[Résolu] Infecté par system check

[modetoel1]

Bonjour,

 

Depuis, hier,mon pc est infecté par system check, j'ai fait un malware et voici le rapport :

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.02.19.02

 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 8.0.6001.19190

Les Tritons :: PC-DE-LESTRITON [administrateur]

 

19/02/2012 18:14:27

mbam-log-2012-02-19 (21-41-49).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 394512

Temps écoulé: 3 heure(s), 15 minute(s), 37 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Aucune action effectuée.

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 6

C:\Users\Les Tritons\AppData\Local\temp\cmeowasnxr.exe (Rootkit.0Access) -> Aucune action effectuée.

C:\Users\Les Tritons\AppData\Local\temp\0.626345170221711767f76.exe (Trojan.Cryptbel.Gen) -> Aucune action effectuée.

C:\Users\Les Tritons\AppData\Local\temp\ueabklu.exe (Rogue.FakeHDD) -> Aucune action effectuée.

C:\Users\Les Tritons\AppData\Local\temp\msimg32.dll (Rootkit.0Access) -> Aucune action effectuée.

C:\Users\Les Tritons\Documents\SoftonicDownloader_pour_mixvibes-cross-dj.exe (PUP.BundleOffer.Downloader.S) -> Aucune action effectuée.

C:\Users\Les Tritons\Documents\Desktop\setup.exe (Trojan.FakeVLC) -> Aucune action effectuée.

 

(fin)

 

Je ne sais pas si je peux tout supprimer, et si cela sera suffisant à eradiquer ces virus et autres...

 

Merci pour votre aide

 

Delphine

Modifié le 22 février 2012 par modetoel1

[nardino]

Bonsoir,

ZeroAccessRemover de WebRoot sur le bureau

Uniquement valable sur les systèmes 32bits.

 

Lance l'outil en cliquant sur le fichier AntiZeroAccess.exe obtenu.

Si l'infection est présente, cette fenêtre apparaitra.

 

 

A la fin du scan, le fix informe qu'un fichier système est patché et propose de le nettoyer.

Accepte en tapant Y et en cliquant sur Entrer

 

 

En cas de réussite, ce message s'affichera. Clique sur une touche pour fermer l'outil.

 

 

Redémarre impérativement ton ordinateur pour terminer la désinfection

Un rapport AntiZeroAccess_Log.txt sera enregistré sur le bureau, poste-le dans ta réponse.

 

Fais un scan avec ton antivirus à jour et avec Malwarebytes par sécurité pour les infections annexes possibles.

 

 

@+

Modifié le 20 février 2012 par nardino

[modetoel1]

Bonsoir Nardino,

 

J'avais des dizaines de fenêtres qui s'ouvraient avec un message d'erreur, alors j'ai utilisé combofix, voici le rapport :

 

Lien CJoint.com 0BuuIzhGOEz

 

Par contre, je ne sais pas si c'est ok, ou si je dois quand même utiliser Zero access remover ????

 

Merci d'avance

 

Delphine

[nardino]

Bonsoir,

Il est pourtant bien déconseillé d'utiliser Combofix sans l'aide d'un assistant.

Passe l'outil que je t'ai préconisé.

@+

[modetoel1]

Bonjour,

 

J'ai utilisé combofix, car j'avais déjà posté un message suite à un problème sur mon pc, et c'est ce que l'on m'avait dit de faire, et tout était rentré dans l'ordre. J'ai donc suivi de nouveau ce que j'avais fait auparavant, mais si c'est déconseillé, je le saurai pour la prochaine fois.

 

Sinon, voici le résultat :

 

Webroot AntiZeroAccess 0.8 Log File

Execution time: 21/02/2012 - 10:00

Host operation System: Windows Vista X86 version 6.0.6002 Service Pack 2

10:00:26 - CheckSystem - Begin to check system...

10:00:26 - OpenRootDrive - Opening system root volume and physical drive....

10:00:26 - C Root Drive: Disk number: 0 Start sector: 0x01770D7A Partition Size: 0x1D1C06C0 sectors.

10:00:26 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys".

10:00:27 - InstallAndStartDriver - Main driver was installed and now is running.

10:00:27 - CheckSystem - Disk class driver state is OK.

10:00:39 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020.

10:00:42 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.

10:00:42 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!

10:00:42 - Execution Ended!

 

 

 

 

Est-ce ok ? si oui, je classe le sujet en résolu.

 

Merci de ton aide.

 

Delphine

Modifié le 21 février 2012 par modetoel1

[nardino]

Bonjour

Combofix est un outil qui n'est pas sans risque et n'est pas non plus la panacée universelle.

ZHPDiag de Nicolas Coolman sur ton bureau, à partir du lien suivant

 

Clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.

Coche Installer une icône sur le bureau quand cela te sera proposé.

 

Lance l'icône ZHPDiag affichée sur le bureau

Dans l'interface, clique sur la loupe en haut dans la barre d'outil à gauche, laisse faire le scan jusqu'à ce que la barre de progression soit à 100%.

Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.

Un fichier ZHPDiag.txt sera enregistré sur le bureau.

Tu l'héberges sur Cjoint en cochant 4 jours dans la ligne Et pour quelle durée ?

Tu me communiques le lien obtenu dans ta réponse.

Deux tutos si nécessaire.

ZHPDiag

Cjoint

@+

[modetoel1]

ok, c'est fait et voici le rapport :

 

Lien CJoint.com 3Bvnvzr1AoK

[nardino]

Bonjour,

Quelques petites opérations pour terminer.

 

A mettre à jour :

-Internet Explorer v8 > version 9

Ici Internet Explorer 9

-Adobe Reader 9.5.0 > version 10.1.2

Ouvre cette page

Choisis ton système d'exploitation, la langue souhaitée, la version Reader 10.1.2

Décoche Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)

Clique sur Télécharger dès maintenant

L'installation se fera automatiquement en cliquant sur le fichier obtenu :

install_reader10_fr_mssd_aih.exe

-Java 6 Update 20 , Java 6 Update 22 > version 31

*Java Runtime Environment

Ouvre cette page

En bas dans Java SE Update 30, clique sur JRE Download à droite.

Coche Accept License Agreement dans la nouvelle page.

Clique sur Windows x86 Offline - 16.14 MB -jre-6u30-windows-i586.exe

Installe le fichier téléchargé.

Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).

Il existe une version pour les programmes 64bits du système.

Désinstalle les deux versions citées si encore présentes.

A désinstaller si encore présent et supprimer le dossier dans tous les cas :

Lavasoft\Ad-Aware

 

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7.

• 

Elle a été créée lors de l'installation de ZHPDiag.

Copie le contenu de l'encadré ci-dessous dans le presse-papier.

 

[HKCU\Software\AppDataLow\Software\toolbar] 
[HKCU\Software\c2cb044e] 
[HKCU\Software\vShare] 
[HKLM\Software\Elf_1.15] 
C:\ProgramData\hI01677EjHhK01677  	
C:\Users\Les Tritons\AppData\Local\c2cb044e  	
C:\Users\Les Tritons\AppData\Local\{A73BD1A4-37A2-4E90-B6C1-D8358F889ADF}	
[HKLM\Software\Topala Software Solutions\OpenCandy] 	
[HKLM\Software\Classes\Toolbar.CT2801948]   
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]   
[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}] 	
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}] 	
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]	
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]	
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] 	
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]   
Emptytemp 
EmptyFlash

 

Clique sur le bouton Presse-papier encadré en rouge sur l'image.

Les lignes contenues dans le presse-papier vont s'afficher.

Clique sur le bouton GO en bas à gauche.

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil par la croix rouge en haut à doite.

 

Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

 

@+

Modifié le 21 février 2012 par nardino

[modetoel1]

Bonsoir,

 

Voici le rapport

 

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011

Fichier d'export Registre :

Run by Les Tritons at 21/02/2012 19:20:56

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Autre ==========

NON TRAITE [HKCU\Software\AppDataLow\Software\toolbar] [HKCU\Software\c2cb044e] [HKCU\Software\vShare] [HKLM\Software\Elf_1.15] C:\ProgramData\hI01677EjHhK01677 C:\Users\Les Tritons\AppData\Local\c2cb044e C:\Users\Les Tritons\AppData\Local\{A73BD1A4-37A2-ows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF] Emptytemp EmptyFlash

 

 

========== Récapitulatif ==========

1 : Autre

 

 

End of clean in 00mn 00s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 21/02/2012 19:20:56 [877]

 

 

Pour Ad aware, je n'ai rien trouvé, est-ce normal ??

 

Merci

[nardino]

Bonsoir

Pour AdAware, je m'en doutais un peu mais j'attendais ton contrôle.

En revanche tu n'as du bien faire le copier-coller dans ZHPFix, il faut qu'il y ait des retours à la ligne comme dans ma présentation.

Peux-tu recommencer.

@+