Cheval de troie Patched C.LYU Fermé

Question

Bonjour, 

Aujourd'hui j'allume mon pc et avast me prévient que j'ai une Cheval de troie... ok... je lance donc avast pour faire un scan et il me dit que le cheval de troie est sur liste blanche et qu'il n'est pas possible de le supprimer, je ne sais pas quoi faire il revient toujours... quelqu'un pourrait-il m'aider ? ( j'utilise malwarebytes et avast ) Quand je scan avec malwarebytes il me détecte ceci : Trojan.small , Trojan.sirefef, Rootkit.0Access, Rootkit.Agent. 

merci d'avance pour vos réponses...  

Configuration: Windows 7 / Firefox 13.0.1

juju666 · Answer

Salut


&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Zungsk · Answer

Merci pour votre réponse,

Alors j'ai fais comme indiqué ci dessus mais a la fin de combofix il m'indique " do not run Combofix in compatibility mode... "

juju666 · Answer

Fais le en mode sans échec.  (tapote F8 au démarrage du PC)

 .::. Contributeur Sécurité .::.

Zungsk · Answer

Même réponse en mode sans échec...

juju666 · Answer

Clic droit -> Propriétés -> Compatibilité

Rassure-moi y'a rien de coché là ?

Zungsk · Answer

Non il n'y a rien de coché

juju666 · Answer

combofix contré par zero access....

t'avais bien renommé avant l'enregistrement combofix ?

Zungsk · Answer

Oui , enregistre la cible sous > Zungsk.exe > bureau

juju666 · Answer

ça va être chouette de dégager sirefef à la main ^^

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

Zungsk · Answer

Je ne distingue plus rien sur mon ecran cest se que vous appelez l'extinction du bureau ? Combien de temps ca
Dure en moyenne ? J'ai limpression qu'il n'y a pas bcp d'activite :(..

juju666 · Answer

Je ne distingue plus rien sur mon ecran 

c'est à dire ? 
écran noir ???

normalement tu dois voir une fenêtre Pre_Scan | g3n-h@ckm@n

Zungsk · Answer

Il ny a que mon fond decran et vraiment rien d'autre

juju666 · Answer

contré aussi ...

passe un coup de roguekiller en scan ? https://www.luanagames.com/index.fr.html

Zungsk · Answer

http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html

il propose 2 solutions , laquelle dois-je choisir ? la 1ere ou la variante en bas de page ?

juju666 · Answer

écoute moi écoute pas les autres
cette variante de sirefef n'est pas reprise sur la page de tigzy ^^

je te demande juste de me faire un scan avec son logiciel (RougeKiller)

https://www.luanagames.com/index.fr.html

Zungsk · Answer

c'est fait , je te poste le report ?

juju666 · Answer

bah oui je suis pas derrière ton écran pour le voir :o)

Zungsk · Answer

Monsieur est servi ^^

RogueKiller V7.6.0 [26/06/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: zungsk [Droits d'admin]
Mode: Recherche -- Date: 27/06/2012 23:14:55

¤¤¤ Processus malicieux: 2 ¤¤¤
[SUSP PATH] DAT43C5.tmp.exe -- C:\Users\zungsk\AppData\Local\Temp\DAT43C5.tmp.exe -> KILLED [TermProc]
[SUSP PATH] DAT43C5.tmp.exe -- C:\Users\zungsk\AppData\Local\Temp\DAT43C5.tmp.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : c:\windows\installer\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}\U --> FOUND
[ZeroAccess][FILE] @ : c:\users\zungsk\appdata\local\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}\@ --> FOUND

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10EALX-009BA0 ATA Device +++++
--- User ---
[MBR] a7cfd991a085dc0bbb4530e3f7cd3c33
[BSP] f02f96a2d139836a3efa91668cf0341d : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] dae3d3c44e439516d3f2a40232d6a881
[BSP] ee1076df12ca1f9d005af067fbbe8631 : MaxSS MBR Code!
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo

Termine : << RKreport[1].txt >>
RKreport[1].txt

juju666 · Answer

Aaaaaaaaaaaaaaaaaaaaaaah

ZeroAccess se planque dans une partition cachée voilà pourquoi ^^

bouton vista -> tous les programmes -> accessoires

clic droit -> exécuter en tant qu'admin sur Invite de commandes

tape ça :

%Homedrive%\Pre_Scan\mbrwiz.exe /list >> %Homedrive%\rapport.txt 

ensuite

notepad %Homedrive%\rapport.txt 

poste moi le contenu du notepad qui s'ouvre sous tes yeux émerveillés :-)

Zungsk · Answer

j'écris la premiere ligne à la majuscule près "le chemin d'acces spécifié est introuvable"

juju666 · Answer

arf pre_scan a même pas pu se décompresser

http://www.datafilehost.com/get.php?file=b49b58e8

mets le à la racine de ton disque dur ( C:\ )

du coup la ligne de commande devient :

%Homedrive%\MBRWiz.exe /list >> %Homedrive%\rapport.txt

Zungsk · Answer

Nom de repertoire invalide , je vais devenirrr fouuuuuuu ^^

juju666 · Answer

t'as bien mis MBRWiz à la racine du disque dur ? 
Tape C:\MBRWIZ.exe /list >> C:\rapport.txt 
pour voir

Zungsk · Answer

Nom de repertoire invalide également...

Je l'ai bien mis dans Ordinateur/disque local (C:)

juju666 · Answer

il se défend bien ton sirefef dis donc ... !

Télécharge MBRScan (de Eric_71) sur ton Bureau.

&#x25CF;  Lance MbrScan.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton "Report" 

Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécessaire.

&#x25CF Héberge son rapport sur ce site et poste le lien obtenu en échange

Zungsk · Answer

http://cjoint.com/?BFCaxKrdYaE

voili voilou

juju666 · Answer

Désactive moi la fucking sandbox d'avast et relance combofix

Zungsk · Answer

combofix à redémarrer le pc > ecran noir + barre rouge et bleu puis > même message "do not run ... " 

avec sandbox enlevé...

juju666 · Answer

relance combo en MSE ^^

Zungsk · Answer

raaahhh même en mode sans échec, le mm message "do not..." , alors qu'en normal sa avait au moins redémarrer le pc...

juju666 · Answer

télécharge la version .pif de pre_scan et lance-là en mode sans échec

Zungsk · Answer

http://pjjoint.malekal.com/files.php?read=20120628_b15u5k105j7


ouf ! sa fonctionne !

g3n-h@ckm@n · Answer

salut pour te faire avancer :


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : http://cjoint.com/12jn/BFCbYCq4Tkc.htm

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Zungsk · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.628 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

zungsk : Windows 7 Ultimate (32 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 01:57:31

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Suppression Drivers | Services

Service : syppqwouievdji non actif



¤

¤¤¤¤¤¤¤¤¤¤ | Suppression registre

Clé supprimée : [HKU\S-1-5-21-3953391586-636168557-2307918011-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
Clé supprimée : [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[PCTuto]
Valeur supprimée : [HKU\S-1-5-21-3953391586-636168557-2307918011-1000\Software\Microsoft\Windows\CurrentVersion\Run]:[SpybotSD TeaTimer]
Valeur supprimée : [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce]:[adawarebp]
Valeur supprimée : [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce]:[adawarebp_XP]
Valeur supprimée : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} ]
Valeur supprimée : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} ]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}  ]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}  ]
Clé supprimée : [HKU\S-1-5-21-3953391586-636168557-2307918011-1000\Software\PCTuto     ]
Clé supprimée : [HKU\S-1-5-21-3953391586-636168557-2307918011-1000\Software\Softonic     ]
Clé supprimée : [HKLM\Software\BrowserChoice     ]
Clé supprimée : [HKLM\Software\PCTuto     ]

¤

Absent : C:\Users\zungsk\Downloads\Ad-Aware96Install.exe 
Absent : C:\Users\zungsk\Downloads\Ad-Aware96Install.msi 
Absent : C:\Users\zungsk\Downloads\Ad-AwareInstall.exe 

¤

Absent : C:\Users\zungsk\AppData\Roaming\Mozilla\Firefox\Profiles\bz5qgn5e.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}     
Absent : C:\Windows\Installer\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}
Absent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy     
Absent : C:\ProgramData\Babylon     
Absent : C:\ProgramData\Spybot - Search & Destroy     
Absent : C:\Users\zungsk\AppData\Local\28050 
Absent : C:\Users\zungsk\AppData\Local\Conduit     

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Ultimate Edition
Windows Information:		 (build 7600), 32-bit
Base Board Manufacturer:	MSI
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		MSI
System Product Name:		MS-7673
Logical Drives Mask:		0x0000000c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 01:57:36

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

verifie que ce dossier n'y soit plus

C:\ProgramData\Babylon

Zungsk · Answer

il n'y est pas

g3n-h@ckm@n · Answer

ton pc demarre-t-il correctement en mode normal ?

Zungsk · Answer

je reboot de suite , et je te dis ca

Zungsk · Answer

reboot rapide , oui il démarre normalement, je tente un scan malware pour voir si il detecte encore ?

g3n-h@ckm@n · Answer

pas pour l instant

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

Zungsk · Answer

# AdwCleaner v1.700 - Rapport créé le 28/06/2012 à 02:30:41
# Mis à jour le 26/06/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate  (32 bits)
# Nom d'utilisateur : zungsk - ZUNGSK-PC
# Exécuté depuis : C:\Users\zungsk\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\zungsk\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\zungsk\AppData\Roaming\Mozilla\Firefox\Profiles\bz5qgn5e.default\ConduitCommon
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\PCtuto
Dossier Supprimé : C:\Windows\assembly\GAC_MSIL\QuickStoresToolbar
Fichier Supprimé : C:\Users\zungsk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
Fichier Supprimé : C:\Users\zungsk\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Supprimée : HKCU\Software\PCTuto
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\PCTuto

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7600.16385

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v13.0.1 (fr)

Nom du profil : default 
Fichier : C:\Users\zungsk\AppData\Roaming\Mozilla\Firefox\Profiles\bz5qgn5e.default\prefs.js

Supprimée : user_pref("CT2851639..clientLogIsEnabled", false);
Supprimée : user_pref("CT2851639.ALLOW_SHOWING_HIDDEN_TOOLBAR", false);
Supprimée : user_pref("CT2851639.CTID", "CT2851639");
Supprimée : user_pref("CT2851639.CurrentServerDate", "21-3-2012");
Supprimée : user_pref("CT2851639.DSInstall", false);
Supprimée : user_pref("CT2851639.DialogsAlignMode", "LTR");
Supprimée : user_pref("CT2851639.DialogsGetterLastCheckTime", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.DownloadReferralCookieData", "");
Supprimée : user_pref("CT2851639.EMailNotifierPollDate", "Wed Mar 21 2012 19:15:08 GMT+0100");
Supprimée : user_pref("CT2851639.EnableClickToSearchBox", false);
Supprimée : user_pref("CT2851639.EnableSearchHistory", false);
Supprimée : user_pref("CT2851639.EnableSearchSuggest", false);
Supprimée : user_pref("CT2851639.FeedLastCount2548968607390276962", 182);
Supprimée : user_pref("CT2851639.FeedPollDate2429156812186649977", "Wed Mar 21 2012 19:10:08 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813040823546", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813130095866", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813224203613", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813230837251", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813454291735", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813729834876", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156813860870021", "Wed Mar 21 2012 19:10:08 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156814264681793", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156814863075366", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.FeedPollDate2429156815257761081", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.FeedTTL2429156813040823546", 15);
Supprimée : user_pref("CT2851639.FeedTTL2429156813130095866", 10);
Supprimée : user_pref("CT2851639.FeedTTL2429156813454291735", 5);
Supprimée : user_pref("CT2851639.FeedTTL2429156814264681793", 5);
Supprimée : user_pref("CT2851639.FirstServerDate", "21-3-2012");
Supprimée : user_pref("CT2851639.FirstTime", true);
Supprimée : user_pref("CT2851639.FirstTimeFF3", true);
Supprimée : user_pref("CT2851639.FixPageNotFoundErrors", true);
Supprimée : user_pref("CT2851639.GroupingServerCheckInterval", 1440);
Supprimée : user_pref("CT2851639.HPInstall", false);
Supprimée : user_pref("CT2851639.HasUserGlobalKeys", true);
Supprimée : user_pref("CT2851639.Initialize", true);
Supprimée : user_pref("CT2851639.InitializeCommonPrefs", true);
Supprimée : user_pref("CT2851639.InstallationAndCookieDataSentCount", 1);
Supprimée : user_pref("CT2851639.InstalledDate", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.IsAlertDBUpdated", true);
Supprimée : user_pref("CT2851639.IsGrouping", false);
Supprimée : user_pref("CT2851639.IsInitSetupIni", true);
Supprimée : user_pref("CT2851639.IsMulticommunity", false);
Supprimée : user_pref("CT2851639.IsOpenThankYouPage", true);
Supprimée : user_pref("CT2851639.IsOpenUninstallPage", false);
Supprimée : user_pref("CT2851639.LanguagePackLastCheckTime", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.LanguagePackReloadIntervalMM", 1440);
Supprimée : user_pref("CT2851639.LastLogin_3.10.0.1", "Wed Mar 21 2012 19:10:08 GMT+0100");
Supprimée : user_pref("CT2851639.LatestVersion", "3.10.0.1");
Supprimée : user_pref("CT2851639.Locale", "fr");
Supprimée : user_pref("CT2851639.MCDetectTooltipHeight", "83");
Supprimée : user_pref("CT2851639.MCDetectTooltipShow", false);
Supprimée : user_pref("CT2851639.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Supprimée : user_pref("CT2851639.MCDetectTooltipWidth", "295");
Supprimée : user_pref("CT2851639.MyStuffEnabledAtInstallation", true);
Supprimée : user_pref("CT2851639.OriginalFirstVersion", "3.10.0.1");
Supprimée : user_pref("CT2851639.RadioShrinked", "shrinked");
Supprimée : user_pref("CT2851639.RadioShrinkedFromSetup", true);
Supprimée : user_pref("CT2851639.SHRINK_TOOLBAR", 0);
Supprimée : user_pref("CT2851639.SearchBackToDefaultEngine", false);
Supprimée : user_pref("CT2851639.SearchBoxWidth", 100);
Supprimée : user_pref("CT2851639.SearchFromAddressBarIsInit", true);
Supprimée : user_pref("CT2851639.SearchInNewTabEnabled", true);
Supprimée : user_pref("CT2851639.SearchInNewTabIntervalMM", 1440);
Supprimée : user_pref("CT2851639.SearchInNewTabLastCheckTime", "Wed Mar 21 2012 19:10:08 GMT+0100");
Supprimée : user_pref("CT2851639.SearchInNewTabUserEnabled", false);
Supprimée : user_pref("CT2851639.SearchProtectorToolbarDisabled", true);
Supprimée : user_pref("CT2851639.SendProtectorDataViaLogin", true);
Supprimée : user_pref("CT2851639.ServiceMapLastCheckTime", "Wed Mar 21 2012 19:10:05 GMT+0100");
Supprimée : user_pref("CT2851639.SettingsLastCheckTime", "Wed Mar 21 2012 19:10:05 GMT+0100");
Supprimée : user_pref("CT2851639.SettingsLastUpdate", "1325063002");
Supprimée : user_pref("CT2851639.ThirdPartyComponentsInterval", 504);
Supprimée : user_pref("CT2851639.ThirdPartyComponentsLastCheck", "Wed Mar 21 2012 19:10:05 GMT+0100");
Supprimée : user_pref("CT2851639.ThirdPartyComponentsLastUpdate", "1255344667");
Supprimée : user_pref("CT2851639.ToolbarDisabled", true);
Supprimée : user_pref("CT2851639.ToolbarShrinkedFromSetup", true);
Supprimée : user_pref("CT2851639.UserID", "UN42647897680229385");
Supprimée : user_pref("CT2851639.ValidationData_Toolbar", 2);
Supprimée : user_pref("CT2851639.WeatherNetwork", "");
Supprimée : user_pref("CT2851639.WeatherPollDate", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.WeatherUnit", "C");
Supprimée : user_pref("CT2851639.alertChannelId", "1243674");
Supprimée : user_pref("CT2851639.approveUntrustedApps", true);
Supprimée : user_pref("CT2851639.autoDisableScopes", -1);
Supprimée : user_pref("CT2851639.backendstorage.cbfirsttime", "576564204D617220323120323031322031393A31303A30382[...]
Supprimée : user_pref("CT2851639.backendstorage.pairingkey", "37334442313935354534364238443336453637343435453832[...]
Supprimée : user_pref("CT2851639.backendstorage.scriptsource", "687474703A2F2F3132372E302E302E313A31303030302F67[...]
Supprimée : user_pref("CT2851639.backendstorage.uttorrents", "7B226275696C64223A32363833372C226C6162656C223A5B5D[...]
Supprimée : user_pref("CT2851639.componentAlertEnabled", false);
Supprimée : user_pref("CT2851639.components.1000034", false);
Supprimée : user_pref("CT2851639.components.1000234", false);
Supprimée : user_pref("CT2851639.components.129351529700900053", false);
Supprimée : user_pref("CT2851639.components.129351529701212556", false);
Supprimée : user_pref("CT2851639.components.129351529703087570", false);
Supprimée : user_pref("CT2851639.components.129351529703087571", false);
Supprimée : user_pref("CT2851639.components.129422840102831305", false);
Supprimée : user_pref("CT2851639.components.129544678881551249", false);
Supprimée : user_pref("CT2851639.components.2548968607390276962", false);
Supprimée : user_pref("CT2851639.globalFirstTimeInfoLastCheckTime", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.homepageProtectorEnableByLogin", true);
Supprimée : user_pref("CT2851639.initDone", true);
Supprimée : user_pref("CT2851639.isAppTrackingManagerOn", true);
Supprimée : user_pref("CT2851639.isFirstRadioInstallation", false);
Supprimée : user_pref("CT2851639.isSearchProtectorNotifyChanges", false);
Supprimée : user_pref("CT2851639.myStuffEnabled", true);
Supprimée : user_pref("CT2851639.myStuffPublihserMinWidth", 400);
Supprimée : user_pref("CT2851639.myStuffServiceIntervalMM", 1440);
Supprimée : user_pref("CT2851639.navigateToUrlOnSearch", false);
Supprimée : user_pref("CT2851639.revertSettingsEnabled", true);
Supprimée : user_pref("CT2851639.searchProtectorDialogDelayInSec", 10);
Supprimée : user_pref("CT2851639.searchProtectorEnableByLogin", true);
Supprimée : user_pref("CT2851639.testingCtid", "");
Supprimée : user_pref("CT2851639.toolbarAppMetaDataLastCheckTime", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.toolbarContextMenuLastCheckTime", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CT2851639.usageEnabled", false);
Supprimée : user_pref("CT2851639.usagesFlag", 2);
Supprimée : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.10.0.1");
Supprimée : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "");
Supprimée : user_pref("CommunityToolbar.ToolbarsList", "CT2851639");
Supprimée : user_pref("CommunityToolbar.ToolbarsList2", "CT2851639");
Supprimée : user_pref("CommunityToolbar.ToolbarsList4", "CT2851639");
Supprimée : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Wed Mar 21 2012 19:10:07 GMT+0100");
Supprimée : user_pref("CommunityToolbar.globalUserId", "1210d0fd-1a9a-4c71-a101-8f14b6d28824");
Supprimée : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Wed Mar 21 2012 19:10:0[...]
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoInterval", 60);
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Wed Mar 21 2012 19:10:16 GMT+010[...]
Supprimée : user_pref("CommunityToolbar.notifications.locale", "en");
Supprimée : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Supprimée : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Wed Mar 21 2012 19:10:06 GMT+0100");
Supprimée : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611");
Supprimée : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Supprimée : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Supprimée : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Supprimée : user_pref("CommunityToolbar.notifications.userId", "64fadb01-83be-4326-a646-04b9e8d6b3ea");
Supprimée : user_pref("CommunityToolbar.originalHomepage", "www.google.fr");
Supprimée : user_pref("CommunityToolbar.originalSearchEngine", "Google");

*************************

AdwCleaner[S1].txt - [12961 octets] - [28/06/2012 02:30:41]

########## EOF - C:\AdwCleaner[S1].txt - [13090 octets] ##########

g3n-h@ckm@n · Answer

malwarebytes :

mise à jour
scan complet
suppression de tout ce qu il trouve
rapport après suppression

courage :)

Zungsk · Answer

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.28.01

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
zungsk :: ZUNGSK-PC [administrateur]

28/06/2012 02:38:06
mbam-log-2012-06-28 (02-38-06).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 355002
Temps écoulé: 38 minute(s), 6 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 14
C:\Users\zungsk\Desktop\HORSE OF TROIE\RK_Quarantine\00000001.@.vir (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
C:\Users\zungsk\Desktop\HORSE OF TROIE\RK_Quarantine\80000000.@.vir (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
C:\Users\zungsk\Desktop\HORSE OF TROIE\RK_Quarantine\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\zungsk\Desktop\HORSE OF TROIE\RK_Quarantine\DAT43C5.tmp.exe.vir (Trojan.Agent.PHEX) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\7487985.exe.P_S (Trojan.Agent.PHEX) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\DAT43C5.tmp.exe.P_S (Trojan.Agent.PHEX) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}\U\00000001.@.vir (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}\U\80000000.@.vir (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}\U\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\27.06.2012_23.28.19\mbr0000	dlfs0000	sk0004.dta (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\27.06.2012_23.28.19\mbr0000	dlfs0000	sk0011.dta (Rootkit.TDSS.64) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\27.06.2012_23.28.19\mbr0000	dlfs0000	sk0014.dta (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\27.06.2012_23.28.19\mbr0000	dlfs0000	sk0015.dta (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\27.06.2012_23.28.19\mbr0000	dlfs0000	sk0018.dta (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

bien je pense qu il detectera plus rien maintenant :)

g3n-h@ckm@n · Answer

il y a encore ce service mort à faire sauter : syppqwouievdji

=====================

eet ensuite le grand menage final :)

juju666 · Answer

mais ! :p

bah vas y gros helpeur termine fallait pas m'attendre :p

g3n-h@ckm@n · Answer

re ^^

&#9654 Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort. 

&#9654 Télécharge OTM (OldTimer) sur ton Bureau : 

&#9654 Double-clique sur OTM.exe afin de le lancer. 

&#9654 Copie (Ctrl+C) le texte suivant ci-dessous : 


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:sevices
syppqwouievdji 

:commands
[emptytemp]
[start explorer]
[reboot] 

&#9654 Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

&#9654 Clique maintenant sur le bouton MoveIt! puis ferme OTM 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

&#9654 Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 

*Le nom du rapport correspond au moment de sa création : date_heure.log

Zungsk · Answer

Voila voila désolé je poste un peu tard ! All processes killed ========== PROCESSES ========== No active process named explorer.exe was found! No active process named iexplore.exe was found! No active process named firefox.exe was found! No active process named msnmsgr.exe was found! No active process named Teatimer.exe was found! Error: Unable to interpret <:sevices> in the current context! Error: Unable to interpret in the current context! ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: zungsk ->Temp folder emptied: 47781596 bytes ->Temporary Internet Files folder emptied: 2395827051 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 88810367 bytes ->Flash cache emptied: 98368 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 70668 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 48667579 bytes %systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 743 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 2 462,00 mb OTM by OldTimer - Version 3.1.21.0 log created on 06292012_165552

g3n-h@ckm@n · Answer

oups ^^ faute de frappe 

refais avec ca : 

:services 
syppqwouievdji 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Zungsk · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
Process firefox.exe killed successfully!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== SERVICES/DRIVERS ==========
Error: No service named syppqwouievdji was found to stop!
Service\Driver key syppqwouievdji not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: zungsk
->Temp folder emptied: 194050 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 39410907 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 38,00 mb
 
 
OTM by OldTimer - Version 3.1.21.0 log created on 06292012_184334

Files moved on Reboot...

Registry entries deleted on Reboot...

g3n-h@ckm@n · Answer

ok on fait le menage

=

https://gen-hackman.kanak.fr/

juju666 · Answer

sevices :D

Cheval de troie Patched C.LYU

52 réponses

Discussions similaires