Virus live platinum
barbakanon
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour, Mon ordinateur s'est fait récemment infecté par un faux antivirus appelé live platinum, je ne peux que le lancer en mode sans echec pour en tirer quelque chose, mon antivirus (antivir) lancé en mode sans echec ne m'en a pas débarassé, j'ai lancé rogue killer, fait scan puis suppression, voici mon rapport de scan ma question est que dois je faire maintenant ? Le virus est t'il définitivement parti ? Merci d'avance
RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Tancrede [Droits d'admin]
Mode: Suppression -- Date: 02/08/2012 19:54:08
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 9 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Badoo Desktop (C:\ProgramData\Badoo\Badoo Desktop\1.6.38.1042\Badoo.Desktop.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : cttutend (rundll32 "C:\Windows\resmInit.dll",CreateProcessNotify) -> DELETED
[SUSP PATH] HKCU\[...]\Run : RMAcsort (rundll32 "C:\Windows\resmInit64.dll",CreateProcessNotify) -> DELETED
[SUSP PATH] HKCU\[...]\RunOnce : 0C1CFB13F70FCB9602E9D2974F147CE7 (C:\ProgramData\0C1CFB13F70FCB9602E9D2974F147CE7\0C1CFB13F70FCB9602E9D2974F147CE7.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Winlogon : Shell (C:\Users\Tancrede\AppData\Local\cc7aedf0\X) -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Tancrede\AppData\Local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\users\tancrede\appdata\local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\@ --> REMOVED
[Del.Parent][FILE] 00000001.@ : c:\users\tancrede\appdata\local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\U\00000001.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\tancrede\appdata\local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\tancrede\appdata\local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\L --> REMOVED
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD5000BEVT-22A0RT0 +++++
--- User ---
[MBR] 74bac16369f9c98bb1e41198fd66b3d1
[BSP] 50bab5fd567b4150c1d186eadb2915e1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 24782848 | Size: 464838 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: Generic- Multi-Card USB Device +++++
--- User ---
[MBR] fa6d13ad7179118f4fed64408274dacd
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 135 | Size: 1884 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Tancrede [Droits d'admin]
Mode: Suppression -- Date: 02/08/2012 19:54:08
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 9 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Badoo Desktop (C:\ProgramData\Badoo\Badoo Desktop\1.6.38.1042\Badoo.Desktop.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : cttutend (rundll32 "C:\Windows\resmInit.dll",CreateProcessNotify) -> DELETED
[SUSP PATH] HKCU\[...]\Run : RMAcsort (rundll32 "C:\Windows\resmInit64.dll",CreateProcessNotify) -> DELETED
[SUSP PATH] HKCU\[...]\RunOnce : 0C1CFB13F70FCB9602E9D2974F147CE7 (C:\ProgramData\0C1CFB13F70FCB9602E9D2974F147CE7\0C1CFB13F70FCB9602E9D2974F147CE7.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Winlogon : Shell (C:\Users\Tancrede\AppData\Local\cc7aedf0\X) -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Tancrede\AppData\Local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\users\tancrede\appdata\local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\@ --> REMOVED
[Del.Parent][FILE] 00000001.@ : c:\users\tancrede\appdata\local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\U\00000001.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\tancrede\appdata\local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\tancrede\appdata\local\{811404bc-43f3-33a1-a35e-47b41cf488ca}\L --> REMOVED
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD5000BEVT-22A0RT0 +++++
--- User ---
[MBR] 74bac16369f9c98bb1e41198fd66b3d1
[BSP] 50bab5fd567b4150c1d186eadb2915e1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 24782848 | Size: 464838 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: Generic- Multi-Card USB Device +++++
--- User ---
[MBR] fa6d13ad7179118f4fed64408274dacd
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 135 | Size: 1884 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
A voir également:
- Virus live platinum
- Windows live mail - Télécharger - Mail
- L'équipe live tv comment ça marche - Accueil - TV & Vidéo
- Virus mcafee - Accueil - Piratage
- Asus live update - Télécharger - Utilitaires
- Windows live photo gallery - Télécharger - Albums photo
1 réponse
salut
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
