Problème avec un rogue - Page 2

Résolu
Précédent
  • 1
  • 2
Réponse 21 / 29
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
 
Je ne comprends pas ZHPDiag me montre un rootkit TDSS qui normelement a tété éradiqué quand on a passé TDSSKiller une première fois.
La deuxième relance de TDSSKiller ne montre plus rien je vais voir ave le développeur de ZHPDiag et reviens ver toi.

Smart
0
Réponse 22 / 29
Murat_V Messages postés 16 Statut Membre
 
D'accord
0
Réponse 23 / 29
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
 
On va faire autrement
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[HKCU\Software\AbsoluteTransfer] => Infection FakeAlert (BHO.WRF.Troj)
[HKCU\Software\ColorUtility]
O43 - CFD:Common File Directory ----D- C:\ProgramData\PopCap Games
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart
0
Réponse 24 / 29
Murat_V Messages postés 16 Statut Membre
 
Est-ce que ça veut dire que l'infection n'est pas enlevé?
J'ai fais le scan, voici le résultat:

Rapport de ZHPFix 1.12.3205 par Nicolas Coolman, Update du 29/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-30-09-2010-3-04-05 PM.txt
Run by Chanty at 30/09/2010 3:04:05 PM
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\ColorUtility => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Dossier(s) ==========
C:\ProgramData\PopCap Games => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Dossier(s)

End of the scan
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 29
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
 
AH. Cela a l'air d'être bon.
En fait je pense que TDSSKiller n'a pas fait son travail totalement et il restait des clés orphelines détectées par ZHPDiag, mais que ZHPFix à fixé
Refais un scan ZHPdiag pour s'en assurer et poste le rapport via cijoint

Smart
0
Réponse 26 / 29
Murat_V Messages postés 16 Statut Membre
 
Ok le dernier scan a été fait
http://www.cijoint.fr/cjlink.php?file=cj201010/cijt2ba40Q.txt
0
Réponse 27 / 29
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
 
OK. C'est bon plus de trace de TDSS, mais il rests d'autres traces:

/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart
0
Réponse 28 / 29
Murat_V Messages postés 16 Statut Membre
 
Effectivement, le scan était long. Il semble ne plus y avoir d'infection.
Voici le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4728

Windows 6.0.6000
Internet Explorer 8.0.6001.18783

01/10/2010 3:04:12 PM
mbam-log-2010-10-01 (15-04-12).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 265666
Temps écoulé: 1 heure(s), 55 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 29 / 29
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
 
Je suis en deplacement jusqu a mercredi je regarde cela des que je rentre

Smart
0
Précédent
  • 1
  • 2

Discussions similaires

Harry Potter
louloutte27089 -
Livine -

5 réponses
Rogue Eorezo
siltex -
siltex -

6 réponses
Roguekiller
Eddy713M -
MisteryBean -

7 réponses
Pas de HDR et de Ray Tracing Robocop Rogue City
fox56 -
Panth33ra -

6 réponses
assassin creed Rogue
saya7 -
MPMP10 -

2 réponses