Cheval de troie Patched C.LYU
Zungsk
-
g3n-h@ckm@n -
g3n-h@ckm@n -
Bonjour,
Aujourd'hui j'allume mon pc et avast me prévient que j'ai une Cheval de troie... ok... je lance donc avast pour faire un scan et il me dit que le cheval de troie est sur liste blanche et qu'il n'est pas possible de le supprimer, je ne sais pas quoi faire il revient toujours... quelqu'un pourrait-il m'aider ? ( j'utilise malwarebytes et avast ) Quand je scan avec malwarebytes il me détecte ceci : Trojan.small , Trojan.sirefef, Rootkit.0Access, Rootkit.Agent.
merci d'avance pour vos réponses...
Aujourd'hui j'allume mon pc et avast me prévient que j'ai une Cheval de troie... ok... je lance donc avast pour faire un scan et il me dit que le cheval de troie est sur liste blanche et qu'il n'est pas possible de le supprimer, je ne sais pas quoi faire il revient toujours... quelqu'un pourrait-il m'aider ? ( j'utilise malwarebytes et avast ) Quand je scan avec malwarebytes il me détecte ceci : Trojan.small , Trojan.sirefef, Rootkit.0Access, Rootkit.Agent.
merci d'avance pour vos réponses...
A voir également:
- Cheval de troie Patched C.LYU
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Jeux de petit chevaux gratuit à télécharger - Télécharger - Jeux vidéo
- Qu'est ce que le cheval au poker - Forum Virus
- Skyrim retrouver son cheval - Forum Jeux PC
52 réponses
Salut
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
Si tu es sur Windows XP, laisse-le installer la console de récupération.
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
Si tu es sur Windows XP, laisse-le installer la console de récupération.
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
Merci pour votre réponse,
Alors j'ai fais comme indiqué ci dessus mais a la fin de combofix il m'indique " do not run Combofix in compatibility mode... "
Alors j'ai fais comme indiqué ci dessus mais a la fin de combofix il m'indique " do not run Combofix in compatibility mode... "
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ça va être chouette de dégager sirefef à la main ^^
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
Je ne distingue plus rien sur mon ecran cest se que vous appelez l'extinction du bureau ? Combien de temps ca
Dure en moyenne ? J'ai limpression qu'il n'y a pas bcp d'activite :(..
Dure en moyenne ? J'ai limpression qu'il n'y a pas bcp d'activite :(..
Je ne distingue plus rien sur mon ecran
c'est à dire ?
écran noir ???
normalement tu dois voir une fenêtre Pre_Scan | g3n-h@ckm@n
c'est à dire ?
écran noir ???
normalement tu dois voir une fenêtre Pre_Scan | g3n-h@ckm@n
http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
il propose 2 solutions , laquelle dois-je choisir ? la 1ere ou la variante en bas de page ?
il propose 2 solutions , laquelle dois-je choisir ? la 1ere ou la variante en bas de page ?
écoute moi écoute pas les autres
cette variante de sirefef n'est pas reprise sur la page de tigzy ^^
je te demande juste de me faire un scan avec son logiciel (RougeKiller)
https://www.luanagames.com/index.fr.html
cette variante de sirefef n'est pas reprise sur la page de tigzy ^^
je te demande juste de me faire un scan avec son logiciel (RougeKiller)
https://www.luanagames.com/index.fr.html
Monsieur est servi ^^
RogueKiller V7.6.0 [26/06/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: zungsk [Droits d'admin]
Mode: Recherche -- Date: 27/06/2012 23:14:55
¤¤¤ Processus malicieux: 2 ¤¤¤
[SUSP PATH] DAT43C5.tmp.exe -- C:\Users\zungsk\AppData\Local\Temp\DAT43C5.tmp.exe -> KILLED [TermProc]
[SUSP PATH] DAT43C5.tmp.exe -- C:\Users\zungsk\AppData\Local\Temp\DAT43C5.tmp.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : c:\windows\installer\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}\U --> FOUND
[ZeroAccess][FILE] @ : c:\users\zungsk\appdata\local\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}\@ --> FOUND
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EALX-009BA0 ATA Device +++++
--- User ---
[MBR] a7cfd991a085dc0bbb4530e3f7cd3c33
[BSP] f02f96a2d139836a3efa91668cf0341d : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] dae3d3c44e439516d3f2a40232d6a881
[BSP] ee1076df12ca1f9d005af067fbbe8631 : MaxSS MBR Code!
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V7.6.0 [26/06/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: zungsk [Droits d'admin]
Mode: Recherche -- Date: 27/06/2012 23:14:55
¤¤¤ Processus malicieux: 2 ¤¤¤
[SUSP PATH] DAT43C5.tmp.exe -- C:\Users\zungsk\AppData\Local\Temp\DAT43C5.tmp.exe -> KILLED [TermProc]
[SUSP PATH] DAT43C5.tmp.exe -- C:\Users\zungsk\AppData\Local\Temp\DAT43C5.tmp.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : c:\windows\installer\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}\U --> FOUND
[ZeroAccess][FILE] @ : c:\users\zungsk\appdata\local\{d9d1fdf0-6a97-f716-b2e7-c1c24e41cfae}\@ --> FOUND
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10EALX-009BA0 ATA Device +++++
--- User ---
[MBR] a7cfd991a085dc0bbb4530e3f7cd3c33
[BSP] f02f96a2d139836a3efa91668cf0341d : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] dae3d3c44e439516d3f2a40232d6a881
[BSP] ee1076df12ca1f9d005af067fbbe8631 : MaxSS MBR Code!
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
Termine : << RKreport[1].txt >>
RKreport[1].txt
Aaaaaaaaaaaaaaaaaaaaaaah
ZeroAccess se planque dans une partition cachée voilà pourquoi ^^
bouton vista -> tous les programmes -> accessoires
clic droit -> exécuter en tant qu'admin sur Invite de commandes
tape ça :
%Homedrive%\Pre_Scan\mbrwiz.exe /list >> %Homedrive%\rapport.txt
ensuite
notepad %Homedrive%\rapport.txt
poste moi le contenu du notepad qui s'ouvre sous tes yeux émerveillés :-)
ZeroAccess se planque dans une partition cachée voilà pourquoi ^^
bouton vista -> tous les programmes -> accessoires
clic droit -> exécuter en tant qu'admin sur Invite de commandes
tape ça :
%Homedrive%\Pre_Scan\mbrwiz.exe /list >> %Homedrive%\rapport.txt
ensuite
notepad %Homedrive%\rapport.txt
poste moi le contenu du notepad qui s'ouvre sous tes yeux émerveillés :-)
