Infecté par system fix [Fermé]

Signaler
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
-
taquine03
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
-
Bonjour,

Comme plusieurs, le pc de mon copain est infecté par SystemFix. Nous avons effectués les procédures suivantes:
- lancer RogueKiller, option 2 dont voici le rapport: http://cjoint.com/?3Lhx7BCrTwv
- lancer RogueKiller option 4 dont voici le rapport: http://cjoint.com/?3LiaaCtHAhL
- lancer ZHPDiag dont voici aussi le rapport: http://cjoint.com/?3Liaa6UUMVF

Nous avons télécharger ZHPFix mais ne savons pas quoi en faire. J'ai cru comprendre que nous devons attendre les directives de qqun qui aura effectué la lecture des rapports et qui pourra nous dire quoi faire pour la suite.

Merci de nous aider pcq là ça va drôlement mal pour le pc, snif!

Au fait comment a t'il ''choper'' ce virus d'après vous??


27 réponses

Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Ton ordinateur semble infecté par le rootkit TDL... Utilise cet outil de désinfection spécifique :

¶ Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
¶ Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
¶ Clique sur Start Scan pour démarrer l'analyse.
¶ Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
¶ Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
¶ Un rapport s'ouvrira au redémarrage de l'ordinateur.
¶ Copie/colle son contenu dans ta prochaine réponse (il se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt)

Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Merci Anthony pour ton aide,
1-J'aimerais savoir pourquoi dis-tu que je suis infectée par TDL ?
2- Et est-ce que tu as trouvé des traces encore présentes de SystemFix? Pcqu'il était bel et bien présent. Nous n'avons tjrs pas accès au pc en mode régulier. Je communique en mode sans échec avec prise en charge réseau.
J'ai oublié de dire que nous avons aussi passé MalwareBytes.
Et oui je vais poursuivre toutes les procédures;-)
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
C'est le rapport ZHPDiag qui le dit :
"Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected !
"

Est-ce que MalwareBytes a trouvé quelque chose ? Si c'est le cas, poste le rapport s'il te plait (tu peux le retrouver dans l'onglet "rapports/logs")

Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Voilà, j'ai passé TDSSKiller. Il avait trouvé 2 trucs dangereux. J'ai suivi ta procédure.
Voici le rapport de Malware:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8328

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

2011-12-07 12:39:56
mbam-log-2011-12-07 (12-39-56).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 723561
Temps écoulé: 1 heure(s), 21 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\administrateur\Bureau\rk_quarantine\qskdnynxckdrt.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\qskdnynxckdrt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9c2add11-c99f-4385-a7a7-35b10e56dcda}\RP148\A0030073.exe (Trojan.Toggle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9c2add11-c99f-4385-a7a7-35b10e56dcda}\RP153\A0034016.exe (VirTool.DelfInject) -> Quarantined and deleted successfully.
d:\system volume information\_restore{9c2add11-c99f-4385-a7a7-35b10e56dcda}\RP153\A0034017.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
d:\system volume information\_restore{9c2add11-c99f-4385-a7a7-35b10e56dcda}\RP153\A0034018.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
d:\system volume information\_restore{9c2add11-c99f-4385-a7a7-35b10e56dcda}\RP153\A0034019.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
d:\system volume information\_restore{9c2add11-c99f-4385-a7a7-35b10e56dcda}\RP153\A0034020.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
d:\system volume information\_restore{9c2add11-c99f-4385-a7a7-35b10e56dcda}\RP153\A0034021.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
d:\system volume information\_restore{9c2add11-c99f-4385-a7a7-35b10e56dcda}\RP153\A0034022.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
d:\system volume information\_restore{9c2add11-c99f-4385-a7a7-35b10e56dcda}\RP153\A0034023.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
taquine03
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Voici le rapport de TDSKiller:
http://cjoint.com/?3Lib0FlpJ8z
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Fais redémarrer l'ordinateur et poste un nouveau rapport TDSSKiller, suivi d'un nouveau rapport ZHPDiag stp

Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Hello,

voici donc les deux nouveaux rapports:
TDSSkiller: http://cjoint.com/?ALjaAMObkxd
ZHP: http://cjoint.com/?3LjaBPHMRa9

Ou en suis-je rendue au niveau infections présentes???
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Salut,

Est-ce que qqun peut m'aider à poursuivre le nettoyage, s.v.p.?

Merci
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 699
salut déjà faudrait vider ton disque C:\ il est rempli ...


désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu


Télécharge Pre_scan (de gen-hackman)

Si le lien ne fonctionne pas, utilise celui-ci

♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau, coupe-le de ton dossier téléchargements et colle-le sur ton bureau

▶ Exécute Pre_scan.
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
Si l'outil est bloqué, utilise cette version
Si l'outil détecte un proxy et que tu n'en n'as pas installé clique sur "supprimer le proxy"

▶ Une fois qu'il aura fini, un rapport s'ouvrira.

♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.


Tutoriel Pre_Scan : http://forums-fec.be/entraide/viewtopic.php?f=55&t=47
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
- Comment savoir si j'ai window defender?
- Et euhhhh, qu'est-ce qu'un proxy?
Et pour ce qui est du C,,,,comme c'est le pc de mon copain je me vois mal y faire du ménage;-)
Je vais attendre tes réponses puis je vais lancer pre_scan.
taquine03
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
et comment je peux fermer Antivir en mode sans échec? merci
juju666
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 699
Il doit pas être lancé en mode sans échec. Normalement ...

Un proxy si tu connais pas ben t'en a pas.
taquine03
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
ok, je reviens
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Bon, pendant le scan des fenêtres disant: réessayer ou annuler s'ouvraient à la suite les unes des autres. Je cliquais réessayer, etc. Puis finalement le pc semble être figé. Y a une fenêtre ''recherche fichiers cachés'' et une autre ''recherche fichier disque externe, veuillez patienter...lecture des disques fichiers introuvables''. Qu'est-ce que je fais avec ça?
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Finalement j'ai fermé la deuxième fenêtre et le scan s'est poursuivi. Voici le lien: http://cjoint.com/?3LkcmOAr5Xq ET maintenant, que fait-on?
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Juju666 : Ça va, je ne te dérange pas trop ?


taquine03 : Un peu de patience stp... Ce script va cibler certains éléments à supprimer :

¶ Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
¶ Lance ZHPFix à partir du raccourci sur ton Bureau
¶ Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
¶ Clique sur le bouton « GO » pour lancer le nettoyage,
¶ Copie/colle la totalité du rapport dans ta prochaine réponse


Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur pjjoint, comme le précédent). Précise moi également si tu as encore des problèmes visibles.

Pre_scan n'est pas nécessaire ici puisque tu as déjà utilisé RogueKiller, tu peux le supprimer.

juju666
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 699
Désolé, elle m'a harcelé de MP pour que j'intervienne, j'avais pas vu que c'était déjà pris !
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Excuse-moi Anthony5151 mais comme je commence à désespérer de voir le problème se résoudre je me suis permise de demander une aide supplémentaire;-) Du moment que le dossier avance je suis bien contente.
Voici donc le rapport demandé:
Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre :
Run by Administrateur at 2011-12-09 20:50:32
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Documents and Settings\Administrateur\Bureau\PCTools_Safe_Install.exe

========== Valeur(s) du Registre ==========
SUPPRIME FirewallRaz (SP) : C:\Program Files\Valve\Half-Life 2\hl2.exe
SUPPRIME FirewallRaz (SP) : D:\Quake2\quake2.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Skype\Plugin Manager\skypePM.exe
SUPPRIME FirewallRaz (SP) : C:\WINDOWS\LMI2E5.tmp\lmi_rescue.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Elément(s) de donnée du Registre ==========
REMPLACE Value AntiVirusOverride : Good (0) - Bad (1)
REMPLACE Value FirewallOverride : Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 0
SUPPRIME Flash Cookies: 21

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\all users\application data\pwstzx5jfyk29n.exe
SUPPRIME File: c:\documents and settings\administrateur\bureau\pctools_safe_install.exe
SUPPRIME File: c:\windows\system32\sysogg.dll
SUPPRIME Temporaires Windows: : 0
SUPPRIME Flash Cookies: 11


========== Récapitulatif ==========
1 : Processus mémoire
5 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
2 : Dossier(s)
5 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 2011-12-08 19:59:29 [2089]
C:\ZHP\ZHPFix[R2].txt - 2011-12-08 08:51:09 [1508]
C:\ZHP\ZHPFix[R3].txt - 2011-12-09 20:50:32 [1744]
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
ET voici le dernier rapport de ZHP: http://cjoint.com/?3LkdeF1VgKv
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Quelqu'un pourrais m'aider à poursuivre la désinfection s.v.p.? Je comprends qu'on ne veuille pas s'immiscer dans un dossier déjà pris en charge par un helper sauf que se serait bien de pouvoir finalement écrire ''résolu'' un des ces jours. À noter que je n'ai plus accès à quoique ce soit dans mon pc lorsque je suis en mode normal. J'apprécierais qu'on s'occupe de mon cas dans un délais résonable, ne serait-ce que par respect.
Merci et ps je ne harcèle personne en mp. Je n'ai fais que demander l'aide d'un helper présent dans le forum.
Merci
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4 699
Ouais ben tu vas attendre Anthony sinon il va encore être mauvais ;)
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Merci de me répondre;-) Mais c'est quoi au juste ces histoires de chasse-gardée? Vous êtes tous des helpers? Anthony est venu faire un coucou cette nuit et depuis plus rien. Alors que toi tu es présent. Voilà tout ce qui compte. Un helper présent pour donner un coup de main. Si Anthony n'est pas présent et bien tant pis non? Moi j'ai besoin d'aide c'est tout.
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Je comprends qu'on ne veuille pas s'immiscer dans un dossier déjà pris en charge par un helper sauf que se serait bien de pouvoir finalement écrire ''résolu'' un des ces jours.

==> Étant sur un forum, on ne peut pas discuter entre nous de ce que chacun fait pour avancer vers la résolution du problème sans se marcher sur les pieds. Donc on ne peut pas vraiment travailler en collaboration sur ce type de problème, surtout quand on n'a pas les mêmes méthodes (ce qui est le cas ici puisqu'on n'utilise pas les mêmes outils)...


À noter que je n'ai plus accès à quoique ce soit dans mon pc lorsque je suis en mode normal. J'apprécierais qu'on s'occupe de mon cas dans un délais résonable, ne serait-ce que par respect.

==> Je t'ai demandé hier soir si tu avais encore des problèmes visibles (dans le message proposant le script ZHPFix), tu viens seulement de me donner ces précisions : même si j'avais été présent sur le forum, je n'aurais pas pu t'aider avant ça.
D'autre part, comme tu l'as dit toi-même par MP nous sommes sur deux fuseaux horaires différents, ce qui ne nous aide pas à se répondre rapidement. J'estime avoir répondu dans un délai plutôt raisonnable jusqu'ici compte tenu de ce problème. Je te rappelle que je suis un être humain et que je ne suis pas 24h/24 devant mon ordinateur à attendre tes messages. Je te propose cette assistance bénévolement en prenant sur mon temps libre. Si ce n'est pas assez rapide pour toi, ouvre un autre sujet pour essayer de trouver un autre pigeon pour t'aider, ou fais appel à un dépanneur professionnel que tu payeras pour ça !



Sinon, le rapport ZHPDiag ne montre plus d'infection. Est-ce que tu peux préciser ce que tu entends par "je n'ai plus accès à quoique ce soit dans mon pc lorsque je suis en mode normal" ? L'ordinateur démarre-t-il correctement ? Est-ce que tu atteins le Bureau ? etc...

Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
on ne peut pas discuter entre nous de ce que chacun fait pour avancer vers la résolution du problème sans se marcher sur les pieds Ca je le comprends tout à fait mais j'ai pensé qu'un helper pouvait comprendre les démarches effectuées précédemment et m'aider à poursuivre.
Je te rappelle que je suis un être humain et que je ne suis pas 24h/24 devant mon ordinateur à attendre tes messages. Je te propose cette assistance bénévolement en prenant sur mon temps libre. Je sais apprécier cette aide bénévole ayant moi-même fais du bénévolat pendant plus de 10 ans.
essayer de trouver un autre pigeon pour t'aider Cette petite pointe de frustration n'était pas nécessaire et je ne prends jamais personne pour un pigeon. Je ne rabaisse jamais les gens puisque c'est carrément méchant et gratuit et que ça dénote une ''petitesse d'esprit''. Quand à savoir si je dois trouver mon bonheur avec un autre helper, j'ai besoin de savoir si toi tu es disponible à me guider du point A au point B dans un délais raisonnable, à savoir: as-tu de la disponibilité durant les prochaines heures?
préciser ce que tu entends par "je n'ai plus accès à quoique ce soit dans mon pc lorsque je suis en mode normal" ? L'ordinateur démarre-t-il correctement ? Est-ce que tu atteins le Bureau ? etc... Le pc démarre, mais le bureau est totalement vide, y a que la barre de tâches au bas de l'écran.
Le menu démarrer est vide sauf ''ZHPdiag'' qui y figure ainsi que la possibilité de fermer ou redémarrer le pc.
Merci
anthony5151
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
D'accord.

Certains éléments sont peut-être masqués, relance RogueKiller avec l'option 6
Pour le menu démarrer : Fais un clic-droit dessus --> Propriétés --> Personnaliser. Tu peux alors régler les éléments que tu veux voir apparaitre ou non dans le Menu démarrer.

"as-tu de la disponibilité durant les prochaines heures?"
Je dois terminer un dossier à envoyer d'ici ce soir (je suis étudiant), je ne peux pas te dire combien de temps ça prendra, mais je vais essayer de continuer à te répondre.
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
Dois-je faire roguekiller en mode normal? pcq en mode sans échec il ne s'est pas passé grand-chose. J'ai eu le message suivant:
--sauvegarde : No backup found--
---bureau---
---lancement rapide---
---programmes---
taquine03
Messages postés
33
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
22 décembre 2011
2
oupss,,,,j'ai rien dit, le programme continue à travailler!
anthony5151
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Normalement ça doit fonctionner aussi en mode sans échec. Pense à poster le rapport quand ce sera terminé
1 2