virus system check

[cpcp01]

Bonjour,
Mon PC (windows 7) a été attaqué par le virus "SYSTEM CHECK".
Je m'aperçois ici que je ne suis pas le premier, car les symptômes sont exactement ceux décrits dans les sujets déjà traités.
Je ne sais pas comment intervenir pour éradiquer ce virus car j'ai un bureau noir sans icône, dans la fenêtre démarrer je n'ai aucune application visible et quand je lui demande de m'afficher "tous les programmes" je n'ai plus rien.
Je n'ai accès à aucune application et je ne vois pas comment je pourrais télécharger quelques chose.
Je communique avec un autre PC. Peut-être dois je passer par l'intermédiaire de ce PC pour faire les opérations que vous voudrez bien m'indiquer?
Si la possibilité d'utiliser directement mon PC virusé existe je suis preneur.
Merci pour votre aide.
Cordialement.
-----

[cpcp01]

Re-bonjour,
Correctif : mon PC est sous Windows XP et pas Windows 7.
Je précise que j'utilise Firefox.
Cordialement.

[cpcp01]

Bonjour,
Je n'ai pas encore obtenu de réponse à mon problème, mais je ne perds pas espoir.
Je n'ai toujours pas accès à internet et je passe par un autre PC pour communiquer avec vous.
Je vous transmets en fichier joint le rapport de RogueKiller.
Excusez-moi d'insister mais je suis bloqué sur le PC virusé.

[cpcp01]

bonsoir,
Pour respecter la procédure je vous transmets en fichiers joints le résultat de RSIT.
Ne voyez pas dans mes relances une quelconque impatience, j'essaie simplement de vous fournir le maximum d'information.
Cordialement.

[A voir en vidéo sur Futura]

[invitec04351b8]

Bonsoir,

pourquoi tu dis avoir W7 alors que les outils décèlent Xp ?

essaye de faire ça :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

===

Pourquoi le SP3 n'est pas installé ?

@+

[cpcp01]

Bonjour,

Merci d'avoir bien voulu prendre en compte mon problème.

Pourquoi W7 alors que j'ai XP ??
Je viens d'installer le portable de ma fille en W7 alors j'avais sans doute ça en tête. J'ai d'ailleurs envoyé un correctif à la suite du 1er mail.

Pourquoi SP3 non installé ??
Là c'est plus grave et sans doute un peu de panique quand mon PC a été attaqué.
Comme je n'avais plus rien sur mon bureau et plus de possibilité d'accéder à internet, j'ai corrigé Windows avec le CD de l'installation qui est un Windows SP2. Je pense que c'est la raison de l'absence de SP3 mais avant l'attaque j'avais le SP3.

Je signale que l'accès internet ne fonctionne plus alors que ma connexion réseau est active. Je fonctionne donc avec un 2eme PC et j'utilise ma clé USB pour passer de l'un à l'autre.
Sur le PC virusé tous les comptes utilisateurs (il y en a 4) sont inutilisables et j'ai dû réactivé le compte administrateur qui a été partiellement épargné.

J'ai donc installé ZHPDiag.
Voici le rapport de l'analyse en fichier joint.

Encore merci pour ton aide.
Cordialement.

[invitec04351b8]

Bonsoir,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[MD5.AFB3269255B5A8D6D13D36845B20538B] [SPRF][20/03/2012] (.Pas de propriétaire - exe.exe.) -- C:\Documents and Settings\All Users\Application Data\ekdMrchRjC.exe   [444416]
[MD5.B737FD14012E04F4598B07159A46AC83] [SPRF][20/03/2012] (.Pas de propriétaire - Defragmenter.exe.) -- C:\Documents and Settings\All Users\Application Data\QA81jiRQ51bmlq.exe   [354816]
O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} Clé orpheline  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]   
[HKLM\Software\Classes\Interface\{6612afdd-34ad-4b89-a236-7e6d07c3fdcd}]  
[HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}]  
[HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[cpcp01]

Bonsoir,
Voici le rapport de ZHPFix.
J'espère que cela répondra à tes attentes.
Cordialement.

[invitec04351b8]

Re,

serait-il possible d'avoir un rapport ZHPDiag de ta session normale ?

@+

[cpcp01]

bonsoir,
Voici le rapport ZHPDiag de ma session.
C'est un peu laborieux car mon bureau est vide et je ne peux pas y déposer l'icône de ZHPDiag.
J'ai réussi en passant par l'intermédiaire du bloc-notes.
Ca a l'air de marcher, le rapport est en fichier joint.

Pour LYONNAIS92.
Pour des raisons familiales je dois m'absenter et je ne serai de retour que mardi 11 avril.
Je ne manquerai pas de relancer la discussion à mon retour.
Excuse moi pour ce contre-temps

Merci pour ton aide.
Cordialement.

[invitec04351b8]

Bonsoir,

tu relanceras ZHPFix avec ces lignes :

Code:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoDesktop: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowMyComputer: Modified
O47 - AAKE:Key Export SP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe" [Enabled] .(...) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\rundll32.exe" [Enabled] Clé orpheline
[HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}]

Tu posteras le rapport.

@+

[cpcp01]

Bonjour à tous,
Bonjour à LYONNAIS92
Je reprends la discussion que j'avais interrompue.
Voici le rapport de ZHPFix appliqué à ma session.
Mon bureau s'est en partie affiché mais je n'ai pas tout récupéré. Mozilla est toujours absent, peut-être faut-il le réinstaller ???
Je préfère m'abstenir sans ton conseil.
J'espère que cette interruption n'aura pas été trop gênante.
Cordialement

[cpcp01]

Bonsoir,
Suite aux conseils de Lyonnais92 mon PC reprend doucement sa configuration initiale.
Le bureau de ma session a retrouvé une partie de ses icônes mais pas toutes.
Pour les icônes manquantes j'ai recréé des raccourcis, ça marche mais je ne suis pas certain que ce soit bien propre.
J'ai reconfiguré le menu "démarrer" mais là aussi je ne suis pas certain que ce soit très propre.

Mais ce qui m'inquiète le plus c'est que le rogue "système check" est toujours présent dans "démarrer" "Tous les programmes" sur mon compte.
C'est le compte que j'utilisais lorsque l'attaque s'est produite.

Dernier point.
Comme je te le disais, mon poste comporte plusieurs comptes. Lorsque l'attaque s'est produite sur mon compte j'avais tenté d'utiliser les autres comptes et ceci avant que PC soit nettoyé. Faut-il nettoyer avec ZHPDiag tous les comptes??
Cordialement.