Rapport

Question

Bonjour, Configuration: Windows XP / Firefox 14.0.1 Voilà le rapport roguekiller: RogueKiller V7.6.6 [10/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Sylvie [Droits d'admin] Mode: Suppression -- Date: 11/08/2012 18:34:55 ¤¤¤ Processus malicieux: 2 ¤¤¤ [ZeroAccess] n -- c:\windows\system32\n -> UNLOADED [ZeroAccess] n -- c:\windows\system32\n -> UNLOADED ¤¤¤ Entrees de registre: 7 ¤¤¤ [ZeroAccess] HKCR\[...]\InprocServer32 : (\.\globalroot\systemroot\Installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n.) -> REPLACED (c:\windows\system32\wbem\wbemess.dll) [ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Documents and Settings\Sylvie\Local Settings\Application Data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n.) -> REPLACED (c:\windows\system32\shell32.dll) [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n --> REMOVED AT REBOOT [ZeroAccess][FILE] @ : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\@ --> REMOVED AT REBOOT [Del.Parent][FILE] 00000001.@ : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U\00000001.@ --> REMOVED [Del.Parent][FILE] 80000000.@ : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U\80000000.@ --> REMOVED [Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U\800000cb.@ --> REMOVED [ZeroAccess][FOLDER] U : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U --> REMOVED [ZeroAccess][FOLDER] L : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\L --> REMOVED [ZeroAccess][FILE] n : c:\documents and settings\sylvie\local settings\application data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n --> REMOVED [ZeroAccess][FILE] @ : c:\documents and settings\sylvie\local settings\application data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\@ --> REMOVED [ZeroAccess][FOLDER] U : c:\documents and settings\sylvie\local settings\application data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U --> REMOVED [ZeroAccess][FOLDER] L : c:\documents and settings\sylvie\local settings\application data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\L --> REMOVED ¤¤¤ Driver: [CHARGE] ¤¤¤ SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xF7EF1F76) SSDT[53] : NtCreateThread @ 0x805860C0 -> HOOKED (Unknown @ 0xF7EF1F6C) SSDT[63] : NtDeleteKey @ 0x8059A5CD -> HOOKED (Unknown @ 0xF7EF1F7B) SSDT[65] : NtDeleteValueKey @ 0x805991EC -> HOOKED (Unknown @ 0xF7EF1F85) SSDT[98] : NtLoadKey @ 0x805D608D -> HOOKED (Unknown @ 0xF7EF1F8A) SSDT[122] : NtOpenProcess @ 0x8057BB80 -> HOOKED (Unknown @ 0xF7EF1F58) SSDT[128] : NtOpenThread @ 0x80596A0F -> HOOKED (Unknown @ 0xF7EF1F5D) SSDT[193] : NtReplaceKey @ 0x806570B6 -> HOOKED (Unknown @ 0xF7EF1F94) SSDT[204] : NtRestoreKey @ 0x80656C4D -> HOOKED (Unknown @ 0xF7EF1F8F) SSDT[247] : NtSetValueKey @ 0x8057B4EF -> HOOKED (Unknown @ 0xF7EF1F80) ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1001namen.com 127.0.0.1 1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Maxtor 6L200P0 +++++ --- User --- [MBR] 849ba9829e81f33e456436d766b5aa37 [BSP] 2aab77516992ba936b50f51cc7e5ed74 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194466 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

g3n-h@ckm@n · Answer

salut

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

syl75 · Answer

Bonjour et merci pour ta première réponse. Le rapport du pre-scan est visible ici http://pjjoint.malekal.com/files.php?id=20120813_s10n9h6v1010.
par après avoir suivi les instructions j'ai perdu tous mes paramètres de connexion, mails et préférences affichage sur ces derniers je peux intervenir mais qui ne sont pas pris en compte (ou enregistrés) par le système.

g3n-h@ckm@n · Answer

t'avais pas desactivé antivir avant de lancer l outil....  

edit 

je peux savoir ou tu as telechargé cette version ? 

edit2:: j'ai compris

fais une restauration systeme avant son utilisation , supprime-le retelecharge-le et repasse-le
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

syl75 · Answer

euh...j'ai pas de point de restauration (je l'avais désactivé pour un autre problème). Une autre solution?
Parce qu'en plus là si je veux ne serait-ce que re paramétrer mes préférences d'affichage xp ne le retiens pas et de toute façon n'en prends même pas certaines en compte. par contre j'ai gardé tous mes fichier et tous mes dossiers sur le bureau.

syl75 · Answer

ah et je l'ai téléchargé en suivant le lien donné dans ton premier message..

g3n-h@ckm@n · Answer

je comptais sur la restauration pour regler le souci va falloir ruser.

sais-tu afficher les extensions de fichiers ?

syl75 · Answer

tu veux dire dans les préférence d'affichage des dossiers décocher "masquer les extension de fichier connus" ou u truc ds le genre?
si c'est ça oui je peux le faire alors rusons rusons, mais là je suis au boulot donc j'officierais ce soir sur mon poste mais j'ai perdu du coup ma connexion internet alors lâche toi et dis moi tout ce que je vais pouvoir essayer, que je puisse me préparer pour ce soir et éventuellement télécharger des programmes du bureau.

g3n-h@ckm@n · Answer

non je t'explique le prog a eu un petit moment un beug et supprimait le fichier qui contient toutes les données de sessions , cependant , il est dans la quarantaine

donc :

aller dans c:\pre_scan\quarantine\ et retirer l'extension ".P_S" au fichier NTUSER.DAT.P_S

une fois ceci fait , mettre le fichier NTUSER.DAT (ou en minuscule , ca change rien) dans c:\users	a session
tuser.dat

redemarrer le pc , ta session devrait revenir comme avant

syl75 · Answer

Ah super, juste ce fichier là? parce que oui j'ai vu dans le rapport qu'il m'avait mis en quarantaine pas mal de fichier système; une dernière chose comme je le restaure ou plutôt où le met-je :-)
Merci beaucoup pour ton aide en tout cas, j'espère tout récupérer ce soir (je suis perdue sans internet et j'avais pas envie de tout paramétrer pour rien en plus.
Et qu'en est-il du virus après la lecture du rapport?

g3n-h@ckm@n · Answer

ou plutôt où le met-je :-) 

??? ben je te l explique juste au desssus ;........

syl75 · Answer

Ah oui j'ai lu trop vite; Merci beaucoup pour ton aide. je te tiens au courant demain.
Côté virus tout est parti?

g3n-h@ckm@n · Answer

non

syl75 · Answer

Quel est la suite à donner alors pour éradiquer pleinement le virus?

g3n-h@ckm@n · Answer

j'aimerais deja savoir si tu as retrouvé ta session normale

syl75 · Answer

oh, ça je ne pourrai le savoir que ce soir après le boulot. c'est pourquoi je voulais "engranger" un max de procédure au cas où je n'ai toujours pas d'accès internet..

g3n-h@ckm@n · Answer

seule ta reponse me dira quoi t'indiquer

syl75 · Answer

Je ne peux pas faire la manip quand je suis dans la session ni quand je démarre sur une autre session. L'accès est refusé ou j'ai un message qui me dit que le fichier est en cours d'utilisation et que je ne peux pas le remplacer.

g3n-h@ckm@n · Answer

explique moi exactement ce que tu essaies de faire ca me semblepasce que je demande

syl75 · Answer

Ben après avoir enlevé l'extension a".P_S" au fichier NTUSER.DAT.P_S

j'ai essayé de mettre le fichier NTUSER.DAT dans c:\users	a session
tuser.dat, le remplacer en fait puisqu'il y en à déjà un. le système ne peut pas l'écraser puisqu'il est en fonction et si je bascule sur une autre session en ayant fermée celle-ci je n'ai pas les droit (même avec une session administrateur).

g3n-h@ckm@n · Answer

ah ouais mais s il est present c'est bon...c'est que tu es demarré dessus sur la session....

syl75 · Answer

Sur un mais vide puisque j'ai encore mes fichiers mais pas mes paramètres d'affichages, de connexion internet etc. et LE problème est que si j'essaye de rétablir mes paramètres le système ne les prends pas en compte (par exemple aussi bête que les raccourcis dans le menu démarrer ou le rangement des dossiers de mon bureau).

g3n-h@ckm@n · Answer

y'a bien ecrit ton nom d'utilsateur quand tu ouvres ton  menu demarrer ?

syl75 · Answer

Oui bien sûr. C'est juste que le système me refuse la modification du répertoire, peut être est-ce le virus qui bloque.

g3n-h@ckm@n · Answer

supprime pre_scan retelecharge-le relance l'option kill , fournis le nouveau rapport stp

Rapport - Page 2

Discussions similaires

Newsletters