Votre question

Besoin d'aide:System Check!! rapport Otl, Extras et Rkill postés.

Tags :
  • risque d'endommager
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Février 2012 01:37:10

Bonjour,

Tout comme plusieurs personnes sur ce forum j'ai eu ce fameux problème avec System Check (rogue)...
Ce topic s'adresse donc certainement à hyunkel30 qui a l'air de bien maîtriser le sujet :) 

D’après l'ensemble des réponses trouvées sur le forum, j'ai obtenu (apres install explorer + OTL)
1) Rkill.log http://pjjoint.malekal.com/files.php?id=20120224_w5p14t...
2) OTL.txt http://pjjoint.malekal.com/files.php?id=20120224_u7o5y7...
3) Extras.txt http://pjjoint.malekal.com/files.php?id=20120224_j14m8o...

Je pense que la prochaine etape est Unhide nan ?

Dans l'attente d'une réponse de votre part
Merci par avance

Julio

Autres pages sur : besoin aide system check rapport otl extras rkill postes

a c 614 8 Sécurité
24 Février 2012 21:38:43

Bonsoir,

Je ne suis pas le seul Helper, mais bon ;) 

Pc pas à jour d'où l'infection, en plus il semble y avoir d'autres infections ...

1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Utilisateur d'Avast! n'exécutez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :processes
    killallprocesses

    :OTL
    O3 - HKU\S-1-5-21-4188353042-3244684251-2104314733-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-4188353042-3244684251-2104314733-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O4 - HKU\S-1-5-21-4188353042-3244684251-2104314733-1000..\Run: [wpyigYDfWj.exe] C:\ProgramData\wpyigYDfWj.exe (Lioft)
    O20 - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe ()
    O33 - MountPoints2\{cb5d8577-ba18-11e0-9c5f-c80aa931085c}\Shell - "" = AutoRun
    O33 - MountPoints2\{cb5d8577-ba18-11e0-9c5f-c80aa931085c}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\MGEN.exe
    [2012/02/24 00:20:47 | 000,000,000 | -H-D | C] -- C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check
    [2012/02/24 00:20:32 | 000,355,328 | -H-- | C] (Lioft) -- C:\ProgramData\M6Og258Ap07cmL.exe
    [2012/02/24 00:16:08 | 000,448,512 | -H-- | C] (Lioft) -- C:\ProgramData\wpyigYDfWj.exe
    [2012/02/24 00:22:29 | 000,000,456 | -H-- | M] () -- C:\ProgramData\M6Og258Ap07cmL
    [2012/02/24 00:22:27 | 000,000,272 | -H-- | M] () -- C:\ProgramData\~M6Og258Ap07cmL
    [2012/02/24 00:22:27 | 000,000,184 | -H-- | M] () -- C:\ProgramData\~M6Og258Ap07cmLr
    [2012/02/24 00:20:47 | 000,000,653 | -H-- | M] () -- C:\Users\Utilisateur\Desktop\System Check.lnk
    [2012/02/24 00:12:59 | 000,448,512 | -H-- | M] (Lioft) -- C:\ProgramData\wpyigYDfWj.exe

    :Commands
    [Reboot]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    2) Télécharge Unhide (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur Unhide.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir, et le travail va commencer.
  • A la fin ce message va apparaitre, signifiant qu'il a terminé :


  • Ferme l'outil en cliquant sur "OK"


    3) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    4) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    25 Février 2012 01:07:02

    Hello hyunkel30,

    Tout d'abord merci beaucoup pour ton investissement sur mon cas (ainsi que beaucoup d'autres ...)
    Tu me dis, PC pas à jour. Cela me semble étrange au vu des différents soft que j'utilise (Windows 7 inclus) mais pourquoi pas !
    En suite il semble y'avoir d'autres infections... Tu es plus expert que moi et serai interessé au passage de savoir comment tu en es arrivé a cette conclusion.
    Apres analyse des fichiers generes par OTL j'aurais deviner aussi ce qui pouvait poser problème (mais n'aurait pas su que remplir ds la partie personnalisation d'OTL vis a vis de la correction, je vois meme pas quellle langage se cache derriere tout ca ....) ... Enfin bon, merci encore car je n'aurai pas pu en arriver aussi vite ou je suis aujourdhui sans ton aide. Et bien que travaillant ds linfo, le domaine sur lequel ns ns penchons aujourdhui (secu) m echappe malheureusement aujourdhui.



    Voici un résumé des etapes comme tu l'as demandé:

    1) Relance OTL.exe
    http://pjjoint.malekal.com/files.php?id=20120225_n8e9v1...



    2) Télécharge Unhide (de Grinler) sur ton bureau.
    J'ai correctement lancer Unhide et executer ce dernier. Je n'ai cependant pas vu la fenetre screenshoter que tu as poster mais je pense que l' execution s est derouler correctement.

    3) Télécharge MalwareByte's Anti-Malware :
    http://pjjoint.malekal.com/files.php?id=20120225_l9t8k1...


    4) Télécharge TDSSKiller de Kaspersky sur ton bureau
    http://pjjoint.malekal.com/files.php?id=20120225_r8t11b...


    Jespere que tous les fichiers demandés sont corrects. Pour info j'ai du tout faire en partie certains des trucs en ligne de commande donc nhesites pas si tu vois un truc louche ou qui te parait anormal. La plupart des fichiers semble encore cacher bien que le rogue ne se lance plus nimporte quand nimporte comment. Pour info bis.., pour la premiere etape qui consistait a relancer OTL j'ai du effectuer cette tache en mode sans echec car OTL ne se lancait pas en mode normal (comme ci yavait un kill process OTL au bout de 3 4 secondes ...)

    En attente d une reponse de ta part ... MERCI ENCORE.

    juliodunet (j ai cree un account sur le site au passage)
    Contenus similaires
    a c 614 8 Sécurité
    25 Février 2012 10:10:26

    Re,

    Citation :
    Tu me dis, PC pas à jour. Cela me semble étrange au vu des différents soft que j'utilise (Windows 7 inclus) mais pourquoi pas !


    C’est Java qui n'est pas à jour, c'est par lui qu'est arrivé l'infection.
    Son système de mise à jour est parfois peu explicite/efficace.

    Citation :
    En suite il semble y'avoir d'autres infections... Tu es plus expert que moi et serai interessé au passage de savoir comment tu en es arrivé a cette conclusion.

    Citation :
    O33 - MountPoints2\{cb5d8577-ba18-11e0-9c5f-c80aa931085c}\Shell - "" = AutoRun
    O33 - MountPoints2\{cb5d8577-ba18-11e0-9c5f-c80aa931085c}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\MGEN.exe


    Possible reste d'une infection via support amovible, brontox, un ver, mais j'ai rien vu d'autre qui le caractérise sur le pc, il a donc dû être traité déjà.

    Citation :
    2) Télécharge Unhide (de Grinler) sur ton bureau.
    J'ai correctement lancer Unhide et executer ce dernier. Je n'ai cependant pas vu la fenetre screenshoter que tu as poster mais je pense que l' execution s est derouler correctement.


    Si tes icône et menu sont réapparu, oui c'est ok (ils avaient peut-être pas disparu d'ailleurs, mais bon.)

    Concernant Malwarebyte's :
    Citation :
    Elément(s) de données du Registre détecté(s): 2
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Aucune action effectuée.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Aucune action effectuée.

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\Utilisateur\AppData\Local\Temp\W6EzZf38xvc81y.exe.tmp (Rogue.SystemCheck) -> Aucune action effectuée.


    As-tu bien pensé à supprimer les résultats comme je demandais ?

    As-tu encore des souci sur ce pc ? Sinon on nettoie et on conclu.
    25 Février 2012 13:17:20

    Hello,
    Merci pour toutes ces infos et ton investissement.
    Mes icones ne sont pas réapparues. Je peux voir seulement celles correspondant aux soft installés depuis unhide.

    Pour Malwarebyte's oui j'ai bien supprimer les résultats comme tu demandais.

    C'est Unhide qui devait faire réapparaitre mes icones ? Peut etre il a été mal exécuté nan ?

    J'ai accès à mon gestionnaire de taches maintenant mais au démarrage j'ai le message d'erreur suivant :

    Une erreur s'est produite
    Echec d'enregistrement des paramètres : Une erreur s'est produite lors du chargement d'un fichier de configuration: impossible d'ouvrir le fichier 'C:\Users\Utilisateur\AppData\Local\Hewlett-Packard\HPAdvisor.exe_Url_mcixdsg4ikd5i1gipqgefy0tj33souow\3.3.12286.3436\user/config' pour y accéder en écriture car il est en lecture seul ou masqué. (C:\Users\Utilisateur\AppData\Local\Hewlett-Packard\HPAdvisor.exe_Url_mcixdsg4ikd5i1gipqgefy0tj33souow\3.3.12286.3436\user.config).

    Merci
    a c 614 8 Sécurité
    25 Février 2012 13:51:32

    Re,

    Oui Unhide sert à faire réapparaitre les fichiers masqué par l'infection.

    Regarde qu'Avast! ne l'ai pas exécuté en mode "sandbox", et désactive sa protection résidente avant de relancer Unhide.

    Pour l'erreur au démarrage on verra après, je n'ai pas touché au démarrage des programmes HP alors je vois pas pourquoi il a un souci. Parfois pour ce genre d'erreur un redémarrage du pc suffit.
    25 Février 2012 14:19:38

    Re,

    Oui t'avais raison pour UnHide Avast devait le bloquer je lai arrêter et tout est revenu ;) 

    + Redémarrage du PC suite à l'action concluante d'unhide et pu de message d'erreurs ...

    Je pense que c'est good now nan ?

    Thanks again en tout cas, tu gères
    a c 614 8 Sécurité
    25 Février 2012 19:24:15

    Re,

    Oui c'est bon on fait le ménage et on conclu :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement les programmes suivant :
    - Unhide.exe
    - Rkill.exe

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
    Vérifie ensuite dans ta liste des programmes que les version suivantes on été supprimée, sinon fait-le manuellement :
    - Java(TM) SE Development Kit 6 Update 15 (64-bit)
    - Java(TM) 6 Update 27

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
    Si cela ne fonctionne pas, fait-le manuellement ici :
    http://get.adobe.com/fr/reader/
    (décoche les sponsors proposé !)

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS