Infecté par System Check

[ThomassssS]

Bonjour,

 

Mon PC sous Vista montre des signes d'infection:

 

- Un dossier "System Check" est apparu dans le menu "Démarrer".

- Les icônes de raccourcis dans le menu Démarrer ont disparues.

- Les fichiers n'ont plus d’extensions et je ne peux ouvrir certains fichiers comme les *.txt par exemple qu'en les associant au bloc note de windows à chaque ouverture.

- Les logiciels que j'avais placé dans le démarrage de Windows ne se lancent plus à l'ouverture de l'OS.

- Toutes les données de mon agenda Outlook ont disparues.

 

Je pense être infecté par System Check et je sollicite une aide pour m'en débarrasser.

 

J'ai effectué un scan de ma machine avec Malwarebytes' Anti-Malware, puis un scan avec OTL mais ça n'a rien changé.

 

Ce matin à l'allumage de l'ordi l'écran restait noir. Il a fallu que je redémarre en selectionnant l'option "démarrer avec la dernière configuration valide".

 

Est-ce que quelqu'un de compétent pourrait me guider pas à pas dans la désinfection?

 

Merci à vous

[pear]

Bonjour,

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

((Lignes à décocher:celles que vous avez volontairement modifiées)

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des indexes)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

 

 

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[ThomassssS]

Super, merci pour ta réponse!

 

Voici le premier rapport (celui généré par RogueKiller après le scan):

 

RogueKiller V7.6.6 [10/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Laurent [Droits d'admin]

Mode: Recherche -- Date: 16/08/2012 14:32:03

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS541616J9SA00 +++++

--- User ---

[MBR] a77d3162f9bb33488c9a3178c5195ff0

[bSP] 1443d842b4cab0996f235e857ef3b6bd : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 117 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241664 | Size: 10240 Mo

2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21213184 | Size: 139708 Mo

3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 307335168 | Size: 2560 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: HP Officejet 6500 E USB Device +++++

Error reading User MBR!

User = LL1 ... OK!

Error reading LL2 MBR!

 

+++++ PhysicalDrive2: SAMSUNG HD103SI USB Device +++++

--- User ---

[MBR] 7435b395373533bcd39085cd12602a0e

[bSP] 3a263ec662f61a27d74cd7a536bc3337 : TestDisk MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

[ThomassssS]

Voici le 2em rapport comme demandé (après le clic sur "Suppression"). Je précise que l'onglet "Registre" ne comportait aucun contenu.

 

RogueKiller V7.6.6 [10/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Laurent [Droits d'admin]

Mode: Suppression -- Date: 16/08/2012 14:37:07

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS541616J9SA00 +++++

--- User ---

[MBR] a77d3162f9bb33488c9a3178c5195ff0

[bSP] 1443d842b4cab0996f235e857ef3b6bd : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 117 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241664 | Size: 10240 Mo

2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21213184 | Size: 139708 Mo

3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 307335168 | Size: 2560 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: HP Officejet 6500 E USB Device +++++

Error reading User MBR!

User = LL1 ... OK!

Error reading LL2 MBR!

 

+++++ PhysicalDrive2: SAMSUNG HD103SI USB Device +++++

--- User ---

[MBR] 7435b395373533bcd39085cd12602a0e

[bSP] 3a263ec662f61a27d74cd7a536bc3337 : TestDisk MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

Modifié le 16 août 2012 par ThomassssS

[ThomassssS]

Bon apparemment je ne peux pas poster plus de messages dans le forum.

Comment puis-je poster les autres rapports?

Modifié le 16 août 2012 par ThomassssS

[pear]

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

ou là:pour Zhpdiag

 

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

Modifié le 16 août 2012 par pear

[ThomassssS]

Merci pour ces infos.

 

Le 3em rapport est ici : Lien CJoint.com 0Hqo6hwOfDO

 

Le 4em rapport est ici : Lien CJoint.com BHqo7wsTMjC

 

Le 5em rapport est ici : Lien CJoint.com BHqpaIruS8u

 

Le 6em rapport est ici : Lien CJoint.com BHqpdCfrlCN

 

Voilà pour les rapports générés par RogueKiller

 

Je m'arrete là parce que je n'ai pas compris dans tes explications ce que je devais faire avec le contenu de l'onglet "Drivers". Est-ce que je dois restaurer avec un clic droit tous les drivers listés dans l'onglet?

[pear]

C'est pourtant clair, il me semble.

 

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

[ThomassssS]

Je te prie de bien vouloir m’excuser si je t’ai offensé bien malgré moi. Le sens de ma phrase n’était pas de remettre en cause la clarté de tes explications. Je suis très courtois, et je ne veux vexer personne.

 

Tes explications sont très claires, mais c’est moi qui suis totalement incompétent en informatique. Je sollicite donc ta clémence et ta patience pour toutes les fois ou je ferai preuve d’incompétence dans cette procédure.

 

J’ai sélectionné toutes les lignes de l’onglet « Driver», puis j’ai fait un clic droit sur l’ensemble de la sélection. Une petite fenêtre « Restaurer » est apparue. J’ai cliqué dessus. Une fenêtre Windows intitulée « Erreur » est alors apparue avec le message suivant : « L’index est légitime » suivi d’un bouton « OK ». J’ai cliqué sur « OK ».

 

Je ne sais pas comment interpréter le titre de la fenêtre « Erreur ». J’espère ne pas avoir commis d’erreur, et j’espère que mon action n’a pas « touché aux index SSDT» parce que je ne comprends pas cette phrase et je ne sais pas quelle(s) action a pour effet de "toucher aux index SSDT".

 

Encore une fois pardon pour mon incompétence. C’est elle qui justifie ma demande d’aide.

 

Je continu et je relance un examen complet avec MBAM.

 

A tout à l’heure.

[pear]

J’ai sélectionné toutes les lignes de l’onglet « Driver», puis j’ai fait un clic droit sur l’ensemble de la sélection.

 

Vous ne m'avez pas compris et fait ce qu'il ne pas fallait faire.

 

 

Il ne faut pas s'occuper des SSDT