Virus system check

Résolu/Fermé
mymyy - 26 mars 2012 à 22:14
 mymyy - 28 mars 2012 à 11:22
bonsoir,

pourrai je avoir de l'aide svp g un virus "system check" je n'arrive pas a le supprimer !! g recuperer tt mes fichier mai il est encore présent !!

7 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
26 mars 2012 à 22:59
Salut,

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.

Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com


Relance RogueKiller avec l'option Raccourcis RAZ à droite.
Donne le rapport.
1
DIR: WebSlices~ -> Attributes restored
DIR: Feeds Cache -> Attributes restored
DIR: DOMStore -> Attributes restored
DIR: DBStore -> Attributes restored
DIR: Backup -> Attributes restored
DIR: LogFiles -> Attributes restored
DIR: DOMStore -> Attributes restored
DIR: UserData -> Attributes restored
DIR: Low -> Attributes restored
DIR: Cookies -> Attributes restored
DIR: IECompatCache -> Attributes restored
DIR: Low -> Attributes restored
DIR: IETldCache -> Attributes restored
DIR: Low -> Attributes restored
DIR: PrivacIE -> Attributes restored
DIR: Low -> Attributes restored

Drives found : [C:D:E:F:]
--- [C:] \Device\HarddiskVolume3 -- 0x3 --> Restoring... ---
DIR: {32364CEA-7855-4A3C-B674-53D8E9B97936} -> Attributes restored
--- [D:] \Device\CdRom0 -- 0x5 --> Skipped. ---
--- [E:] \Device\HarddiskVolume5 -- 0x2 --> Restoring... ---
[HIDDEN] DIR: E:
--- [F:] \Device\HarddiskVolume6 -- 0x2 --> Restoring... ---
[HIDDEN] DIR: F:
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
26 mars 2012 à 23:22
Ce n'est pas un rapport RogueKiller complet.
0
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Asmounie [Droits d'admin]
Mode: Suppression -- Date: 26/03/2012 23:17:43

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD64 00AAKS-22A7B SCSI Disk Device +++++
--- User ---
[MBR] b43a8259bb621ec45369c5e7360dcdb8
[BSP] 2fed521f4c2b229c78ab14a802382535 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16384 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 33556480 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 33761280 | Size: 593985 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[11].txt >>
RKreport[10].txt ; RKreport[11].txt ; RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ;
RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ;
RKreport[9].txt
0
et maintenant que dois je faire?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
26 mars 2012 à 23:52
Relance RogueKiller avec l'option Raccourcis RAZ à droite.
Donne le rapport.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
27 mars 2012 à 09:41
Tu as retrouvé tes icones ?

~~

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

0
http://pjjoint.malekal.com/files.php?id=20120327_b7j6w6k13r8

voila le lien
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
27 mars 2012 à 12:51
A supprimer : C:\ProgramData\MC66g1zP4hwlCn
Désinstalle Bing Bar si tu t'en sers pas.


Ca semble correct.


~~

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
donc je desinstall bing bar et le virus partira?
0
je peux desintaller "otl" "presca" "roguekiller"...?
0
quand je surf sur internet un icone "avast"(mon antivirus) apparé en bas a droite de mon écran me signale (sur fond rouge) "adresse malveillant url bloqué"

est ce normal?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 27/03/2012 à 22:34
Quelles urls ?
ça le fait sur quel site?

Comme expliqué plus haut, ça peux être des exploits sur site web.
Par contre si ça le fait quand tu surfs pas, c'est plus inquiétant.
0
non c quan je surf sur éducatel par exemple ca me la fé! j'ai toujour le system check?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
27 mars 2012 à 22:56
A vu de nez, je dirai que le site est OK.
0
mon ordinateur est propre? j'ai pas à m'inquièté?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 27/03/2012 à 23:05
Je pense que oui.

Pour le reste, il faut que tu arrives à déterminer sur quel site ça fait cela
et il faudrait donner plus d'infos sur l'alerte notamment l'url bloquée.
0