Virus : System Check

shootman91 -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,

Je pense avoir chopper un saloperie sur mon PC.
Un logiciel " System Error " emule un antivirus et me spam de message d'erreur de plus j'ai en permanence mon antivirus qui bip...
J'ai déjà eu recoure à ce forum et mon problème avais été résolu.
Si quelqu'un veux bien me prendre en charge pour me rexpliquer les étapes se serait vraiment sympa.
En vous remerciant.

Paul

17 réponses

Résumé de la discussion

Un utilisateur signale une infection par un logiciel nommé System Error qui imite un antivirus et génère des messages d’erreur et des bips incessants. Des échanges évoquent l’utilisation de RogueKiller et l’exportation de rapports, tout en rencontrant des blocages lors de l’enregistrement et des difficultés à sauvegarder les résultats. Plusieurs intervenants suggèrent des manipulations, notamment l’export .reg de clés système et des liens externes, et une piste évoque le fichier winlogon.exe comme élément potentiellement infestant. Des éléments indiquent que le diagnostic pourrait nécessiter une vérification approfondie des processus et un nettoyage plus étendu, potentiellement hors ligne, pour prévenir d’éventuelles réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Salut ;-)

    Ceci vas le dégommer :

    Ferme et enregistre toutes tes applications en cours

    Télécharge et enregistre ceci sur ton bureau :

    Pre_Scan

    S'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau

    Une fois téléchargé lance-le et laisse faire le scan

    Tous les processus non vitaux seront coupés, donc il se peut que ton Antivirus aussi, c'est normal !

    Si 'outil est bloqué par l'infection utilise cette version : Version .pif

    Si l'outil ne se lance toujours pas, utilise cette version renommée : Winlogon.exe (Pre_Scan)

    Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaîtra sur le bureau en fin de scan grâce à ce qui suit :

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    ▶ Clique sur ce lien : https://www.cjoint.com/

    ▶ Clique sur Parcourir, et sélectionne le fichier Pre_Scan_la_date_et_l'heure.txt sur ton bureau

    ▶ Donne moi le lien en résultant

    ▶ Si Cjoint ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne
    0
  2. shootman91 Messages postés 33 Statut Membre
     
    Bonjour Saachaa,
    Merci de ton aide. Alors j'ai plusieurs problème je ne peu pas lancer tes programmes car le virus à du bien attaquer mon ordi, il dis que je n'es pas les droits pour exécuter le programme.
    J'ai donc essayer en mode sans échec et la sa marche mais sa bug vers la fin, " Recherche de fichier cacher" c'est comme si le chargement était en attente...
    Donc du coup je sais pas trop quoi faire, j'ai sans cesse des attaques et j'ai même perdu tout mes icones sur le bureau...
    0
    1. Utilisateur anonyme
       
      Nous retrouverons les icônes sur le bureau, aucun soucis.

      Puis-je avoir le rapport hébergé dans C:\Pre_Scan[la date et l'heure].txt ?
      0
    2. shootman91 Messages postés 33 Statut Membre
       
      Non comme je te dis le rapport bloque à la fin : Recherche Fichiers cachés. Veuillez patienter.
      A tu une solution pour que je puisse l'enregistrer ou peut être choisir la destination de l'enregistrement ?
      0
    3. shootman91 Messages postés 33 Statut Membre
       
      Non Saachaa, tu n'as pas compris. Lors de la création du rapport ça bloque et aucun rapport n'est enregistrer.
      Le logiciel plante.
      0
  3. Utilisateur anonyme
     
    Même pas dans C:\ ? Très étrange...
    0
  4. Utilisateur anonyme
     
    On va faire autrement alors :

    ▶ Télécharge sur le bureau RogueKiller

    Quitte tous les programmes en cours !

    ▶ Sous Vista/Seven, clic droit -> lancer en tant qu'administrateur, sinon lance simplement RogueKiller.exe

    ▶ Clique sur Suppression

    ▶ Puis clique sur Rapport et copie/colle le sur le forum
    (le rapport est également sur le bureau)

    Ensuite :

    ▶ Télécharge ZHPDiag (de Nicolas Coolman)

    ▶ Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)

    ▶ Clique sur l'icône en forme de loupe pour lancer le diagnostique

    ▶ Héberge le rapport ZHPDiag.txt de ton bureau sur :

    https://www.cjoint.com/

    ▶ Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. shootman91 Messages postés 33 Statut Membre
     
    Voila le lien :
    https://www.cjoint.com/?BCjr4AnEER7

    Oui c'est assez bizarre le logiciel malveillant n'est plus actif...
    0
    1. Utilisateur anonyme
       
      Puis-je avoir le rapport RogueKiller ?
      0
  7. shootman91 Messages postés 33 Statut Membre
     
    Des nouvelles pour le rapport ?
    0
  8. Utilisateur anonyme
     
    Relance RogueKiller en mode SUPPRESSION
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut

      Saachaa, j'aimerais bien un export .reg de sa clé HKLM\controlset001\system\services
      0
  9. Utilisateur anonyme
     
    Désinstalle pc tools, jamais deux antivirus

    http://security-helpzone.crdf.net/Thread-Le-mythe-des-antivirus

    Evite de cracker des logiciels...

    http://security-helpzone.crdf.net/Thread-P2P-Cracks-Warez-pourquoi-sont-ils-nocifs

    Déisinstalle Java, et réinstalle-le depuis le site officiel :

    https://www.java.com/fr/download/

    ▶ Lance de ton bureau ZHPFix (de Nicolas Coolman), (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)

    ▶ Copie-colle le texte ci-dessous (en gras)

    Sysrestore
    O42 - Logiciel: PC Tools Spyware Doctor with AntiVirus 9.0 - (.PC Tools.) [HKLM] -- Spyware Doctor
    O4 - HKCU\..\Run: [GFmMkqNEOoYkhb.exe] C:\ProgramData\GFmMkqNEOoYkhb.exe (.not file.)
    O44 - LFC:[MD5.DF2A2505F17319DADA4B204688CEC0C2] - 09/03/2012 - 14:00:44 RSHAD . (.PC Tools - PC Tools Extended File Attributes.) -- C:\Windows\system32\drivers\pctEFA64.sys [1096688]
    O58 - SDL:[MD5.DF2A2505F17319DADA4B204688CEC0C2] - 01/12/2011 - 16:07:10 RSHAD . (.PC Tools - PC Tools Extended File Attributes.) -- C:\Windows\system32\drivers\pctEFA64.sys [1096688]
    O87 - FAEL: "TCP Query User{16A7182A-EFB8-4C13-9CBE-7E188A00CA1E}C:\program files (x86)\orcs must die!\build\release\orcsmustdie.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\orcs must die!\build\release\orcsmustdie.exe (.not file.)
    O87 - FAEL: "UDP Query User{60020636-8692-439E-84BB-1517B56EC4CB}C:\program files (x86)\orcs must die!\build\release\orcsmustdie.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\orcs must die!\build\release\orcsmustdie.exe (.not file.)
    SS - | Demand 24/02/2012 402336 | (sdAuxService) . (.PC Tools.) - C:\Program Files (x86)\PC Tools\PC Tools Security\pctsAuxs.exe => PC Tools®Spyware Doctor
    SS - | Demand 24/02/2012 1117624 | (sdCoreService) . (.PC Tools.) - C:\Program Files (x86)\PC Tools\PC Tools Security\pctsSvc.exe => PC Tools®Spyware Doctor
    O42 - Logiciel: Minecraft Cracked - (.Pas de propriétaire.) [HKLM] -- Minecraft Cracked
    O4 - Global Startup: C:\Users\SHOOTMAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Check.lnk . (...) -- C:\ProgramData\OywF9SFNe83Sh4.exe (.not file.)
    C:\Users\SHOOTMAN\AppData\Local\Temp\AskSearch
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigProxy = 0
    Emptytemp
    EmptyFlash
    FirewallRAZ

    ▶ Héberge le rapport ZHPFix.txt de ton bureau sur :

    https://www.cjoint.com/

    ▶ Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

    ?? Saachaa ?
    Contributeur CCM
    0
  10. shootman91 Messages postés 33 Statut Membre
     
    Très bien je vais appliquer tes conseilles.

    Et le 2éme anti-virus c'est moi qui et fait la boulette en tentant de réparer le problème...
    Les jeux cracker étaient acheter c'était simplement pour jouer avec des amis via hamatchi...

    le rapport

    https://www.cjoint.com/?3CjteUwgAnb

    Merci pour ta patience.
    0
    1. g3n-h@ckm@n
       
      il a pas du tester la version winlogon....
      0
  11. Utilisateur anonyme
     
    @Gen, je pense aussi...

    Parfait !

    Comment vas le pc ?

    En cas de problème, n'hésite pas à consulter le tutoriel Malwarebytes
    Il se peut que le scan soit long, mais il faut le laisser se terminer.


    ▶ Télécharge Malwarebytes' Anti-Malware sur ton bureau

    ▶ Lance l'installation, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7).

    ▶ Une fois l'installation terminée, le programme se lance et se met à jour. Dans l'onglet Mise à jour, clique sur le bouton "Recherche de mise à jour" au cas où.

    ▶ Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
    ▶ Sélectionne Exécuter un examen complet.
    ▶ Sélectionne Tous les disques.
    ▶ Clique sur Rechercher.

    ▶ Si des menaces ont été détectées, clique sur Afficher les résultats.

    ▶ Sélectionne toutes les menaces et clique sur Supprimer la sélection, l'ordinateur peut demander le redémarrage, si tel est la cas accepte.

    ▶ Une fois redémarré, ouvre Malwarebytes et rends-toi dans l'onglet Rapport.

    ▶ Ouvre le dernier en date, et copie-colle le sur le forum.
    0
  12. shootman91 Messages postés 33 Statut Membre
     
    Le PC va beaucoup mieux. C'est plus fluide et je ne me fais plus spammer par les attaques.
    J'ai plus le logiciel qui me bloquer tout donc je peux lancer à peu prés toutes les applications. Je n'es pas de connections internet mais ça devrait pas poser de problèmes pour le remettre.
    Je n'es toujours pas mes icônes et mon fond d'écran ( écran noir avec icone récemment installer) mais c'est pas très grave.
    J'effectue l'analyse total et je vous envois sa dès que c'est bon.

    Encore merci pour votre soutien...
    0
    1. Utilisateur anonyme
       
      Aucun soucis ;-)

      Une fois Malwarebytes terminé, refais la manipulation avec Pre_Scan (donné plus haut)
      0
    2. g3n-h@ckm@n
       
      au pire le retelecharger sous le lien "winlogon"
      0
    3. Utilisateur anonyme
       
      Oui, mais devrait pas y avoir de soucis, RK a dégommé le principal
      0
    4. shootman91 Messages postés 33 Statut Membre
       
      Bon j'ai fais le scan Malwarebytes, j'ai supprimer les trucs infecter par contre pour le lancement de Pre_scan sa va pas... Quand je le lance sa me fait page noir et réparation | Registre et le chargement n'avance pas...
      Une idée ?
      0
  13. g3n-h@ckm@n
     
    as-tu aussi tenté le lien winlogon.exe ?
    0
    1. shootman91
       
      Je ne vois pas de quoi tu parle ?
      0
  14. Utilisateur anonyme
     
    Aussi, j'aimerais le rapport de malwarebytes
    0
  15. Utilisateur anonyme
     
    @Shootman91,

    Peux-tu, s'il te plaît :

    - Démarrer
    - Exécuter
    - Tape: cmd
    - Dans la console, copie-colle ceci : reg export HKLM\controlset001\system\services C:\Rapport_rk.reg
    - Une fois ceci fait, héberge le fichier C:\Rapport_rk.reg sur Cjoint.
    ?? Saachaa ?
    Contributeur CCM
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Le mieux serait d'heberger directement le fichier .reg, sinon je vais perdre des données avec l'encoage. Et c'est précisément le problème ici
      0
    2. Utilisateur anonyme
       
      ça passe les .reg sur Cjoint ?
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Oui je pense.
      Mais ce que je veux dire c'est qu'il faut surtout pas faire de copier coller de texte, et laisser le fichier de base
      0
    4. Utilisateur anonyme
       
      Okay, j'ai modifié le tout, sorry !

      Tu cherches quoi en fait ?
      0
    5. g3n-h@ckm@n
       
      faut le zipper le reg , les caracteres ne seront pas pris en charge par les navigateurs suivant les cas et la page cjoint risque d ouvrir en lecture texte ton fichier reg
      0
  16. shootman91
     
    Franchement fait un post...
    C'est pas vraiment utile ce que tu viens d'écrire et personne t'aidera pour ce genre de chose à mon avis.
    0
  17. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Bon.

    - Démarrer
    - Exécuter
    - Tape: regedit

    déroule l'arborescence jusqu'à HKLM\system\controlset001\services
    clic droit sur la clé "service" => exporter, "cs1.reg"

    Recommence avec controlset002

    Puis heberge les fichiers sur cijoint et donne les liens ici
    0