Virus / Trojan Sirefef
Résolu
vermich89
Messages postés
75
Statut
Membre
-
vermich89 Messages postés 75 Statut Membre -
vermich89 Messages postés 75 Statut Membre -
Bonsoir à toutes et a tous,
En cette heure tardive j'aurais besoin d'aide pour résoudre un problème de virus. Après avoir réinstallé un antivirus et anti-malware j'ai reçu divers messages me signalant la présence d'un virus sur mon pc. Malgré les alertes de Avira il m'étais impossible de supprimer ce dernier.
Aujourd'hui j'ai décidé de changer et passer sur Microsoft Security pour essayer de vacciner mon pc et ce dernier m'a signalé la présence de 6 infections toutes sur la base du virus Sirefef.
Le problème et que même si avant rien de semblait être endommager, Microsoft Security semble avoir aggravé les choses et mon pc se retrouve a redémarrer toutes les 5 à 10 minutes indiquant une erreur grave de Windows.
Si j'essaye de vacciner les fichiers infectés il arrive la même chose mais dans la seconde.
C'est la première fois que j'ai un virus aussi virulent ( la plupart du temps un changement d'heure du pc me permettais de gagner du temps sur les virus éteignant le pc mais la rien a faire)
J'aurais en tant normal reformé le pc sans me posé de question mais je n'ai pas sur moi les cd Windows.
J'ai du aujourd'hui lancer une réparation système pour allumé mon pc et cela semble avoir stoppé le cycle de redémarrage mais je me doute que le virus est encore la (MSI le signale d'ailleurs)
J'en arrive donc a vous demander de l'aide. J'ai vu que je n'étais pas le seul dans ce cas mais je n'ai trouver aucune solution miracle ni aucun patch mais plutôt des topics personnalisés avec postage de rapport donc j'en ouvre un moi-même.
Je vous remercie d'avance
Romain
En cette heure tardive j'aurais besoin d'aide pour résoudre un problème de virus. Après avoir réinstallé un antivirus et anti-malware j'ai reçu divers messages me signalant la présence d'un virus sur mon pc. Malgré les alertes de Avira il m'étais impossible de supprimer ce dernier.
Aujourd'hui j'ai décidé de changer et passer sur Microsoft Security pour essayer de vacciner mon pc et ce dernier m'a signalé la présence de 6 infections toutes sur la base du virus Sirefef.
Le problème et que même si avant rien de semblait être endommager, Microsoft Security semble avoir aggravé les choses et mon pc se retrouve a redémarrer toutes les 5 à 10 minutes indiquant une erreur grave de Windows.
Si j'essaye de vacciner les fichiers infectés il arrive la même chose mais dans la seconde.
C'est la première fois que j'ai un virus aussi virulent ( la plupart du temps un changement d'heure du pc me permettais de gagner du temps sur les virus éteignant le pc mais la rien a faire)
J'aurais en tant normal reformé le pc sans me posé de question mais je n'ai pas sur moi les cd Windows.
J'ai du aujourd'hui lancer une réparation système pour allumé mon pc et cela semble avoir stoppé le cycle de redémarrage mais je me doute que le virus est encore la (MSI le signale d'ailleurs)
J'en arrive donc a vous demander de l'aide. J'ai vu que je n'étais pas le seul dans ce cas mais je n'ai trouver aucune solution miracle ni aucun patch mais plutôt des topics personnalisés avec postage de rapport donc j'en ouvre un moi-même.
Je vous remercie d'avance
Romain
A voir également:
- Virus / Trojan Sirefef
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Faux message virus iphone ✓ - Forum Virus
- Undisclosed-recipients virus - Guide
15 réponses
Tu peux faire ce qui suit.
* Télécharger sur le bureau
https://www.luanagames.com/index.fr.html
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
* Télécharger sur le bureau
https://www.luanagames.com/index.fr.html
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
Bonsoir
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\
* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : Tuto Combofix
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\
* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : Tuto Combofix
Merci pour ta réponse rapide et désolé pour l'attente mais tout ne s'est pas passé comme prévus
Les 2 premières tentatives d'installation se sont terminé après des messages d'erreur et l'écran bleu n'est jamais apparu.
J'ai décidé de redémarré le pc et la l'installation s'est mieux passée: elle a redémarrer le pc puis avant que le bureau ne réapparaisse combofix s'est réinstallé sans problème et a lancé le scan
problème: aucune demande d'installation de console de réparation ne m'a était faite et le redémarrage du pc à relancé l'antivirus et anti-malware juste avant le scan
le rapport est par contre bien sorti:
https://pjjoint.malekal.com/files.php?id=20120821_p10k12u8h6y8
Les 2 premières tentatives d'installation se sont terminé après des messages d'erreur et l'écran bleu n'est jamais apparu.
J'ai décidé de redémarré le pc et la l'installation s'est mieux passée: elle a redémarrer le pc puis avant que le bureau ne réapparaisse combofix s'est réinstallé sans problème et a lancé le scan
problème: aucune demande d'installation de console de réparation ne m'a était faite et le redémarrage du pc à relancé l'antivirus et anti-malware juste avant le scan
le rapport est par contre bien sorti:
https://pjjoint.malekal.com/files.php?id=20120821_p10k12u8h6y8
Tu été infecté par zaccess.
Ce type d' infections a lieu suite à des publicités malicieuses (Malvertising) sur les sites de streaming.
Ces publicités malicieuses conduisent à des exploits sur des sites Internet pour infecter les visiteurs.
Les visiteurs qui ont des logiciels non à jour (Adobe Reader/Flash, Java) peuvent donc se faire infecter de manière automatique, ces logiciels non à jour sont des portes d'entrées pour infecter l'ordinateur.
D'où l'importance de maintenir à jour ses logiciels.
Definition du mots exploits===> En informatique un exploit est un programme, ou un "objet piégé" (par exemple une image dans certains cas) qui permet d'exploiter une faille d'un programme ou d'un système d'exploitation.
=======================================
* Télécharge et installe : Malwarebyte's Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Ce type d' infections a lieu suite à des publicités malicieuses (Malvertising) sur les sites de streaming.
Ces publicités malicieuses conduisent à des exploits sur des sites Internet pour infecter les visiteurs.
Les visiteurs qui ont des logiciels non à jour (Adobe Reader/Flash, Java) peuvent donc se faire infecter de manière automatique, ces logiciels non à jour sont des portes d'entrées pour infecter l'ordinateur.
D'où l'importance de maintenir à jour ses logiciels.
Definition du mots exploits===> En informatique un exploit est un programme, ou un "objet piégé" (par exemple une image dans certains cas) qui permet d'exploiter une faille d'un programme ou d'un système d'exploitation.
=======================================
* Télécharge et installe : Malwarebyte's Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci, voici le rapport de MBAM:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Version de la base de données: v2012.08.21.07
Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Vermich :: MASTER [administrateur]
21/08/2012 12:18:21
mbam-log-2012-08-21 (12-18-21).txt
Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 338987
Temps écoulé: 1 heure(s), 20 minute(s), 33 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 5
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\00000004.@.vir (Rootkit.Zaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\00000008.@.vir (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\000000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\80000000.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\80000032.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
(fin)
Je vais vérifier que le virus est bien supprimé, et si c'est bon je mets le sujet en résolu.
Merci pour ton temps.
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Version de la base de données: v2012.08.21.07
Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Vermich :: MASTER [administrateur]
21/08/2012 12:18:21
mbam-log-2012-08-21 (12-18-21).txt
Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 338987
Temps écoulé: 1 heure(s), 20 minute(s), 33 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 5
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\00000004.@.vir (Rootkit.Zaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\00000008.@.vir (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\000000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\80000000.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\80000032.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
(fin)
Je vais vérifier que le virus est bien supprimé, et si c'est bon je mets le sujet en résolu.
Merci pour ton temps.
j'ai repassé un coup d'antivirus MSI et il me ressort la présence de win32/Sirefef.R
Je le signale avant d'essayer de le désinfecter au cas ou cela relancerai les redémarrages systèmes.
edit: La désinfection m'a affiché un message d'erreur me signalant que l'action ne pouvait être réalisé, mais le rapport semble indiquer le contraire.
Je ne peux plus mettre a niveau les "définitions de virus et logiciel espions"
je vais relancé un scan MSI pour voir si les fichiers infectés sont partis.
Je le signale avant d'essayer de le désinfecter au cas ou cela relancerai les redémarrages systèmes.
edit: La désinfection m'a affiché un message d'erreur me signalant que l'action ne pouvait être réalisé, mais le rapport semble indiquer le contraire.
Je ne peux plus mettre a niveau les "définitions de virus et logiciel espions"
je vais relancé un scan MSI pour voir si les fichiers infectés sont partis.
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vermich [Droits d'admin]
Mode: Recherche -- Date: 21/08/2012 20:09:18
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : c:\windows\installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> FOUND
[ZeroAccess][FILE] @ : c:\users\vermich\appdata\local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\vermich\appdata\local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\vermich\appdata\local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> FOUND
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] afd9e6b96496273bf0d3e6bc62d8a7f6
[BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vermich [Droits d'admin]
Mode: Recherche -- Date: 21/08/2012 20:09:18
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : c:\windows\installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> FOUND
[ZeroAccess][FILE] @ : c:\users\vermich\appdata\local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\vermich\appdata\local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\vermich\appdata\local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> FOUND
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] afd9e6b96496273bf0d3e6bc62d8a7f6
[BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Slt Tigzy
@vermich89
Tu n'as pas téléchargé la dernière version de Roguekiller.
Je te remets le lien.
https://www.luanagames.com/index.fr.html
Penses a poster le rapport.....
Tigzy tu peux intervenir quand tu veux.
@vermich89
Tu n'as pas téléchargé la dernière version de Roguekiller.
Je te remets le lien.
https://www.luanagames.com/index.fr.html
Penses a poster le rapport.....
Tigzy tu peux intervenir quand tu veux.
Salut
Autant pour moi, je croyais que c'étais un version plus récente.
voila le rapport :
RogueKiller V8.0.0 [21/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Vermich [Droits d'admin]
Mode : Recherche -- Date : 22/08/2012 19:07:56
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 6 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] afd9e6b96496273bf0d3e6bc62d8a7f6
[BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Autant pour moi, je croyais que c'étais un version plus récente.
voila le rapport :
RogueKiller V8.0.0 [21/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Vermich [Droits d'admin]
Mode : Recherche -- Date : 22/08/2012 19:07:56
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 6 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] afd9e6b96496273bf0d3e6bc62d8a7f6
[BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
* ReLancer RogueKiller.exe. V8.0.0
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
Tigzy si tu passes dans le coin pourrais tu m'expliquer pourquoi combofix supprimes zaccess et il se retrouves avec l'infection.?
Je penses a une réinfection?
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
Tigzy si tu passes dans le coin pourrais tu m'expliquer pourquoi combofix supprimes zaccess et il se retrouves avec l'infection.?
Je penses a une réinfection?
Nouveau rapport, je crois qu'il est encore là.
RogueKiller V8.0.0 [21/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Vermich [Droits d'admin]
Mode : Suppression -- Date : 22/08/2012 23:16:47
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 6 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> REMPLACÉ (1)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> REMOVED
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> REMOVED
[ZeroAccess][FILE] @ : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\@ --> REMOVED
[ZeroAccess][FOLDER] ROOT : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> REMOVED
[ZeroAccess][FOLDER] ROOT : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> REMOVED
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] afd9e6b96496273bf0d3e6bc62d8a7f6
[BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WD My Passport 0730 USB Device +++++
--- User ---
[MBR] 1b9620e04f5601b4fc1269ee9139b6cd
[BSP] cadf22e4ca0b4188ae4617bc2f032600 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953836 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
RogueKiller V8.0.0 [21/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Vermich [Droits d'admin]
Mode : Suppression -- Date : 22/08/2012 23:16:47
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 6 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> REMPLACÉ (1)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> REMOVED
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> REMOVED
[ZeroAccess][FILE] @ : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\@ --> REMOVED
[ZeroAccess][FOLDER] ROOT : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> REMOVED
[ZeroAccess][FOLDER] ROOT : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> REMOVED
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] afd9e6b96496273bf0d3e6bc62d8a7f6
[BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WD My Passport 0730 USB Device +++++
--- User ---
[MBR] 1b9620e04f5601b4fc1269ee9139b6cd
[BSP] cadf22e4ca0b4188ae4617bc2f032600 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953836 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
Ca semble être bon. j'ai refait un scan roguekiller et il ne me ressort pas de zaccess. ( il me repropose de supprimer des fichiers par contre, est-ce important de le faire ?)
J'attend ton avis, et si tu as des conseils pour ne pas que zaccess reapparaisse.
Sinon encore un grand merci de m'avoir consacré de ton temps
J'attend ton avis, et si tu as des conseils pour ne pas que zaccess reapparaisse.
Sinon encore un grand merci de m'avoir consacré de ton temps
RogueKiller V8.0.0 [21/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Vermich [Droits d'admin]
Mode : Recherche -- Date : 23/08/2012 12:50:55
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] afd9e6b96496273bf0d3e6bc62d8a7f6
[BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WD My Passport 0730 USB Device +++++
--- User ---
[MBR] 1b9620e04f5601b4fc1269ee9139b6cd
[BSP] cadf22e4ca0b4188ae4617bc2f032600 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953836 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Vermich [Droits d'admin]
Mode : Recherche -- Date : 23/08/2012 12:50:55
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] afd9e6b96496273bf0d3e6bc62d8a7f6
[BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WD My Passport 0730 USB Device +++++
--- User ---
[MBR] 1b9620e04f5601b4fc1269ee9139b6cd
[BSP] cadf22e4ca0b4188ae4617bc2f032600 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953836 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
