Aide pour supprimer le virus system repair

olilulu Messages postés 12 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

il y a 2 jours, nous avons été infectés par un virus, je crois qu'il s'agit " system repair". Notre bureau est devenu tout noir et tous nos fichiers ont disparu...
je viens de télécharger Malwarebytes pour scanner mon PC et je souhaiterais avoir de l'aide pour la suite.
merci pour votre aide

17 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!
    0
  2. olilulu Messages postés 12 Statut Membre
     
    je viens de supprimer la liste des infections que Malwarebytes a détecté et voici le rapport d'analyses ( est-ce que je dois faire aussi la manip que vous me conseillez ?) :

    Malwarebytes Anti-Malware (Essai) 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.03.14.09

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    olilulu :: OLILULU-PC [administrateur]

    Protection: Activé

    14/03/2013 19:28:35
    mbam-log-2013-03-14 (19-28-35).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 237796
    Temps écoulé: 4 minute(s), 46 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 11
    HKCR\CLSID\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKCR\TypeLib\{44444444-4444-4444-4444-440044344491} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKCR\Interface\{55555555-5555-5555-5555-550055345591} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CrossriderApp0003491.BHO.1 (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CrossriderApp0003491.BHO (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 1
    HKCU\Software\InstalledBrowserExtensions\215 Apps|3491 (PUP.CrossFire.SA) -> Données: Vid-Saver -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 5
    C:\Program Files (x86)\Vid-Saver\Vid-Saver.dll (PUP.GamePlayLab) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\sASAjCWuus.exe (Trojan.FakeAlert.VRE) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\olilulu\AppData\Roaming\xmazrzrnbkrcpoiqfds3fc3nlaybl3bp2\svcnost.exe (Trojan.Ransom) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\olilulu\AppData\Local\Temp\snwclrye.exe (Trojan.VUPX.PL2) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\olilulu\AppData\Local\Temp\VidSaver11_20120508.exe (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oui fais RogueKiller.
    0
  4. olilulu Messages postés 12 Statut Membre
     
    voici le rapport, merci !

    RogueKiller V8.5.3 _x64_ [Mar 13 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : olilulu [Droits d'admin]
    Mode : Suppression -- Date : 14/03/2013 20:08:45
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : Root.MBR ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD5000BPKT-75PK4T0 +++++
    --- User ---
    [MBR] bde7eb43aaf8c21a98a0d989bb921f90
    [BSP] 90b291b25b2de5b54d6e1ce5a492a30e : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 15000 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30926848 | Size: 461824 Mo
    User != LL1 ... KO!
    --- LL1 ---
    [MBR] 2401ce3d595b35a42a23cc8a2a450f15
    [BSP] 90b291b25b2de5b54d6e1ce5a492a30e : Windows 7/8 MBR Code [possible maxSST in 3!]
    Partition table:
    0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 15000 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30926848 | Size: 461824 Mo
    3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976744448 | Size: 10 Mo
    User != LL2 ... KO!
    --- LL2 ---
    [MBR] 2401ce3d595b35a42a23cc8a2a450f15
    [BSP] 90b291b25b2de5b54d6e1ce5a492a30e : Windows 7/8 MBR Code [possible maxSST in 3!]
    Partition table:
    0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 15000 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30926848 | Size: 461824 Mo
    3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976744448 | Size: 10 Mo

    Termine : << RKreport[2]_D_14032013_200845.txt >>
    RKreport[1]_S_14032013_200748.txt ; RKreport[2]_D_14032013_200845.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tes raccourcis etc sont visibles ?

    [BSP] 90b291b25b2de5b54d6e1ce5a492a30e : Windows 7/8 MBR Code [possible maxSST in 3!]

    Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    Enregistre le rapport sur http://pjjoint.malekal.com
    Donne le lien pjjoint ici.

    puis :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

    0
  7. olilulu Messages postés 12 Statut Membre
     
    oui les raccourcis sont visibles sur le bureau
    0
  8. olilulu Messages postés 12 Statut Membre
     
    Apres avoir scanné avec malwarebyte-mbar et supprimé les infections, une fenêtre s est ouverte avec la question : do you want to reboote the system ? j ai cliquer sur tes et depuis l ordi ne veut plus démarrer...
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      aie, ça bloque où ?
      0
  9. olilulu Messages postés 12 Statut Membre
     
    Ca bloque des le démarrage il y a le message Windows a détecté des erreurs et ne peut pas démarrer, nous avons lancer le programme de réparation proposé mais ca ne donne rien...une idée ?
    0
  10. olilulu Messages postés 12 Statut Membre
     
    je peux lancEr le mode sans échec mais pas possible de saisir les formulescar Windows me propose : lancer l outil de redémarrage système (recommande) ou de démarrer Windows normallement j fais les 2 et a chaque on me me dit impossible de demarrer
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      parce que tu n'es pas sur le bon menu comme cela est expliqué sur la page.
      Faut prendre Démarrer Windows normalement et faire F8 rapidement après.
      Tu dois avoir le menu avec Réparer mon ordinateur.
      0
  11. olilulu Messages postés 12 Statut Membre
     
    j ai bien fait ca puis invite de commandes en mode sans echec puis entrée mais apres Windows téléchargé des fichiers et a aucun moment je peux taper les commandes
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      faut pas aller dans l'invites de commandes...
      Faut aller sur réparer mon ordinateur.

      Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p16684

      plus haut j'ai dit :

      parce que tu n'es pas sur le bon menu comme cela est expliqué sur la page.
      Faut prendre Démarrer Windows normalement et faire F8 rapidement après.
      Tu dois avoir le menu avec Réparer mon ordinateur.
      0
  12. olilulu Messages postés 12 Statut Membre
     
    Ca y est je suis de options de recup du système, je choisis inviter. de commandes ou autre chose ? Restaurer le système ?
    0
  13. olilulu Messages postés 12 Statut Membre
     
    J essaye les deux et la même fenêtre s ouvre a chaque fois : aucun point restauration n a été créé sur le système de l ordipou créer un point
    0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ha c'est balo.

    Le mode sans échec fonctionne ou pas ?
    0
  15. olilulu Messages postés 12 Statut Membre
     
    Non je ne sais plus quoi faire je reviens tjs au même messagl ordi ne peu pas démarrer....je vais devoir l emmener chez le médecin je pense, ca s
    0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    c'est quoi comme marque ?
    0
  17. olilulu Messages postés 12 Statut Membre
     
    Un dell
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Regarde là : http://www.dell.com/support/troubleshooting/fr/fr/rc1077983/KCS/KcsArticles/ArticleView?&docid=DSN_353562&isLegacy=true pour remettre le PC d'usine.

      Par contre, je ne sais pas si le programme formate et donc si tu peux perdre tes documents.
      Tu peux tenter de les sauver avant avec un CD Live : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
      0
  18. Utilisateur anonyme
     
    Telecharge un antivirus gratuit ou payant comme tu veux ou va sur ce site qui te permet de faire un scan en ligne.

    http://www.bitdefender.fr/scanner/online/free.html
    -1