Virus 0i763f66bz.exe
Résolu
Lyacos
Messages postés
101
Date d'inscription
Statut
Membre
Dernière intervention
-
Lyacos Messages postés 101 Date d'inscription Statut Membre Dernière intervention -
Lyacos Messages postés 101 Date d'inscription Statut Membre Dernière intervention -
Bonsoir,
J'ai eu un virus assez chiant mais pas dangereux (du moins je le pense) qui faisait que PC Cillin m'alertait tout les deux minutes. Dans le gestionnaires des tâches dans processus j'ai 0i763f66bz.exe et j'avais dans ' C ' ce fichier qui n'existe plus à présent. Après avoir essayer TDSSKLLER, Sophos, Roguekiller et en dernier ComboFix mon antivirus ne m'alerte plus. Par contre dans le processus comme j'ai dit 0i763f66bz.exe est toujours présent et impossible de l'arrêter. Je ne sais pas quoi faire et je ne sais même pas si il est hors d'état de nuire. Je post quand même le rapport de ComboFix.
https://pjjoint.malekal.com/files.php?id=20120711_j5t14t9z11d6
Donc comment l'enlever définitivement ?
J'ai eu un virus assez chiant mais pas dangereux (du moins je le pense) qui faisait que PC Cillin m'alertait tout les deux minutes. Dans le gestionnaires des tâches dans processus j'ai 0i763f66bz.exe et j'avais dans ' C ' ce fichier qui n'existe plus à présent. Après avoir essayer TDSSKLLER, Sophos, Roguekiller et en dernier ComboFix mon antivirus ne m'alerte plus. Par contre dans le processus comme j'ai dit 0i763f66bz.exe est toujours présent et impossible de l'arrêter. Je ne sais pas quoi faire et je ne sais même pas si il est hors d'état de nuire. Je post quand même le rapport de ComboFix.
https://pjjoint.malekal.com/files.php?id=20120711_j5t14t9z11d6
Donc comment l'enlever définitivement ?
A voir également:
- Virus 0i763f66bz.exe
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
114 réponses
ok j'ai du nouveau j'ai vu dans ce rapport qu'en fait le rootkit se sert de 4 pilotes :
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51B01DB6AC10F3FF] - (LegacyDriver) : 51b01db6ac10f3ff -> 0i763f66bz.exe
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492] - (LegacyDriver) : 7492 -> 0i763f66bz.exe
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82B1D161DD12A77A] - (LegacyDriver) : 82b1d161dd12a77a -> 0i763f66bz.exe
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8F15] - (LegacyDriver) : 8f15 -> 0i763f66bz.exe
l'un doit reinstaller l'autre je pense...
on va la jouer comme ca
refais un avenger avec ceci :
Drivers to disable:
51b01db6ac10f3ff
7492
82b1d161dd12a77a
8f15
Drivers to Delete:
51b01db6ac10f3ff
7492
82b1d161dd12a77a
8f15
Files to Delete:
C:\Windows\System32\Drivers\51b01db6ac10f3ff.sys
Registry keys to delete:
HKCR\CLSID\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKLM\System\CurrentControlSet\Services\51b01db6ac10f3ff
HKLM\System\ControlSet001\Services\51b01db6ac10f3ff
HKLM\System\ControlSet002\Services\51b01db6ac10f3ff
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\System\CurrentControlSet\Services\7492
HKLM\System\ControlSet001\Services\7492
HKLM\System\ControlSet002\Services\7492
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_7492
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492
HKLM\System\CurrentControlSet\Services\82b1d161dd12a77a
HKLM\System\ControlSet001\Services\82b1d161dd12a77a
HKLM\System\ControlSet002\Services\82b1d161dd12a77a
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_82b1d161dd12a77a
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a
HKLM\System\CurrentControlSet\Services\8f15
HKLM\System\ControlSet001\Services\8f15
HKLM\System\ControlSet002\Services\8f15
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_8f15
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51B01DB6AC10F3FF] - (LegacyDriver) : 51b01db6ac10f3ff -> 0i763f66bz.exe
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492] - (LegacyDriver) : 7492 -> 0i763f66bz.exe
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82B1D161DD12A77A] - (LegacyDriver) : 82b1d161dd12a77a -> 0i763f66bz.exe
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8F15] - (LegacyDriver) : 8f15 -> 0i763f66bz.exe
l'un doit reinstaller l'autre je pense...
on va la jouer comme ca
refais un avenger avec ceci :
Drivers to disable:
51b01db6ac10f3ff
7492
82b1d161dd12a77a
8f15
Drivers to Delete:
51b01db6ac10f3ff
7492
82b1d161dd12a77a
8f15
Files to Delete:
C:\Windows\System32\Drivers\51b01db6ac10f3ff.sys
Registry keys to delete:
HKCR\CLSID\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKLM\System\CurrentControlSet\Services\51b01db6ac10f3ff
HKLM\System\ControlSet001\Services\51b01db6ac10f3ff
HKLM\System\ControlSet002\Services\51b01db6ac10f3ff
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\System\CurrentControlSet\Services\7492
HKLM\System\ControlSet001\Services\7492
HKLM\System\ControlSet002\Services\7492
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_7492
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492
HKLM\System\CurrentControlSet\Services\82b1d161dd12a77a
HKLM\System\ControlSet001\Services\82b1d161dd12a77a
HKLM\System\ControlSet002\Services\82b1d161dd12a77a
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_82b1d161dd12a77a
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a
HKLM\System\CurrentControlSet\Services\8f15
HKLM\System\ControlSet001\Services\8f15
HKLM\System\ControlSet002\Services\8f15
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_8f15
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
salut
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
il est pas complet relance l'outil en mode sans echec
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Non pas à ma connaissance, j'ai regardé dans les options et rien qui l'indique en tout cas.
Enfin d'après un lien peut être (sérieusement je ne sais pas):
http://www.ctoedge.com/content/trend-micro-launches-real-time-threat-manager
The good news is that active malware leaves traces, says Glessner. Once identified, malware can then be run in a sandbox environment with the Trend Micro threat management system to identify the scope of the potential threat.
Enfin d'après un lien peut être (sérieusement je ne sais pas):
http://www.ctoedge.com/content/trend-micro-launches-real-time-threat-manager
The good news is that active malware leaves traces, says Glessner. Once identified, malware can then be run in a sandbox environment with the Trend Micro threat management system to identify the scope of the potential threat.
Si je désinstalle je fais quoi après ?
Je serais sans protection, tu peux me dire à quoi tu penses en me demandant ceci ?
Je serais sans protection, tu peux me dire à quoi tu penses en me demandant ceci ?
pour ce qu'il te protege....la preuve...
je pense qu'il nous gene pour la desinfection....
toutes facons si tu l'as payé tu t'es bien fait avoir parce que c'est une belle merde
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
je pense qu'il nous gene pour la desinfection....
toutes facons si tu l'as payé tu t'es bien fait avoir parce que c'est une belle merde
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Ben justement jusqu'à maintenant j'ai jamais eu de problème, aucun n'est infaillible ^^, mais concrètement une fois désinstaller c'est quoi la suite ?
regarde au dessus j'en ai rajouté
ensuite ? tu changes le nom de combofix en "cequetuveux" ( pour tromper l'infection )
et tu le relances avec le clic droit "executer en tant qu'administrateur"
de plus regarde ici je traite le meme sujet
https://forums.commentcamarche.net/forum/affich-25569847-0i763f66bz-exe?page=2#38#dernier
ensuite ? tu changes le nom de combofix en "cequetuveux" ( pour tromper l'infection )
et tu le relances avec le clic droit "executer en tant qu'administrateur"
de plus regarde ici je traite le meme sujet
https://forums.commentcamarche.net/forum/affich-25569847-0i763f66bz-exe?page=2#38#dernier
Bon j'ai désinstallé mon antivirus, j'ai relancé combofix en ayant renommer ce dernier et à la fin il m'avait dit qu'il avait supprimé. Sauf qu'au redémarrage dans le rapport il me marque:
c:\users\Lyacos\0i763f66bz.exe . . . . impossible à supprimer
Par contre dans le processus j'ai vu une description de ce fichier c'est Quartermasters. Quand je me connecte en ligne la description est vide. Je ne sais pas si c'est important mais je le précise tout de même. Je peux aussi cette fois arrêter le processus (quand j'étais pas en ligne) mais au reboot il revient. Par contre en ligne impossible de l'arrêter.
c:\users\Lyacos\0i763f66bz.exe . . . . impossible à supprimer
Par contre dans le processus j'ai vu une description de ce fichier c'est Quartermasters. Quand je me connecte en ligne la description est vide. Je ne sais pas si c'est important mais je le précise tout de même. Je peux aussi cette fois arrêter le processus (quand j'étais pas en ligne) mais au reboot il revient. Par contre en ligne impossible de l'arrêter.
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
Rootkit::
c:\users\Lyacos\0i763f66bz.exe
c:\windows\System32\Drivers\51b01db6ac10f3ff.sys
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"0i763f66bz"=-
Driver::
51b01db6ac10f3ff
RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
https://pjjoint.malekal.com/files.php?id=20120711_c15j10c13q6x7
Dans le rapport je vois encore ' impossible à supprimer ' pourtant dans le processus il n'apparait plus, c'est bon tu crois ?
Dans c:\users\Lyacos\ je vois que l'exe à une tête de tigrou (j'ai pas cliqué dessus je précise ^^).
EDIT: impossible de réinstaller mon antivirus, il me dit :
Redémarrage requis
"Vous devez redémarrer l'ordinateur pour que certaines modifications du système soient prises en compte avant l'installation du logiciel"
Et quand je fais redémarrer maintenant ben au redémarrage il me redemande toujours la même chose, bizarre...
Dans le rapport je vois encore ' impossible à supprimer ' pourtant dans le processus il n'apparait plus, c'est bon tu crois ?
Dans c:\users\Lyacos\ je vois que l'exe à une tête de tigrou (j'ai pas cliqué dessus je précise ^^).
EDIT: impossible de réinstaller mon antivirus, il me dit :
Redémarrage requis
"Vous devez redémarrer l'ordinateur pour que certaines modifications du système soient prises en compte avant l'installation du logiciel"
Et quand je fais redémarrer maintenant ben au redémarrage il me redemande toujours la même chose, bizarre...
Fais en mode sans échec: https://pjjoint.malekal.com/files.php?id=20120711_h712w14d10k6
Et toujours impossible de remettre mon antivirus, je pense qu'il est toujours la.
Et toujours impossible de remettre mon antivirus, je pense qu'il est toujours la.
