arrache" ou il y a une solution? (J'ai essayé le uninstall qu'il propose mais il me ré ouvre System Check et du coup impossible de supprimer...)
re,
C'était prévu dans la prochaine étape, je suis en train de rédiger un script de suppression des résidus avec OTL. Tu peux le faire manuellement aussi.
A +
C'était prévu dans la prochaine étape, je suis en train de rédiger un script de suppression des résidus avec OTL. Tu peux le faire manuellement aussi.
A +
Re,
D'accord. Je suis en train de faire la vérification de l'intégrité des fichiers système.
Comment faire ceci manuellement? En allant dans "Tous les programmes" puis click droit sur le System Check et Supprimer? Je préfèrerais avoir le script de suppression des résidus avec OTL! Ou une solution moins barbare pour éviter tout risque de recontamination.
Cordialement.
D'accord. Je suis en train de faire la vérification de l'intégrité des fichiers système.
Comment faire ceci manuellement? En allant dans "Tous les programmes" puis click droit sur le System Check et Supprimer? Je préfèrerais avoir le script de suppression des résidus avec OTL! Ou une solution moins barbare pour éviter tout risque de recontamination.
Cordialement.
on y va :
Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite)
Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure.
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
A +
Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite)
Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure.
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
A +
Voici le rapport :
http://pjjoint.malekal.com/files.php?id=20120224_w8e13j9y9u14
Le raccourci si le bureau a été supprimé ainsi que dans la barre de lancement rapide mais pas dans "Tous les programmes". Je dois faire click droit supprimer?
Merci.
http://pjjoint.malekal.com/files.php?id=20120224_w8e13j9y9u14
Le raccourci si le bureau a été supprimé ainsi que dans la barre de lancement rapide mais pas dans "Tous les programmes". Je dois faire click droit supprimer?
Merci.
