Votre question

System check sur mon PC

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Janvier 2012 13:37:57

Bonjour, j'ai depuis hier soir une fenêtre du nom de system check sur mon PC portable (j'ai un HP et windows 7) que je ne peux refermé. Il me dit avoir détecté 8 "critical errors" et me propose d'acheter un truc pour les réparer. Mon fond d'écran a disparu lorsque j'ai rallumé mon PC (il est maintenant noir), je n'ai plus d’icône sur le bureau (à part la corbeille), ma musique, mes vidéos, mes images, mes fichiers ont tous disparu; je n'ai plus que l’icône "Ordinateur" dans le menu démarrer; mon dossier utilisateur dans C: est vide mais j'ai encore mes programmes ce qui m'a permit d'aller sur internet (je poste depuis mon PC). En plus de ces symptômes apparait de façon régulière une fenêtre "Files indexation process failed" en bas a droite de mon écran et de nombreux messages d'erreurs "Windows - Delayed Write Failed" impliquant de nombreux fichiers du system 32 (?) : "This file is corrupted or unreadeable. This error may be cause by a PC hardware problem".
J'ai cru comprendre qu'il s'agissait d'un rogue, mes amis me demande de fair un CC cleaner mais je préfère avoir votre avis sur la question avant de faire quoique se soit.
Aidez-moi :'( 

Autres pages sur : system check

a c 614 8 Sécurité
20 Janvier 2012 21:31:44

Bonsoir,

Oui c'est un rogue, un faux utilitaire qui cherche à t'effrayer :
http://forum.security-x.fr/malwares-315/(fiches-malware)-roguescareware-et-ransomware/

Et pour info à tes "amis" ... Ccleaner est juste un "nettoyeur/optimiseur" il ne servirait à rien face à une telle infection ... Tu as bien fait de venir ici ;) 

On y va :

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    Note : si tu ne peux télécharger les outils directement sur le pc infecté, fais-le depuis un pc connecté puis transfère via clé usb, et inversement pour les rapports.

    1) Télécharge Rkill (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, et les programmes en cours

  • Double clique sur eXplorer.exe pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir brièvement, puis se refermer
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)

    /!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    22 Janvier 2012 17:52:32

    hyunkel30 a dit :
    Bonsoir,

    Oui c'est un rogue, un faux utilitaire qui cherche à t'effrayer :
    http://forum.security-x.fr/malwares-315/(fiches-malware)-roguescareware-et-ransomware/

    Et pour info à tes "amis" ... Ccleaner est juste un "nettoyeur/optimiseur" il ne servirait à rien face à une telle infection ... Tu as bien fait de venir ici ;) 

    On y va :

    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    Note : si tu ne peux télécharger les outils directement sur le pc infecté, fais-le depuis un pc connecté puis transfère via clé usb, et inversement pour les rapports.

    1) Télécharge Rkill (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, et les programmes en cours

  • Double clique sur eXplorer.exe pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir brièvement, puis se refermer
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)

    /!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau



  • bonjour g le meme probleme qu'avadi, quelqu'un peut il m'aider?

    Contenus similaires
    22 Janvier 2012 18:51:29

    onboard a dit :
    bonjour g le meme probleme qu'avadi, quelqu'un peut il m'aider?



    Modération

    Lire: Rappels de cette section

    Créez vos sujets, on ne répondra pas sur celui-ci.


    a c 614 8 Sécurité
    10 Février 2012 19:09:43

    Re-bonjour,

    Je ne pensais pas te revoir.

    On y va alors :

    1) Télécharge Unhide (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur Unhide.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir, et le travail va commencer.
  • A la fin ce message va apparaitre, signifiant qu'il a terminé :


  • Ferme l'outil en cliquant sur "OK"

    2) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    - Java(TM) 6 Update 17 (64-bit) (version obsolète, tu possèdes une plus récente)
    - MSN Toolbar (barre d'outil, sauf réel intérêt)
    - McAfee Security Scan Plus (inutile)
    - OfferBox (adware : logiciel publicitaire)
    - Bandoo (idem)
    - iLivid (idem)

    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/406
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.conduit.com?SearchSource=10&ctid=CT2851639
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\offerboxffx@offerbox.com: C:\Program Files (x86)\OfferBox\offerboxffx@offerbox.com [2011/11/27 04:28:56 | 000,000,000 | ---D | M]
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\freetvradio@spointer.com: C:\Program Files (x86)\freeTVRadio\spointer\extensions\freetvradio@spointer.com [2010/12/24 04:36:46 | 000,000,000 | ---D | M]
    [2011/07/30 16:30:02 | 000,002,501 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml
    [2011/11/26 23:02:07 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
    O2 - BHO: (Interest recogniser for Freetvradio (powered by Spointer)) - {4C4AD71D-52E1-4402-9E5B-CBFC295EC9BA} - C:\Program Files (x86)\freeTVRadio\spointer\extensions\freetvradio_air_ie.dll (Freetvradio)
    O2 - BHO: (eType Toolbar Helper) - {7D9463CD-BBD8-42f4-AB72-D7B1191D9F3D} - C:\Program Files (x86)\eType Toolbar\Toolbar32.dll File not found
    O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll File not found
    O2 - BHO: (no name) - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - No CLSID value found.
    O2 - BHO: (BandooIEPlugin Class) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files (x86)\Bandoo\Plugins\IE\ieplugin.dll (Bandoo Media Inc.)
    O2 - BHO: (OfferBox) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files (x86)\OfferBox\OfferBoxBHO.dll (Secure Digital Services Limited)
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll File not found
    O3 - HKLM\..\Toolbar: (eType Toolbar) - {BDE58274-7A2A-4682-8C47-A379DD9E36CB} - C:\Program Files (x86)\eType Toolbar\Toolbar32.dll File not found
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O4 - HKCU..\Run: [TypQiobq] C:\Users\Vincent Coco Leroy\AppData\Local\lsxbuoua\typqiobq.exe File not found
    O4 - HKCU..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
    [2012/01/20 01:24:45 | 000,000,296 | -H-- | C] () -- C:\ProgramData\~iDsu2ukrWhMjaM
    [2012/01/20 01:24:45 | 000,000,176 | -H-- | C] () -- C:\ProgramData\~iDsu2ukrWhMjaMr
    [2012/01/20 01:24:41 | 000,000,336 | -H-- | C] () -- C:\ProgramData\iDsu2ukrWhMjaM
    [2012/02/02 20:22:56 | 000,000,000 | -H-D | M] -- C:\Users\Vincent Coco Leroy\AppData\Roaming\OfferBox

    :Files
    C:\Program Files (x86)\eType Toolbar
    C:\Program Files (x86)\OfferBox
    C:\Program Files (x86)\Bandoo

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    4) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    Mise à jour manuelle :
    http://www.malwarebytes.org/mbam/database/mbam-rules.ex...
    11 Février 2012 01:08:41

    J'ai récupérer mes fichiers, un grand bravo et un grand merci :')
    OTL : http://
    MBAM : http://
    a c 614 8 Sécurité
    11 Février 2012 10:19:39

    Re,

    Ouais, ben j'ai une mauvaise nouvelle pour toi :

    Citation :
    C:\HP\Bin\animatedlogo.exe (Virus.Ramnit) -> Aucune action effectuée.
    C:\HP\Bin\hpqnt.dll (Virus.Ramnit) -> Aucune action effectuée.
    C:\Program Files (x86)\Common Files\Blizzard Entertainment\World of Warcraft\msvcr71.dll (Virus.Ramnit) -> Aucune action effectuée.


    Ramnit !

    Un vrai virus, un infecteur de fichier !
    Il est extrêmement dangereux et se diffuse rapidement.

    As-tu mis en quarantaine les fichiers détecté par Malwarebyte's ?

    Fais ceci ensuite :

    Télécharge DrWeb CureIt :

  • Double-clique sur "Launch.exe" pour le lancer.
    (Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
  • Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
    (Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
  • Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
    (Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)

  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
  • Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
  • Ferme le programme.

    Note : si rien n'est détecté lors du scan rapide, indique-le nous.
    Si des fichiers ont été détecté, une fenêtre d'avertissement apparaitra en fermant le programme, choisi "annuler"

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS