Win 7 internet security 2012
Camille
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
J'ai apparemment viré le virus avec RogueKiller, suivi de TDSKiller et de Combofix.
Voici le rapport de RK:
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Camille [Droits d'admin]
Mode: Suppression -- Date : 17/01/2012 11:46:57
¤¤¤ Processus malicieux: 3 ¤¤¤
[WINDOW : Win 7 Internet Security 2012] zgs.exe -- C:\Users\Camille\AppData\Local\zgs.exe -> KILLED [TermProc]
[SUSP PATH] zgs.exe -- C:\Users\Camille\AppData\Local\zgs.exe -> KILLED [TermThr]
[SUSP PATH] setup.exe -- C:\Windows\TEMP\ijpmov\setup.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCR\.exe : (rfdh) -> REPLACED (exefile)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH|ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 609be81cf19395ff29f98d43fe12a04e
[BSP] e3ea429c4254fbf54a3a790ef98a0c40 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 106 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 25382700 | Size: 627138 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Les scans TDSKiller n'ont rien donné.
Est ce que je peux considérer que tout est ok?!
Merci, Camille
J'ai apparemment viré le virus avec RogueKiller, suivi de TDSKiller et de Combofix.
Voici le rapport de RK:
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Camille [Droits d'admin]
Mode: Suppression -- Date : 17/01/2012 11:46:57
¤¤¤ Processus malicieux: 3 ¤¤¤
[WINDOW : Win 7 Internet Security 2012] zgs.exe -- C:\Users\Camille\AppData\Local\zgs.exe -> KILLED [TermProc]
[SUSP PATH] zgs.exe -- C:\Users\Camille\AppData\Local\zgs.exe -> KILLED [TermThr]
[SUSP PATH] setup.exe -- C:\Windows\TEMP\ijpmov\setup.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCR\.exe : (rfdh) -> REPLACED (exefile)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH|ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 609be81cf19395ff29f98d43fe12a04e
[BSP] e3ea429c4254fbf54a3a790ef98a0c40 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 106 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 25382700 | Size: 627138 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Les scans TDSKiller n'ont rien donné.
Est ce que je peux considérer que tout est ok?!
Merci, Camille
A voir également:
- Win 7 internet security 2012
- Photofiltre 7 - Télécharger - Retouche d'image
- Clé windows 7 - Guide
- Microsoft security essentials windows 7 - Télécharger - Antivirus & Antimalwares
- Delphi 7 - Télécharger - Langages
- Eset internet security download - Télécharger - Sécurité
3 réponses
yop,
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Ne retourne pas sur des sites de streamings avant qu'on aie fini.
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2012/01/17 10:47:56 | 000,008,460 | ---- | C] () -- C:\Users\Camille\AppData\Roaming\64da6b2a
[2012/01/17 10:47:56 | 000,008,452 | ---- | C] () -- C:\ProgramData\84e2a78c
[2012/01/17 10:47:55 | 000,328,192 | ---- | C] ( ) -- C:\Users\Camille\AppData\Local\zgs.exe
[2012/01/17 10:55:01 | 000,008,520 | ---- | M] () -- C:\Users\Camille\AppData\Local\beb5b6cd
SRV - [2012/01/17 11:04:25 | 000,035,328 | ---- | M] () [Auto | Stopped] -- C:\Windows\TEMP\ijpmov\setup.exe -- (AMService)
* redemarre le pc sous windows et poste le rapport ici
hummmm :/
C'est pas bon ça : C:\Windows\TEMP\ijpmov\setup.exe
ZeroAcces...
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2012/01/17 10:47:56 | 000,008,460 | ---- | C] () -- C:\Users\Camille\AppData\Roaming\64da6b2a
[2012/01/17 10:47:56 | 000,008,452 | ---- | C] () -- C:\ProgramData\84e2a78c
[2012/01/17 10:47:55 | 000,328,192 | ---- | C] ( ) -- C:\Users\Camille\AppData\Local\zgs.exe
[2012/01/17 10:55:01 | 000,008,520 | ---- | M] () -- C:\Users\Camille\AppData\Local\beb5b6cd
SRV - [2012/01/17 11:04:25 | 000,035,328 | ---- | M] () [Auto | Stopped] -- C:\Windows\TEMP\ijpmov\setup.exe -- (AMService)
* redemarre le pc sous windows et poste le rapport ici
hummmm :/
C'est pas bon ça : C:\Windows\TEMP\ijpmov\setup.exe
ZeroAcces...
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
rapport OTL:
========== OTL ==========
C:\Users\Camille\AppData\Roaming\64da6b2a moved successfully.
C:\ProgramData\84e2a78c moved successfully.
C:\Users\Camille\AppData\Local\zgs.exe moved successfully.
C:\Users\Camille\AppData\Local\beb5b6cd moved successfully.
Service AMService stopped successfully!
Service AMService deleted successfully!
C:\Windows\Temp\ijpmov\setup.exe moved successfully.
OTL by OldTimer - Version 3.2.31.0 log created on 01172012_132702
========== OTL ==========
C:\Users\Camille\AppData\Roaming\64da6b2a moved successfully.
C:\ProgramData\84e2a78c moved successfully.
C:\Users\Camille\AppData\Local\zgs.exe moved successfully.
C:\Users\Camille\AppData\Local\beb5b6cd moved successfully.
Service AMService stopped successfully!
Service AMService deleted successfully!
C:\Windows\Temp\ijpmov\setup.exe moved successfully.
OTL by OldTimer - Version 3.2.31.0 log created on 01172012_132702
Combofix a enfin fini... Pas besoin de renommer ni de redémarrer en mode sans échec. J'ai juste redémarrer après avoir reçu le rapport pcq je n'avais plus accès à internet.
Bref voici le lien: http://pjjoint.malekal.com/files.php?id=20120117_i12g9p7s13t11
J'espère que c'est enfin bon pcq c'est vmt pas mon truc -_-'
Bref voici le lien: http://pjjoint.malekal.com/files.php?id=20120117_i12g9p7s13t11
J'espère que c'est enfin bon pcq c'est vmt pas mon truc -_-'
Installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
Active les détections PUPs comme indiqué.
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Active les détections PUPs comme indiqué.
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Nslookup.exe ordinal introuvable
L'ordinal 1108 est introuvable dans la bibliothèque de liens dynamiques WSOCK32.dll
C'est à dire?
Tous les fichiers du dossier RK_quarantine, je les supprime?!