Virus 0i763f66bz.exe Résolu/Fermé

Question

Bonsoir,   

J'ai eu un virus assez chiant mais pas dangereux (du moins je le pense) qui faisait que PC Cillin m'alertait tout les deux minutes. Dans le gestionnaires des tâches dans processus j'ai 0i763f66bz.exe et j'avais dans ' C ' ce fichier qui n'existe plus à présent. Après avoir essayer TDSSKLLER, Sophos, Roguekiller et en dernier ComboFix mon antivirus ne m'alerte plus. Par contre dans le processus comme j'ai dit 0i763f66bz.exe est toujours présent et impossible de l'arrêter. Je ne sais pas quoi faire et je ne sais même pas si il est hors d'état de nuire. Je post quand même le rapport de ComboFix.  

https://pjjoint.malekal.com/files.php?id=20120711_j5t14t9z11d6  

Donc comment l'enlever définitivement ? 

Configuration: Windows 7 / Firefox 13.0.1

g3n-h@ckm@n · Answer

salut

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Lyacos · Answer

Voila le rapport: https://pjjoint.malekal.com/files.php?id=20120711_n6n126m6x14

g3n-h@ckm@n · Answer

il est pas complet relance l'outil  en mode sans echec 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyacos · Answer

C'est fait: https://pjjoint.malekal.com/files.php?id=20120711_t6t7o5s11n9

g3n-h@ckm@n · Answer

il y a une sandbox dans ton trend micro titanuim machine chose là ?

Lyacos · Answer

Non pas à ma connaissance, j'ai regardé dans les options et rien qui l'indique en tout cas.  

Enfin d'après un lien peut être (sérieusement je ne sais pas):  

http://www.ctoedge.com/content/trend-micro-launches-real-time-threat-manager  

The good news is that active malware leaves traces, says Glessner. Once identified, malware can then be run in a sandbox environment with the Trend Micro threat management system to identify the scope of the potential threat.

g3n-h@ckm@n · Answer

desinstalle trendmicro

Lyacos · Answer

Si je désinstalle je fais quoi après ?

Je serais sans protection, tu peux me dire à quoi tu penses en me demandant ceci ?

g3n-h@ckm@n · Answer

pour ce qu'il te protege....la preuve... 

je pense qu'il nous gene pour la desinfection....

toutes facons si tu l'as payé tu t'es bien fait avoir parce que c'est une belle merde
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyacos · Answer

Ben justement jusqu'à maintenant j'ai jamais eu de problème, aucun n'est infaillible ^^, mais concrètement une fois désinstaller c'est quoi la suite ?

Lyacos · Answer

Bon j'ai désinstallé mon antivirus, j'ai relancé combofix en ayant renommer ce dernier et à la fin il m'avait dit qu'il avait supprimé. Sauf qu'au redémarrage dans le rapport il me marque: 

c:\users\Lyacos\0i763f66bz.exe . . . . impossible à supprimer

Par contre dans le processus j'ai vu une description de ce fichier c'est Quartermasters. Quand je me connecte en ligne la description est vide. Je ne sais pas si c'est important mais je le précise tout de même. Je peux aussi cette fois arrêter le processus (quand j'étais pas en ligne) mais au reboot il revient. Par contre en ligne impossible de l'arrêter.

g3n-h@ckm@n · Answer

donne le nouveau rapport

Lyacos · Answer

https://pjjoint.malekal.com/files.php?id=20120711_n10t13j7i14j9

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: Rootkit:: c:\users\Lyacos\0i763f66bz.exe c:\windows\System32\Drivers\51b01db6ac10f3ff.sys Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "0i763f66bz"=- Driver:: 51b01db6ac10f3ff RegLock:: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Lyacos · Answer

https://pjjoint.malekal.com/files.php?id=20120711_c15j10c13q6x7  

Dans le rapport je vois encore ' impossible à supprimer ' pourtant dans le processus il n'apparait plus, c'est bon tu crois ? 

Dans c:\users\Lyacos\ je vois que l'exe à une tête de tigrou (j'ai pas cliqué dessus je précise ^^).


EDIT: impossible de réinstaller mon antivirus, il me dit :

Redémarrage requis

"Vous devez redémarrer l'ordinateur pour que certaines modifications du système soient prises en compte avant l'installation du logiciel"

Et quand je fais redémarrer maintenant ben au redémarrage il me redemande toujours la même chose, bizarre...

g3n-h@ckm@n · Answer

retente pre_scan...en mode sans echec

Lyacos · Answer

Fais en mode sans échec: https://pjjoint.malekal.com/files.php?id=20120711_h712w14d10k6 

Et toujours impossible de remettre mon antivirus, je pense qu'il est toujours la.

g3n-h@ckm@n · Answer

soit tu t'es trompé de rapport , soit tu t'es trompé de logiciel

Lyacos · Answer

Comme hier j'ai pris ComboFix que j'ai renommé et j'ai refais en mode sans échec et j'ai pris le dernier rapport disponible.

g3n-h@ckm@n · Answer

et ben c est pas ca que je te demande

Lyacos · Answer

Ah désoler je viens de comprendre :S...

Honte à moi lol, bon je fais ce que tu as dit plus haut et je t'envoie le rapport.

Lyacos · Answer

Voila: https://pjjoint.malekal.com/files.php?id=20120711_v11b14j5w11z6

g3n-h@ckm@n · Answer

je comprends pas pourquoi le rapport s 'arrete là

suis ce tutoriel :

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel

Lyacos · Answer

Bon enfin fini le scan... ^^ et voila le rapport de Dr.Web: http://www.gigaup.fr/?g=8O8M93BFAY  (impossible de l'up sur l'autre site car il ne gère pas les extensions .csv donc j'ai pris un hébergeur)

0i763f66bz.exe n'est plus présent dans ' c:\users\Lyacos\0i763f66bz.exe ' ni dans le processus. 

Cependant je n'arrive toujours à réinstaller mon antivirus, il me dit la même chose. 


"Redémarrage requis 

Vous devez redémarrer l'ordinateur pour que certaines modifications du système soient prises en compte avant l'installation du logiciel"  

Et c'est comme ça à chaque reboot.

g3n-h@ckm@n · Answer

ok pre_scan devrait tourner jusqu'au bout maintenant 

retelecharge-le drWeb l'a mangé ^^

Lyacos · Answer

Voila: https://pjjoint.malekal.com/files.php?id=20120711_n5x11w14l6g11

g3n-h@ckm@n · Answer

heu...rassure-moi tu viens pas de le retelecharger là ??? 

edit::

autant pour moi y a encore le debut de l autre dessus..
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyacos · Answer

Tu ma dit de le télécharger une nouvelle fois pre_scan car drWeb l'a mangé... j'ai fait tout à la lettre comme tu as dis lol. J'ai use ensuite pre_scan en mode sans échec.

g3n-h@ckm@n · Answer

poste c:\pre_scan\debug.txt stp

Lyacos · Answer

https://pjjoint.malekal.com/files.php?id=20120711_m12f5o13i6k13

g3n-h@ckm@n · Answer

il y a un message d'erreur pendant le scan ? je comprends pas...

Lyacos · Answer

Aucun message d'erreur enfin si quand je lance le scan windows me dit qu'une erreur s'est produit et qu'il doit fermer mais les scan continu donc je pense que c'es normal, c'est la procédure de pre-scan ?

g3n-h@ckm@n · Answer

pour drweb tu as bien fait l'analyse complete apres la rapide ? sur tous les disques ?

Lyacos · Answer

J'ai fait comme sur le tuto, en clair rapide et complète.

g3n-h@ckm@n · Answer

quand je lance le scan windows me dit qu'une erreur s'est produit et qu'il doit fermer 

tu peux faire une capture de ca ?

Lyacos · Answer

Voila ce que j'ai quand je lance le scan: http://nsa30.casimages.com/img/2012/07/11/120711055243566369.jpg

g3n-h@ckm@n · Answer

repasse Combofix

Lyacos · Answer

Voila et voici le rapport: https://pjjoint.malekal.com/files.php?id=20120711_q13b15x9u6h13 

Toujours impossible de réinstaller mon antivirus, j'ai pris contact avec le support de Trend Micro en attendant si jamais il n'y à pas de solution.

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal : Virus Total clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) : c:\windows\Installer\1e68e.msi * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse. ======================= __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: File:: c:\windows\SysWow64\FlashPlayerInstaller.exe c:\windows\System32\Drivers\51b01db6ac10f3ff.sys Driver:: 51b01db6ac10f3ff ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Lyacos · Answer

J'ai même pas le dossier ' Installer ', c'est bizarre.

g3n-h@ckm@n · Answer

touche windows +R 

puis tape %systemroot%\Installer

Lyacos · Answer

Ensuite ? J'ai beaucoup de dossier et fichier .exe.

g3n-h@ckm@n · Answer

ensuite ? recupere le fichier que je te demande d analyser en le copiant sur tin bureau et GO => virus total

Lyacos · Answer

https://www.virustotal.com/gui/file/7f0f54b7726e6dfb2e66e1fe79a6ac495488aab16d0d36868b7db4833838bf93   


Et le rapport combofix avec le script: https://pjjoint.malekal.com/files.php?id=20120711_z15j13c12z11w13  


Edit: par curiosité j'ai regardé Windows Update et impossible avec lui aussi. Quand je veux rechercher une mise à jour il me dit:  

"Windows Update ne peut pas actuellement rechercher des mises à jour car le service n'est pas en cours d'exécution. Il vous faudra peut-être redémarrer votre ordinateur."  

En gros même message presque demandant le reboot de l'ordi comme pour l'antivirus. Tu crois que sa à un rapport entre eux ?

g3n-h@ckm@n · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Lyacos · Answer

J'ai pas fini le scan mais juste pour te dire qu'à priori il n'est pas entièrement parti.

http://nsa30.casimages.com/img/2012/07/11/120711101020537229.jpg

J'espère que le scan ne sera pas long car je suis sans protec.

Lyacos · Answer

Et voila: https://pjjoint.malekal.com/files.php?id=20120711_l6t12i8u8f5

g3n-h@ckm@n · Answer

ok 

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

Lyacos · Answer

J'ai rien compris... lol   

J'ai qu'une ligne rouge dans Gmer, donc sur celle je peux faire delete.   

Après Process / Adl ,file c'est où sur Gmer ? (désoler si je pige rien ^^)  


Edit: Kill process, Kill file c'est ça en faisant clique droit sur la ligne rouge ? Mais ' Adl ' aucune idée.

g3n-h@ckm@n · Answer

fais deja ce que tu peux :) n'oublie pas services aussi
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyacos · Answer

Bon impossible de delete service il me dit:

"You removing the service "51b01db6ac10f3ff"

Warning !!!
this action might crash your system if the service is required by windows.

Are you sure you want to continue ?"

J'ai dit oui et il me dit:

"Error 0xFFFFFFFF: Service "51b01db6ac10f3ff" was not deleted."

Je fais ok et j'ai:

"Are you sure you want to delete service file "51b01db6ac10f3ff" - "C:\SystemRoot\System32\Drivers\51b01db6ac10f3ff.sys".

J'ai dit oui et:

"File "C:\SystemRoot\System32\Drivers\51b01db6ac10f3ff.sys" couldn't be deleted. Error 0x00000006 !: Descripteur non valide"

Lyacos · Answer

Impossible en mode sans échec, même erreur.

g3n-h@ckm@n · Answer

@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGmaCP4Crqp

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Lyacos · Answer

https://pjjoint.malekal.com/files.php?id=20120712_h12k7k8r12h5

g3n-h@ckm@n · Answer

regarde si ce fichier est encore là

C:\Windows\System32\Drivers\51b01db6ac10f3ff.sys

Lyacos · Answer

Oui il est encore la.

g3n-h@ckm@n · Answer

refais le script en mode sans echec

Lyacos · Answer

https://pjjoint.malekal.com/files.php?id=20120712_x10d10q15x11i5

Et il est toujours au même endroit.

g3n-h@ckm@n · Answer

1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):


Drivers to disable:
51b01db6ac10f3ff

Drivers to Delete:
51b01db6ac10f3ff

Files to Delete:
C:\Windows\System32\Drivers\51b01db6ac10f3ff.sys

Registry keys to delete:
HKLM\System\CurrentControlSet\Services\51b01db6ac10f3ff
HKLM\System\ControlSet001\Services\51b01db6ac10f3ff
HKLM\System\ControlSet002\Services\51b01db6ac10f3ff

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Lyacos · Answer

J'ai eu un avertissement.  

http://nsa29.casimages.com/img/2012/07/12/12071201391844779.jpg  


J'ai fait ok, il ma dit 'successful" et après reboot aucun log, aucun backup.zip

g3n-h@ckm@n · Answer

tu n'as pas C:\avenger.txt ?

Lyacos · Answer

Non malheureusement.

g3n-h@ckm@n · Answer

rhââa^^a fait ch$$$$ !!!!!


je suppose que le driver du rootkit est toujours là....

Lyacos · Answer

Oui j'ai vérifié.

En début d'après-midi j'ai sincèrement eu envie de faire un formatage mais lorsque je met le DVD de mon Windows et que celui-ci boot, les fichiers se chargent bien mais une fois que l'écran de fond bleu de Seven apparait... pas de fenêtre à l'horizon.

Donc je me retrouve avec un ordinateur qui n'a plus de protection, qui n'a plus accès à Windows Update, qui ne peux plus (je pense) ni réparer ni formater. Alors je fais quoi ? Je commence sérieusement à désespérer :(

Le pire dans l'histoire c'est que j'ignore comment j'ai eu cette merde, j'étais sur un forum en train de répondre à un autre, pas de site X, pas de fofo warez... nada alors je comprends pas.

Ta encore de la réserve j'espère ?

g3n-h@ckm@n · Answer

relance pre_scan , choisis script puis colle juste ceci :

Extra::

ferme laisse bosser , heberge le rapport

Lyacos · Answer

C'est fait et en mode sans échec.

https://pjjoint.malekal.com/files.php?id=20120712_k10x5p14j12r11

Lyacos · Answer

Toujours rien.

g3n-h@ckm@n · Answer

ok je suis en train d'eplucher l'extra...

g3n-h@ckm@n · Answer

ok j'ai du nouveau j'ai vu dans ce rapport qu'en fait le rootkit se sert de 4 pilotes : 

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51B01DB6AC10F3FF] - (LegacyDriver) : 51b01db6ac10f3ff -> 0i763f66bz.exe 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492] - (LegacyDriver) : 7492 -> 0i763f66bz.exe 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82B1D161DD12A77A] - (LegacyDriver) : 82b1d161dd12a77a -> 0i763f66bz.exe 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8F15] - (LegacyDriver) : 8f15 -> 0i763f66bz.exe 


l'un doit reinstaller l'autre je pense... 

on va la jouer comme ca  

refais un avenger avec ceci : 

Drivers to disable: 
51b01db6ac10f3ff 
7492 
82b1d161dd12a77a 
8f15 

Drivers to Delete: 
51b01db6ac10f3ff 
7492 
82b1d161dd12a77a 
8f15 

Files to Delete: 
C:\Windows\System32\Drivers\51b01db6ac10f3ff.sys 

Registry keys to delete: 
HKCR\CLSID\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKLM\System\CurrentControlSet\Services\51b01db6ac10f3ff 
HKLM\System\ControlSet001\Services\51b01db6ac10f3ff 
HKLM\System\ControlSet002\Services\51b01db6ac10f3ff 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_51b01db6ac10f3ff 
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff 
HKLM\System\CurrentControlSet\Services\7492 
HKLM\System\ControlSet001\Services\7492 
HKLM\System\ControlSet002\Services\7492 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_7492 
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492 
HKLM\System\CurrentControlSet\Services\82b1d161dd12a77a 
HKLM\System\ControlSet001\Services\82b1d161dd12a77a 
HKLM\System\ControlSet002\Services\82b1d161dd12a77a 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_82b1d161dd12a77a 
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a 
HKLM\System\CurrentControlSet\Services\8f15 
HKLM\System\ControlSet001\Services\8f15 
HKLM\System\ControlSet002\Services\8f15 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_8f15 
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15 


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyacos · Answer

J'ai une très bonne nouvelle, j'ai trouvé la solution :D 

Sur le forum de Trend Micro, un employé est venu en aide et j'ai fait ce qu'il à dit pour un autre en installant HitmanPro et il à réussi à supprimer le fichier ' 51b01db6ac10f3ff.sys ' complétement et à l'ouverture de ma session mon antivirus/parfeu à repris du service! 

Par contre une seule chose que HitmanPro n'a pas su faire c'est réparer ceci (d'ailleurs je ne sais pas si y'à réellement besoin donc je te screen): 

http://nsa29.casimages.com/img/2012/07/12/120712032609796741.jpg 

Le choix c'est soit réparer ou ignorer mais aucune action comme quarantaine ou supprimer donc je suppose que ce n'est pas dangereux surtout que l'interface est bleu et non rouge comme avant. 



Je donne le lien du forum si jamais ça peut venir en aide à l'autre personne qui à un problème avec ' 0i763f66bz.exe '. 

https://www.trendmicro.com/fr_fr/business.html


Edit: Windows Update remarche.

g3n-h@ckm@n · Answer

fais quand meme cet avenger-là

Lyacos · Answer

Voici ce que dis avenger.txt

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.1 (build 7601, Service Pack 1)
Thu Jul 12 03:24:32 2012

03:24:21: Error: Invalid registry syntax in command:
"HKCR\CLSID\{0E5CBF21-D15F-11D0-8301-00AA005B4383}"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  


//////////////////////////////////////////



Et c'est tout.

Par contre bien que Windows Update remarche, je peux faire des recherches, j'ai des mises à jour à faire et au moment de les installer j'ai une erreur ' erreur 80246008 '.

J'ai fait une recherche et je voulais faire ce qu'il y à ici:
https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

Mais je n'ai pas ' Service de transfert intelligent en arrière plan (BITS) '. Je suppose que c'est l'oeuvre du rootkit quand il était encore la. Je vais devoir le réparer je suppose Windows Update ? Mais comment ?

g3n-h@ckm@n · Answer

retelecharge pre_scan et relance-le

Lyacos · Answer

https://pjjoint.malekal.com/files.php?id=20120712_8j10f5t6g14

g3n-h@ckm@n · Answer

bah tu l'as pas retelechargé....

Lyacos · Answer

Je pensais que tu m'avais dit de le redl uniquement car il aurait pu être mis en quarantaine ou effacer avec ma protection, ce qui n'était pas le cas donc je l'ai repris. 

Donc j'ai redl de nouveau pre_scan (va pas me dire que c'est pas bon maintenant lol) :  

https://pjjoint.malekal.com/files.php?id=20120712_y11w77b10p12

g3n-h@ckm@n · Answer

bah commme on dit chez nous , y'a pas à tortiller du c*l pour chi*r droit , y'a un truc qui bloque ... donc , le probleme reste entier....

Lyacos · Answer

J'aimerais que nous testions un truc si tu veux bien. Donc tu fais:


"Exécuter regedit 
Exporter la clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS (clic droit sur la clé BITS - Exporter) 
Sauvegarder le fichier *.reg créé (donnez-lui le nom que vous voulez) sur une clé USB. 
Quitter regedit" 


A la place du la clé USB tu me l'up. 

Je veux faire ce qui est dit ici: https://answers.microsoft.com/fr-fr/windows/forum/windows_7-windows_update/le-bits-service-de-transfert-intelligent-en/3afa1414-cf7e-443f-8f92-eb08fcaeb730

g3n-h@ckm@n · Answer

A la place du la clé USB tu me l'up.   

pas compris ca  

edit::

ah oui ok

je ne pense pas que ca reglera le probleme..
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyacos · Answer

Tu me l'upload sur un hébergeur et tu me donne le lien.

g3n-h@ckm@n · Answer

mmm...je sais pas si en 32 bits les valeurs sont les memes.....

Lyacos · Answer

Ah d'accord :S, dans ce je ferais mieux d'attendre que mon pote se co ? Il est en 64 bits.

g3n-h@ckm@n · Answer

je dirais oui pour plus de securité...

Lyacos · Answer

Ok alors je te tiens au courant dans la journée.

Lyacos · Answer

- Service de transfert intelligent en arrière plan (BITS) est de nouveau présent dans services.

- Windows Update opérationnel à 100%, j'ai fais les mises à jour de juillet.

- Je peux si je le veux maintenant avec le CD de Seven formater.


La conclusion c'est que je suis entièrement désinfecter ?

g3n-h@ckm@n · Answer

refais un avenger sans la clé qui ne fonctionne pas dessus , à savoir :

Drivers to disable:
51b01db6ac10f3ff
7492
82b1d161dd12a77a
8f15

Drivers to Delete:
51b01db6ac10f3ff
7492
82b1d161dd12a77a
8f15

Files to Delete:
C:\Windows\System32\Drivers\51b01db6ac10f3ff.sys

Registry keys to delete:
HKLM\System\CurrentControlSet\Services\51b01db6ac10f3ff
HKLM\System\ControlSet001\Services\51b01db6ac10f3ff
HKLM\System\ControlSet002\Services\51b01db6ac10f3ff
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\System\CurrentControlSet\Services\7492
HKLM\System\ControlSet001\Services\7492
HKLM\System\ControlSet002\Services\7492
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_7492
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492
HKLM\System\CurrentControlSet\Services\82b1d161dd12a77a
HKLM\System\ControlSet001\Services\82b1d161dd12a77a
HKLM\System\ControlSet002\Services\82b1d161dd12a77a
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_82b1d161dd12a77a
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a
HKLM\System\CurrentControlSet\Services\8f15
HKLM\System\ControlSet001\Services\8f15
HKLM\System\ControlSet002\Services\8f15
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_8f15
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15

Lyacos · Answer

Voila ce qu'il dit:

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.1 (build 7601, Service Pack 1)
Thu Jul 12 03:24:32 2012

03:24:21: Error: Invalid registry syntax in command:
"HKCR\CLSID\{0E5CBF21-D15F-11D0-8301-00AA005B4383}"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line.  (Registry key deletion mode)  


//////////////////////////////////////////

g3n-h@ckm@n · Answer

impossible cette clé n'y est plus dans ce que je viens de te donner

Lyacos · Answer

Regarde déjà la date du rapport, 3h24 du matin pourtant c'est ce qui ma donner au redémarrage ta l'heure.  

J'ai fait un scan avec GMER et voila le rapport:  

"GMER 1.0.15.15641 - http://www.gmer.net  
Rootkit scan 2012-07-12 15:50:19  
Windows 6.1.7601 Service Pack 1   
Running: il3t7mpl.exe  


---- Files - GMER 1.0.15 ----  

File  C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS00EA1.log  1048576 bytes  

---- EOF - GMER 1.0.15 ----"  


Verdict ?

g3n-h@ckm@n · Answer

le rapport est bien court..;elle estaient toutes cochées les cases ? 

=== 

réouvre gMer onglet registry et va controler si tu voies ces clés : 

HKLM\System\CurrentControlSet\Services\51b01db6ac10f3ff 
HKLM\System\ControlSet001\Services\51b01db6ac10f3ff 
HKLM\System\ControlSet002\Services\51b01db6ac10f3ff 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_51b01db6ac10f3ff 
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff 
HKLM\System\CurrentControlSet\Services\7492 
HKLM\System\ControlSet001\Services\7492 
HKLM\System\ControlSet002\Services\7492 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_7492 
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492 
HKLM\System\CurrentControlSet\Services\82b1d161dd12a77a 
HKLM\System\ControlSet001\Services\82b1d161dd12a77a 
HKLM\System\ControlSet002\Services\82b1d161dd12a77a 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_82b1d161dd12a77a 
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a 
HKLM\System\CurrentControlSet\Services\8f15 
HKLM\System\ControlSet001\Services\8f15 
HKLM\System\ControlSet002\Services\8f15 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_8f15 
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyacos · Answer

Dans HKEY_LOCAL_MACHINE dans registry de GMER:


HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15


HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a 
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15



Aucun ' HKLM\System\ControlSet001 '.

g3n-h@ckm@n · Answer

oui exact autant pour moi j'ai pris toute la floppée dans le copier/coller


clique sur l'onglet CMD

colle ca en haut :

gmer -del reg HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff
gmer -del reg HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492
gmer -del reg HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a
gmer -del reg HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15
gmer -del reg HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff
gmer -del reg HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492
gmer -del reg HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a
gmer -del reg HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15

puis clique sur Run

Lyacos · Answer

Voici le log: 


'gmer' n'est pas reconnu en tant que commande interne 
ou externe, un programme ex'cutable ou un fichier de commandes. 
'gmer' n'est pas reconnu en tant que commande interne 
ou externe, un programme ex'cutable ou un fichier de commandes. 
'gmer' n'est pas reconnu en tant que commande interne 
ou externe, un programme ex'cutable ou un fichier de commandes. 
'gmer' n'est pas reconnu en tant que commande interne 
ou externe, un programme ex'cutable ou un fichier de commandes. 
'gmer' n'est pas reconnu en tant que commande interne 
ou externe, un programme ex'cutable ou un fichier de commandes. 
'gmer' n'est pas reconnu en tant que commande interne 
ou externe, un programme ex'cutable ou un fichier de commandes. 
'gmer' n'est pas reconnu en tant que commande interne 
ou externe, un programme ex'cutable ou un fichier de commandes. 
'gmer' n'est pas reconnu en tant que commande interne 
ou externe, un programme ex'cutable ou un fichier de commandes. 


Ta du faire un erreur de commande.


Faut que je remplace HKLM par HKEY_LOCAL_MACHINE j'imagine ?

g3n-h@ckm@n · Answer

mets ca a coté de gmer et lance-le clic ddroit "executer en tant qu....."

http://www.archive-host.com 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyacos · Answer

J'ai pas l'impression que ça fait quelque chose hormis de la boucle.


http://nsa29.casimages.com/img/2012/07/12/120712052637332684.jpg

g3n-h@ckm@n · Answer

ca , ca veut dire que gmer arrive pas à faire sauter les clés.....

selectionne ca :

Key::
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15] 

relance un script avec pre_scan

Lyacos · Answer

Rapport:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.712 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Lyacos : Windows 7 Professional (64 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 17:40:27

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Suppression registre

Clé supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff
Clé supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492
Clé supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a
Clé supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15
Clé supprimée : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff
Clé supprimée : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492
Clé supprimée : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a
Clé supprimée : HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15

¤


Fin : 17:40:27

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤



J'ai quand même fait une vérification pour un seul truc dans GMER pour vite voir si c'est vrai et malheureusement c'est non.

http://nsa30.casimages.com/img/2012/07/12/120712060136986099.jpg

g3n-h@ckm@n · Answer

bah alors y a un truc qui le refout parce que sinon pre_scan aurait dit :

Non Supprimée : HKLM\...etc...

Lyacos · Answer

Et donc je fais quoi maintenant ?


Techniquement pour moi il n'est plus actif car:


- Antivirus/parfeu qui est installé et qui fonctionne
- Mon antivirus/parfeu ne s'affole pas
- Windows Update marche
- Je peux formater
- 0i763f66bz.exe n'est plus dans ' c:\users\Lyacos\ '
- 51b01db6ac10f3ff.sys n'est plus dans ' c:\windows\System32\Drivers\ '


Pour moi ce qui reste ce sont des traces résiduelles sans aucune conséquence (enfin je le pense car je ne suis pas un connaisseur).

Si je supprime à la main ça irait ?

g3n-h@ckm@n · Answer

t'y arriveras pas

Lyacos · Answer

Et je fais quoi maintenant ?

g3n-h@ckm@n · Answer

tente de relancer tdsskiller voir

Lyacos · Answer

TDSSKiller trouve rien.

Je refais avec ' Verifiy file digital signatures ' et ' Detect TDLFS file system ' cette fois ?

g3n-h@ckm@n · Answer

non ca sert à rien..

ben je pense qu on peut faire le menage

sinon essaie de voir en rentrant dans le registre et en modifiant les autorisations sur les clés clic droit sur les clés => autorisation tu mets pour tout le monde tout coché , puis tu tentes de les supprimer

attention uniquement ces clés citées plus haut le reste ne doit pas etre modifié

Lyacos · Answer

Avant de faire ce que tu as dit je me suis rendu compte que GMER ne mettait pas tout du registre en allant dans le vrai registre avec regedit. 

Finalement j'ai: 


HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_51b01db6ac10f3ff  
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_7492 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_82b1d161dd12a77a 
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_8f15


Je reprends les trucs d'avant et je rajoute sa dans le script et je refais un coup de pre_scan ?

g3n-h@ckm@n · Answer

ouaip tente le coup ca mange pas de pain....

Lyacos · Answer

Ben ça ne marche pas.

Si je tente une réparation à partir du CD de Windows tu crois que ça va partir ?

Si j'envisage un formatage c'est clés disparaitront définitivement ?

g3n-h@ckm@n · Answer

si les clés reviennent c'est qu il y a encore un truc....mais quoi ?

Lyacos · Answer

Ben je sais pas, c'est à toi de me dire ^^ 

J'ai essayé de chercher des solutions et des logiciels pour supprimer les clés en question mais rien ne marche. 


C'est pour sa que je demande si avec un formatage les clés seront bien effacés ou elles bloqueront le formatage et je serais avec une partition foutu car le formatage ne sera pas complet ?

g3n-h@ckm@n · Answer

ca pour formater y a toujours moyen....

je me dis peut etre avec un live cd...

Lyacos · Answer

Mais avec le CD de Windows (sachant que je peux formater) aucun risque que les clés en question bloque le processus ? 

Si y'à le moindre risque je me fais un iso de Ubuntu voir Gparted et je fais ce qui faut.

Sinon j'ai informé des avancés au support de Trend Micro et où je bloque, on sait jamais.

g3n-h@ckm@n · Answer

non en fait je pensais à un live cd pour supprimer les clés pour l instant pas pour formater ^^

Lyacos · Answer

Explique moi la démarche à suivre dans ce cas car moi quand j'use un live CD (ce qui est rare) c'est direct pour le formatage lol.  

Donc je ne sais pas comment à partir d'un live CD on peut effacer des clés qui sont sur une partition.

Lyacos · Answer

Problème résolu avec la disparition des clés restantes avec une maj de RogueKiller.

Virus 0i763f66bz.exe

114 réponses

Discussions similaires