Probable infection trojan TR/Sirefef.BV.2
Résolu/Fermé
A voir également:
- Probable infection trojan TR/Sirefef.BV.2
- Trojan remover - Télécharger - Antivirus & Antimalwares
- 2 comptes whatsapp - Guide
- 2 ecran pc - Guide
- Word numéro de page 1/2 - Guide
- Trojan spyware ✓ - Forum Virus
99 réponses
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
21 sept. 2012 à 14:53
21 sept. 2012 à 14:53
J'ai retrouvé des restes de ZA, nous allons donc faire d'autres vérifications, fais ce qui suit :
Menu démarrer (zone ouvrir) tape >> combofix /uninstall
presse la touche "entrée" (Attention: il y a un espace entre combofix et /uninstall)
Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.
¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
¶ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¶ Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Menu démarrer (zone ouvrir) tape >> combofix /uninstall
presse la touche "entrée" (Attention: il y a un espace entre combofix et /uninstall)
Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.
¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
¶ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¶ Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Bonjour, voici le message que j'ai : "windows ne trouve pas 'combofix'."
J'ai bien tapé combofix /uninstall avec l'espace.
Je fais quoi, je passe ?
J'ai bien tapé combofix /uninstall avec l'espace.
Je fais quoi, je passe ?
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
21 sept. 2012 à 16:38
21 sept. 2012 à 16:38
Est-il sur ton bureau ?
Si oui, lance le et accepte la mise à jour.
Si non, télécharge le.
Si oui, lance le et accepte la mise à jour.
Si non, télécharge le.
Plus rien ne fonctionne sur mon pc.
Quand j'ouvre internet explorer ou mozilla, il m'indique : "tentative d'opération non autorisée sur clé registre devant être supprimée".
Voici le rapport :
http://pjjoint.malekal.com/files.php?id=20120921_p15t5e9d5q10
Quand j'ouvre internet explorer ou mozilla, il m'indique : "tentative d'opération non autorisée sur clé registre devant être supprimée".
Voici le rapport :
http://pjjoint.malekal.com/files.php?id=20120921_p15t5e9d5q10
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
21 sept. 2012 à 22:36
21 sept. 2012 à 22:36
1) Fais la mise à jour de Malwarebytes et lance une analyse "complète"
si détection à la fin du scan, supprime tout.
2) Clique ICI pour lancer une ligne de scannner ESET.
Impératif: pour ce scan utiliser Internet Explorer
Coche Yes ,I accept the Terms of Use
Clique sur Start
Autorisez le contrôle ActiveX
Clique sur Start
Coche les options suivantes: Remove found threats et Scan archives
Clique sur Start
Attend la fin du scan
Utilise le Bloc-notes pour ouvrir le rapport situé dans C:\Program Files\ESET\ESET online Scanner\log.txt
Copie et colle ce rapport dans ta prochaine réponse.
Le rapport se trouve ici
C:\Program Files\ESET Online Scanner\log.txt ou C:\Program Files (x86) \ESET Online Scanner\log.txt
si détection à la fin du scan, supprime tout.
2) Clique ICI pour lancer une ligne de scannner ESET.
Impératif: pour ce scan utiliser Internet Explorer
Coche Yes ,I accept the Terms of Use
Clique sur Start
Autorisez le contrôle ActiveX
Clique sur Start
Coche les options suivantes: Remove found threats et Scan archives
Clique sur Start
Attend la fin du scan
Utilise le Bloc-notes pour ouvrir le rapport situé dans C:\Program Files\ESET\ESET online Scanner\log.txt
Copie et colle ce rapport dans ta prochaine réponse.
Le rapport se trouve ici
C:\Program Files\ESET Online Scanner\log.txt ou C:\Program Files (x86) \ESET Online Scanner\log.txt
Bonsoir, j'ai fait une bêtise, à la fin du (long) scan, 4 win 32 trojan ont été trouvés, j'ai cocher uninstall et remove files, puis je n'ai pas trouvé le rapport, donc j'ai redémarré le pc, et bien évidemment, je n'avais plus de dossier eset dans mes programmes (oui je sais je n'aurais pas dû cocher uninstall, mais je croyais que le rapport était automatique...). Donc j'ai refait la procédure dans l'ordre, et impossible de refaire un scan eset (déjà pour activer le contrôle x, c'était très long), problème proxy je crois...
Depuis, le pc est lent, et la connexion est hasardeuse...
C'est grave docteur ?
Depuis, le pc est lent, et la connexion est hasardeuse...
C'est grave docteur ?
Ah oui autre chose m'inquiète, le voyant du pc (celui avec le cylindre) est presque tout le temps éteint.
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
22 sept. 2012 à 20:22
22 sept. 2012 à 20:22
Bonjour
Ça sent pas bon ça ^^
Fais ce qui suit :
*Télécharge et installe Dr.Web CureIT (choisis installation standard)
*Alerte "protection renforcée" cliquer sur >> OK
*Clique sur "mettre à jour" et ensuite sur "commencer le scan", patiente et laisse travailler l'outil durant l'analyse
*Si détection >> Quarantaine
*Clique sur "fichier" et "enregistrer le rapport", poste le dans ta prochaine réponse
*Sers-toi du tutorial ci-dessous pour l'utilisation de Dr Web
Tutorial
Ça sent pas bon ça ^^
Fais ce qui suit :
*Télécharge et installe Dr.Web CureIT (choisis installation standard)
*Alerte "protection renforcée" cliquer sur >> OK
*Clique sur "mettre à jour" et ensuite sur "commencer le scan", patiente et laisse travailler l'outil durant l'analyse
*Si détection >> Quarantaine
*Clique sur "fichier" et "enregistrer le rapport", poste le dans ta prochaine réponse
*Sers-toi du tutorial ci-dessous pour l'utilisation de Dr Web
Tutorial
Depuis le 30 mars, je suis toujours infecté en fait ?
Est ce à cause de ce maudit rapport de l'autre fois de 15 millions de caractères que je n'ai pas pu vous transmettre ?
Rien ne se passe quand je tente d'installer dr web qui est sur mon bureau...
Qu est ce qui se passe ?
Ce sont les 4 win 32 trojan ?
J'ai réveillé ALIEN ?
Sinon un autre pc fixe, et sain je crois, a été en contact avec une clé usb et un disque dur externe connecté à mon pc depuis le 30 mars, donc devrais je aussi le "soigner" ?
Je ne peux pas m'en occuper pour le moment, très occupé, se pourrait il qu'il soit contaminé ?
Quel est votre avis à ce stade sur l'état de l'infection ?
Je pensais vendre ce pc, après avoir utilisé killdisc sur le dd interne d'1 to.
Ce que je pensais, si vous pensez que cela peut être une bonne chose, serait que lorsque je recevrais l'autre pc, vous m'indiqueriez la bonne prévention en paramétrage pour la nouvelle machine tout fraiche, pas à pas.
Afin que le pc soit protégé dès le début, avant une toute première navigation internet.
Qu'en pensez vous ?
Est ce à cause de ce maudit rapport de l'autre fois de 15 millions de caractères que je n'ai pas pu vous transmettre ?
Rien ne se passe quand je tente d'installer dr web qui est sur mon bureau...
Qu est ce qui se passe ?
Ce sont les 4 win 32 trojan ?
J'ai réveillé ALIEN ?
Sinon un autre pc fixe, et sain je crois, a été en contact avec une clé usb et un disque dur externe connecté à mon pc depuis le 30 mars, donc devrais je aussi le "soigner" ?
Je ne peux pas m'en occuper pour le moment, très occupé, se pourrait il qu'il soit contaminé ?
Quel est votre avis à ce stade sur l'état de l'infection ?
Je pensais vendre ce pc, après avoir utilisé killdisc sur le dd interne d'1 to.
Ce que je pensais, si vous pensez que cela peut être une bonne chose, serait que lorsque je recevrais l'autre pc, vous m'indiqueriez la bonne prévention en paramétrage pour la nouvelle machine tout fraiche, pas à pas.
Afin que le pc soit protégé dès le début, avant une toute première navigation internet.
Qu'en pensez vous ?
Au fait, vous avez parlé de restes de za l'autre jour, de quoi s'agit il ?
Je ne comprends pas pourquoi je suis infecté, j'ai avira, et secunia suite au conseil d'un de vos collègues.
Malgré le fait que j'ai laissé tombé secunia pendant un moment, java posait des problèmes, il était impossible à mettre à jour.
Peut être aurais je dû venir posté sur ce sujet...j'ai négligé...
J'ai aussi un vieux adobe photoshop qui est complètement "dépassé", mais je n'ai pas envie de payer, je m'en sers de temps en temps pour travail ou autre.
Il venait d'un disque d'installation vendu avec un pc fixe, il y a de nombreuses années.
J'avais toujours gardé ce cd d'installation avec moi.
J'essaie de comprendre ce qu'il a pu se passer.
Bon, j'attends de vos nouvelles, car j'avais oublié les joies de la connexion ralentie.
La plupart de mes fichiers sont sauvegardés, mais il en reste quelque uns, donc avant de connecter un disque externe "sain", je voudrais y voir plus clair.
Merci à vous.
Je ne comprends pas pourquoi je suis infecté, j'ai avira, et secunia suite au conseil d'un de vos collègues.
Malgré le fait que j'ai laissé tombé secunia pendant un moment, java posait des problèmes, il était impossible à mettre à jour.
Peut être aurais je dû venir posté sur ce sujet...j'ai négligé...
J'ai aussi un vieux adobe photoshop qui est complètement "dépassé", mais je n'ai pas envie de payer, je m'en sers de temps en temps pour travail ou autre.
Il venait d'un disque d'installation vendu avec un pc fixe, il y a de nombreuses années.
J'avais toujours gardé ce cd d'installation avec moi.
J'essaie de comprendre ce qu'il a pu se passer.
Bon, j'attends de vos nouvelles, car j'avais oublié les joies de la connexion ralentie.
La plupart de mes fichiers sont sauvegardés, mais il en reste quelque uns, donc avant de connecter un disque externe "sain", je voudrais y voir plus clair.
Merci à vous.
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
22 sept. 2012 à 22:33
22 sept. 2012 à 22:33
Au fait, vous avez parlé de restes de za l'autre jour, de quoi s'agit il ?Je voulais parler de Sirefef/ZeroAccess
Ce malware se propage principalement par les cracks et exploits.
Bizarre que Dr Web ne se lance pas, as-tu essayé de le renommer de cette façon ?
Si cela ne marche pas, tente RogueKiller.
*Télécharger sur le bureau RogueKiller (par tigzy)
*Quitter tous les programmes en cours
*Lancer RogueKiller.exe
* Attendre la fin du Prescan ...
*Cliquer sur Scan.
*A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
Petite parenthèse, vous proposez de renommer avec un tuto sur combofix (et non dr web ?), c'est normal ?
J'attends votre confirmation, car je ne veux pas faire de bétise.
Sinon, là, ça devient la folie le web...
Mes recherches n'aboutissent pas avec google, et quand je change de moteur de recherche, elles aboutissent des fois...
Cela devient compliqué.
Pour info, j'ai dû télécharger le docteur web sur un autre pc.
J'attends votre confirmation, car je ne veux pas faire de bétise.
Sinon, là, ça devient la folie le web...
Mes recherches n'aboutissent pas avec google, et quand je change de moteur de recherche, elles aboutissent des fois...
Cela devient compliqué.
Pour info, j'ai dû télécharger le docteur web sur un autre pc.
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
23 sept. 2012 à 07:38
23 sept. 2012 à 07:38
Bonjour
Essaies ce que je t'ai dit au dessus avec Dr Web et Roguekiller, si pas de résultat on passera à autre chose.
Petite parenthèse, vous proposez de renommer avec un tuto sur combofix (et non dr web ?), c'est normal ?Oui c'est pour te faire voir la façon de faire ;)
Essaies ce que je t'ai dit au dessus avec Dr Web et Roguekiller, si pas de résultat on passera à autre chose.
Bonjour, ok merci, j'ai réussi à renommer et à lancer docteurweb.
Mais le problème est qu'une fois que le scan était fini, il y avait 20 fichiers infectés des scripts je crois, et quand j'ai cliqué sur enregistrer le rapport, l'écran est devenu bleu, puis redémarrage du pc.
J'ai donc relancé le docteur web, en cherchant le rapport pendant la phase de préparation de scan, et j'ai trouvé un rapport, celui du redémarrage, mais pas le premier long scan qui a duré 2 h30.
Résultat, je fais quoi, je dois tout recommencer ?
Les fichiers sont en quarantaine, je crois.
Mais le problème est qu'une fois que le scan était fini, il y avait 20 fichiers infectés des scripts je crois, et quand j'ai cliqué sur enregistrer le rapport, l'écran est devenu bleu, puis redémarrage du pc.
J'ai donc relancé le docteur web, en cherchant le rapport pendant la phase de préparation de scan, et j'ai trouvé un rapport, celui du redémarrage, mais pas le premier long scan qui a duré 2 h30.
Résultat, je fais quoi, je dois tout recommencer ?
Les fichiers sont en quarantaine, je crois.
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
23 sept. 2012 à 18:12
23 sept. 2012 à 18:12
Regarde si tu trouve pas un autre rapport dans : %USERPROFILE%\DoctorWeb\CureIt.log
Lance RogueKiller, stp.
Lance RogueKiller, stp.
Ah oui il y est, mais je ne peux pas le mettre il est trop long (10 millions de caractères...il n'y a pas d'autres sites pour ce genre de rapport ?).
Je lance roguekiller.
Je lance roguekiller.
RogueKiller V8.0.5 [23/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : SGOUGOU [Droits d'admin]
Mode : Recherche -- Date : 23/09/2012 18:47:24
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] RTKAUDIOSERVICE.EXE -- C:\Windows\RtkAudioService.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 13 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82A44DE5 -> HOOKED (Unknown @ 0x8F7FFCAE)
SSDT[276] : NtRequestWaitReplyPort @ 0x82A56F90 -> HOOKED (Unknown @ 0x8F7FFCB8)
SSDT[314] : NtSetSecurityObject @ 0x829D3038 -> HOOKED (Unknown @ 0x8F7FFCBD)
SSDT[332] : NtSystemDebugControl @ 0x82A0BEC1 -> HOOKED (Unknown @ 0x8F7FFCC2)
SSDT[334] : NtTerminateProcess @ 0x82A04143 -> HOOKED (Unknown @ 0x8F7FFC4F)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8F7FFCD6)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8F7FFCDB)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 5cba1ea782dcf69c1f94a55cd7eb29ac
[BSP] 27cc8ef7832d6fbb0d81fc0ebb58c4b7 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 15277815 | Size: 946409 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : SGOUGOU [Droits d'admin]
Mode : Recherche -- Date : 23/09/2012 18:47:24
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] RTKAUDIOSERVICE.EXE -- C:\Windows\RtkAudioService.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 13 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82A44DE5 -> HOOKED (Unknown @ 0x8F7FFCAE)
SSDT[276] : NtRequestWaitReplyPort @ 0x82A56F90 -> HOOKED (Unknown @ 0x8F7FFCB8)
SSDT[314] : NtSetSecurityObject @ 0x829D3038 -> HOOKED (Unknown @ 0x8F7FFCBD)
SSDT[332] : NtSystemDebugControl @ 0x82A0BEC1 -> HOOKED (Unknown @ 0x8F7FFCC2)
SSDT[334] : NtTerminateProcess @ 0x82A04143 -> HOOKED (Unknown @ 0x8F7FFC4F)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8F7FFCD6)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8F7FFCDB)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 5cba1ea782dcf69c1f94a55cd7eb29ac
[BSP] 27cc8ef7832d6fbb0d81fc0ebb58c4b7 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 15277815 | Size: 946409 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V8.0.5 [23/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : SGOUGOU [Droits d'admin]
Mode : Suppression -- Date : 23/09/2012 18:50:54
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] RTKAUDIOSERVICE.EXE -- C:\Windows\RtkAudioService.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 13 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82A44DE5 -> HOOKED (Unknown @ 0x8F7FFCAE)
SSDT[276] : NtRequestWaitReplyPort @ 0x82A56F90 -> HOOKED (Unknown @ 0x8F7FFCB8)
SSDT[314] : NtSetSecurityObject @ 0x829D3038 -> HOOKED (Unknown @ 0x8F7FFCBD)
SSDT[332] : NtSystemDebugControl @ 0x82A0BEC1 -> HOOKED (Unknown @ 0x8F7FFCC2)
SSDT[334] : NtTerminateProcess @ 0x82A04143 -> HOOKED (Unknown @ 0x8F7FFC4F)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8F7FFCD6)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8F7FFCDB)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 5cba1ea782dcf69c1f94a55cd7eb29ac
[BSP] 27cc8ef7832d6fbb0d81fc0ebb58c4b7 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 15277815 | Size: 946409 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : SGOUGOU [Droits d'admin]
Mode : Suppression -- Date : 23/09/2012 18:50:54
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] RTKAUDIOSERVICE.EXE -- C:\Windows\RtkAudioService.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 13 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82A44DE5 -> HOOKED (Unknown @ 0x8F7FFCAE)
SSDT[276] : NtRequestWaitReplyPort @ 0x82A56F90 -> HOOKED (Unknown @ 0x8F7FFCB8)
SSDT[314] : NtSetSecurityObject @ 0x829D3038 -> HOOKED (Unknown @ 0x8F7FFCBD)
SSDT[332] : NtSystemDebugControl @ 0x82A0BEC1 -> HOOKED (Unknown @ 0x8F7FFCC2)
SSDT[334] : NtTerminateProcess @ 0x82A04143 -> HOOKED (Unknown @ 0x8F7FFC4F)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8F7FFCD6)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8F7FFCDB)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 5cba1ea782dcf69c1f94a55cd7eb29ac
[BSP] 27cc8ef7832d6fbb0d81fc0ebb58c4b7 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 15277815 | Size: 946409 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
23 sept. 2012 à 20:30
23 sept. 2012 à 20:30
Refais une analyse ZHPDiag, stp (héberge le rapport).
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
Modifié par loumax91 le 24/09/2012 à 10:04
Modifié par loumax91 le 24/09/2012 à 10:04
Bonjour
*Télécharge sur ton bureau Sirefef - ZeroAccess Removal Tool - 32-bit (de Bitdefender)
\!/ Quitter les application en cours, désactiver tous tes logiciels de protection avant utilisation \!/
*Lance l'outil (Vista/Seven exécuter en tant qu'administrateur) et clique sur "Démarrer l'analyse"
*Patiente le temps du scan
*Une fois l'analyse terminée, note toutes les détections (et si possible faire une capture d'écran)
*Si l'outil demande un redémarrage, clique sur "oui"
Important :
L'outil ne génère pas de rapport, note bien toutes les détections/suppressions avant d'accepter le redémarrage du PC, poste ton relevé dans ta prochaine réponse.
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
*Télécharge sur ton bureau Sirefef - ZeroAccess Removal Tool - 32-bit (de Bitdefender)
\!/ Quitter les application en cours, désactiver tous tes logiciels de protection avant utilisation \!/
*Lance l'outil (Vista/Seven exécuter en tant qu'administrateur) et clique sur "Démarrer l'analyse"
*Patiente le temps du scan
*Une fois l'analyse terminée, note toutes les détections (et si possible faire une capture d'écran)
*Si l'outil demande un redémarrage, clique sur "oui"
Important :
L'outil ne génère pas de rapport, note bien toutes les détections/suppressions avant d'accepter le redémarrage du PC, poste ton relevé dans ta prochaine réponse.
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
Bonjour, aucun fichier infecté n'a été trouvé.
loumax91
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
474
24 sept. 2012 à 20:55
24 sept. 2012 à 20:55
Ok, qu'en est-il de tes problèmes PC, toujours pas d'améliorations ?
