Supprimer rootkit : System32\consrv.dll Résolu/Fermé

Question

Bonjour, 
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll 
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!


Configuration: Windows 7 / Chrome 21.0.1180.83

juju666 · Answer

Bonjour,


&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

juju666 · Answer

arf .....

c'est malin t'aurais du me le dire ......

tape cd windows
rstrui.exe

Restaure à une date avant combofix.

g3n-h@ckm@n · Answer

pre_scan_PE restaure la clé winsrv/consrv julien  

edit:: 

pre_scan tout court aussi normalement 
   
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

non ça va rien faire revenir là combofix à bien déraillé et ERUNT a pas fonctionné ....

une idée pasc ou fab ?

g3n-h@ckm@n · Answer

pre_scan_PE

juju666 · Answer

donc ça à faire : https://www.commentcamarche.net/faq/34284-pre-scan-pe-sous-environnement-win-7-live

rafounet87 · Answer

Bonjour, j'ai essayé de lancer le pc sur le cd gravé, au départ ça marche : windows is loading files, puis message d'erreur: Windows has encountered a problem communicating with a device connected to your computer. This error can be caused by unplugging a removable storage device such as an external usb drive while the device is in use, or by faulty hardware such as a hard drive or cdrom drive that is failing. Make shure any removable storage is properly connected and then restart your computer. If you continue to receive this error message, contact the hardware manufacturer. Status 0xc00000e9 .  Info: an unexpected I/O erreur has occured.
Pourtant j'ai bien fait la modif du bios pour démarrer sur le lecteur cd rom mais y a qqch qui bloque...
Je ne pense pas avoir raté une étape ?!
Merci de votre aide !!

juju666 · Answer

une clé usb ou un disque dut externe de connecté ?

chimay8 · Answer

Ca pue...La ruche est niquée et le moindre fichier patché va devoir être retrouvé ailleurs que sur le pc infecté! 
 
--

Utilisateur anonyme · Answer

hello les amis, à part sentir un bon Chimay, ça pu du Max ++ !! GH ou juju : qu'est ce que vous attendez pour lancer l'outil ? P.S : pour les fichiers, on a tout ce qu'il faut (à voir) :P O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø =>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø

Utilisateur anonyme · Answer

RK ou presacn va remettre la valeur de registre, mais pour les fichiers patchés, il faut passer par CF !

si CF détecte une infection sur un fichier patché, ou il l'annonce car il n'a pas trouvé de fichiers sains sur le pc, ou il le ramplace   ;-)

j'avais essayé de désinfecter manuellement, mais il y a déjà pas mal de temps  :P

juju666 · Answer

ben ouais c est max++ car consrv.dll C'EST  max++

g3n-h@ckm@n · Answer

en tout cas y a un truc connecté qui est pourri....

faudrait voir avec la version usb , si ca se trouve c est cdrom.sys qui est patch"....

juju666 · Answer

pas con ...

rafounet87 · Answer

Bonjour,
me revoilà avec mon petit rootkit, 
Suis-je censé faire ce qui est indiqué plus haut http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
et donc télécharger malwarebytes et roguekiller ou ça ne marchera pas ?

Utilisateur anonyme · Answer

bonjour,

on va essayer de le enttoyer, mais ce n'est pas gagné d'avance :


 *	[*] Télécharger et enregistre RogueKiller sur le bureau 
https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

Utilisateur anonyme · Answer

RK l'a choppé :

¤¤¤ Infection : ZeroAccess ¤¤¤ 
[ZeroAccess] sys32\consrv.dll present! 



2 actions à faire avec Roguekiller, et 2 rapports à poster :




[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad



 [*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad

Utilisateur anonyme · Answer

oui, redémarre le pc,

on croise les doigts  :D

Utilisateur anonyme · Answer

ok,

poste le rapport de Roguekiller en suppression, puis lance roguekiller 


[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad

Utilisateur anonyme · Answer

redémarre le pc pour réintialiser le fichier Host


relance roguekiller,


[*] Cliquer sur DNS RAZ. Cliquer sur Rapport et copier coller le contenu du notepad

Utilisateur anonyme · Answer

est ce que tu as encore Combofix sur ton pc ?

Utilisateur anonyme · Answer

ok,

crée un nouveau point de restauration système au cas ou le pc planterais, pour que tu puisses le restaurer !, on ne sait jamais,


*	Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

*  Clique sur [Start Scan] pour démarrer l'analyse. 

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

*  Un rapport s'ouvrira au redémarrage du PC. 

*  Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note : 
 Conserve l'action proposée par défaut par l'outil :

- Si TDSS.tdl2 : l'option Delete sera cochée. 
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D

Utilisateur anonyme · Answer

est ce que tu as créé un nouveau point de restauration système au cas ou ?


si oui ,


&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de Combofix.txt dans ton prochain message.
 


si le pc plante au démarrage, restaure le sur ton pont de restauration, on essayera de nettoyer le registre, puis le fichier infecté manuellement  :D

Utilisateur anonyme · Answer

lis et suis la procédure avec Combofix  :D

on croise les doigts  :D


si le pc plante au démarrage, restaure le sur ton pont de restauration, on essayera de nettoyer le registre, puis le fichier infecté manuellement :D

Utilisateur anonyme · Answer

désisnatalle spybot, il est inutile !


?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

https://toolslib.net


Lance le, 

clique sur rechercher, puis Supprimer et poste son rapport.





j'aimerai voir la réaction du pc, après un redémarrage !


toujours la même condition :

si le pc plante, restaure le !

g3n-h@ckm@n · Answer

ok attendons le rapport adwc tout de même :) ( ca fera moins à scripter) ^^

Utilisateur anonyme · Answer

relance ADWC, clique sur désinstaller,

suis ce que G3n H@kman te propose  :D

je suis le sujet  :D

Utilisateur anonyme · Answer

ton pc n'est pas sorti d'affaire pour le moment !

attends voir ce que G3n te propose  :D

g3n-h@ckm@n · Answer

ok je prends la main un quart d'heure ^^

 Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

https://toolslib.net
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

ok relance Pre_scan , attends son chargement , clique sur Diag , et heberge le rapport qui apparaitra sur le bureau quand il aurafini

il se nomme Pre_Diag_la_date_et_l'heure.txt logiquement

g3n-h@ckm@n · Answer

y'a un truc que je suis pas...

pourquoi antivir n'est-il pas dans les clés de demarrage qui devraient lui etre appropriées ?

g3n-h@ckm@n · Answer

t'as payé PC TOOLS Spyware doctor ????????????????????????????????

g3n-h@ckm@n · Answer

ben tu t'es fait avoir c'est un rogue ^^ 

un conseil surveille bienton compte bancaire
  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

si tu arrives à le desinstaller...

g3n-h@ckm@n · Answer

en tout cas il semblerait que consvr.dll ne soit plus de ce monde......

desinstalle tout Java

g3n-h@ckm@n · Answer

ton java n'est pas à jour => enorme faille de securité propice aux infections du moment ....

g3n-h@ckm@n · Answer

pour l instant vire tout , on verra à la fin

g3n-h@ckm@n · Answer

lol si tu me dis que ton pere s'apelle Tony j'hallucine ^^ ( on sait jamais le monde est tellement petit ^^ )

==

desinstalle adobe reader 9
 
 ==

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BIivhBkDG0Ba

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

g3n-h@ckm@n · Answer

http://cjoint.com/12sp/BIivhBkDG0B.htm

rafounet87 · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0908 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Dupuis Jean Luc : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 21:19:44

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

Service : 68885484  Not actif
Service : 89261094 Not actif
Service : 93892596  Not actif
Service : PCTBD Not actif
Service : PCTOOLSPROTECTINJDRV Not actif
Service : pctEFA  Not actif

Deleted : [HKLM\..\CCS\..\Root\LEGACY_89261094]
Deleted : [HKLM\..\CS001\..\Root\LEGACY_89261094]
Deleted : [HKLM\..\CS002\..\Root\LEGACY_89261094]
Deleted : [HKLM\..\CCS\..\Root\LEGACY_PCTBD]
Deleted : [HKLM\..\CS001\..\Root\LEGACY_PCTBD]
Deleted : [HKLM\..\CS002\..\Root\LEGACY_PCTBD]
Deleted : [HKLM\..\CCS\..\Root\LEGACY_PCTOOLSPROTECTINJDRV]
Deleted : [HKLM\..\CS001\..\Root\LEGACY_PCTOOLSPROTECTINJDRV]
Deleted : [HKLM\..\CS002\..\Root\LEGACY_PCTOOLSPROTECTINJDRV]


¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper
Value Deleted : [HKU\S-1-5-21-3224299066-1294148903-758974097-1000\Software\Microsoft\Internet Explorer\URLSearchHooks]:{472734EA-242A-422b-ADF8-83D1E48CC825}
Value Deleted : [HKU64\S-1-5-21-3224299066-1294148903-758974097-1000\Software\Microsoft\Internet Explorer\URLSearchHooks]:{472734EA-242A-422b-ADF8-83D1E48CC825}
Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{472734EA-242A-422B-ADF8-83D1E48CC825}: PC Tools Browser Guard     
Key Deleted : HKU\S-1-5-21-3224299066-1294148903-758974097-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9376D09D-5E48-4A7F-83F4-2206110F4D73}
Key Deleted : HKU64\S-1-5-21-3224299066-1294148903-758974097-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9376D09D-5E48-4A7F-83F4-2206110F4D73}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08f24d68-9087-4b24-81ad-7b34af3e3ed5}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{15B3FB63-66F4-4EFC-B717-BB283B85E79B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{358E6F10-DE8A-4602-8424-179CA217F8EE}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8E1F80F4-953F-41E7-8460-E64AE5BE4ED3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C6A861C-B233-4994-AFB1-C158EE4FC578}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d42c6214-d496-4393-8f72-f963e0b8752b}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08f24d68-9087-4b24-81ad-7b34af3e3ed5}
Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM64\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{30528230-99F7-4BB4-88D8-FA1D4F56A2AB}
Key Deleted : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{347B0667-C7ED-429B-BDE3-CC8D3BACAA31}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{30528230-99f7-4bb4-88d8-fa1d4f56a2ab}
Key not found :  HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKCR\Applications\eSobi.exe
Key Deleted : HKU\S-1-5-21-3224299066-1294148903-758974097-1000\Software\Safer Networking Limited
Key Deleted : HKU\S-1-5-21-3224299066-1294148903-758974097-1000\Software\Microsoft\Babylon    
Key Deleted : HKU64\S-1-5-21-3224299066-1294148903-758974097-1000\Software\Safer Networking Limited
Key Deleted : HKU64\S-1-5-21-3224299066-1294148903-758974097-1000\Software\Microsoft\Babylon    
Key Deleted : HKLM\Software\Microsoft\Software
Key Deleted : HKLM64\Software\BrowserChoice    

¤

Folder Deleted : |D| - C:\Windows\Installer\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}
Folder Deleted : |D| - C:\Users\Dupuis Jean Luc\AppData\Roaming\TestApp 
Folder Deleted : |D| - C:\ProgramData\Spybot - Search & Destroy     
Folder Deleted : |D| - C:\Program Files (x86)\Spybot - Search & Destroy     
C:\Windows\system32\drivers\pctEFA64.sys      : Not Found !
C:\Windows\system32\drivers\PctWfpFilter64.sys  : Not Found !
C:\Windows\System32\Drivers\PCTBD64.sys  : Not Found !

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	Acer
BIOS Manufacturer:		AMI
System Manufacturer:		Acer
System Product Name:		Aspire X3300
Logical Drives Mask:		0x000000dc

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 21:20:25

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

rafounet87 · Answer

Et non mon père ne s'appelle pas Tony :)

g3n-h@ckm@n · Answer

ok on va la faire autrement : Télécharge DelFix (de Xplode) sur ton bureau. Lance le, choisis suppression Patiente pendant le scan jusqu'à l'ouverture du rapport. Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le désinstaller. ===== /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<< ===================================================== Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Combofix Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

rafounet87 · Answer

# DelFix v8.9 - Rapport créé le 08/09/2012 à 21:38:59
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Dupuis Jean Luc - DUPUIS (Administrateur)
# Exécuté depuis : C:\Users\Dupuis Jean Luc\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RK_Quarantine

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.8.8.0_08.09.2012_17.24.20_log.txt
Supprimé : C:\TDSSKiller.2.8.8.0_08.09.2012_17.26.50_log.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\Pre_Scan_08_09_2012_18_56_05.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\Pre_script.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[1].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[2].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[3].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[4].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[5].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[6].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[7].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[8].txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1834 octets] - [08/09/2012 21:38:59]

########## EOF - C:\DelFix[S1].txt - [1958 octets] ##########

g3n-h@ckm@n · Answer

ok la suite :)

rafounet87 · Answer

Combofix vient de finir, mais il a bloqué l'accès de mon pc à internet, je ne puis donc poster le compte-rendu...!! comment puis-je récupérer ma connexion?

rafounet87 · Answer

"Connexion au réseau local n'a pas d'adresse IP valide"

g3n-h@ckm@n · Answer

redemarre l ordi

rafounet87 · Answer

Internet ne marche tjs pas après redémarrage. Je restaure?

g3n-h@ckm@n · Answer

non

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

rafounet87 · Answer

En cliquant droit sur ma connexion je n'ai pas d'option "réparer", j'ai uniquement "diagnostic" qui me dit pas d'adresse IP valide, et me propose de restaurer.

g3n-h@ckm@n · Answer

nan attends tu peux lancer un cmd ?

rafounet87 · Answer

ok

g3n-h@ckm@n · Answer

?

rafounet87 · Answer

lancer un cmd veut bien dire ouvrir la commande cmd? je dois taper quoi dedans?

g3n-h@ckm@n · Answer

tu l'as ouvert avec le clic droit "executer en temps qu'admin" ? 

ipconfig /all   

ensuite vois si sur ta connection tu as une adresse qui ressemble à 169.254.x.x    
    
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

rafounet87 · Answer

oui Ipv4 169.254........

g3n-h@ckm@n · Answer

okrelance pre_scan clique sur regedit , confirme moi que le registre s'ouvre (normalement devrait pas y avoir de soucis)

rafounet87 · Answer

J'ai relancé prescan enregistré sous le nom de winlogon, ça scanne tout seul j'ai pas eu la possibilité de cliquer sur un quelconque regedit !

g3n-h@ckm@n · Answer

???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

c'est quoi ce delire???

tu as supprimé le dossier pre_scan dans c:\ ?

rafounet87 · Answer

Non je n'ai rien touché !!! Celui de tout à l'heure s'est supprimé tout seul...

rafounet87 · Answer

Du coup c'est encore en train de scanner là.

rafounet87 · Answer

C'est pas combofix qui l'a supprimé?

rafounet87 · Answer

ça fait un moment que mon écran reste noir alors que le pc a l'air de continuer à fonctionner c'est normal ?!

g3n-h@ckm@n · Answer

il s'est mis en veille non ?

rafounet87 · Answer

lol non l'unité centrale continue de travailler

rafounet87 · Answer

Des bouts d'écran d'accueil sont apparus sur l'écran, j'ai l'impression que ça fait comme si l'ordi ramait terriblement. je meurs d'envie de l'éteindre manuellement.

rafounet87 · Answer

Bon il avait planté je l'ai redémarré.

rafounet87 · Answer

Au début j'avais eu un pb du même genre pour la connexion internet, la seule solution a été de restaurer.
Bon je propose d'en rester là pour aujourd'hui, merci beaucoup pour ton aide et pour la destruction du rootkit, je te recontacte demain.

g3n-h@ckm@n · Answer

non souci j'ai pas été tout seul ^^

Utilisateur anonyme · Answer

bonjour,

alors les gars, vous en êtes ou avec ce truc ?

rafounet87 · Answer

Bonjour,
le rootkit est apparemment supprimé, mais depuis la dernière manip avec combofix, mon ordi refuse de se connecter à internet.
Donc il reste à rétablir la connexion (peut-être restaurer?), et finir le nettoyage...
Quand l'un de vous sera dispo, merci !!

rafounet87 · Answer

Le problème c'est que je peux pas me connecter donc je peux télécharger aucun des trucs indiqués, donc a priori la seule solution est de restaurer avant combofix non?

rafounet87 · Answer

Bon combofix il a vraiment pas aimé mon pc, déjà il rame à mort c'est horrible, et il m'est impossible de restaurer, "la protection du système est désactivée" et lorsque je veux la réactiver, "impossible de créer la tache planifiée pour la raison suivante : cette demande n'est pas prise en charge (0x80070032) "

rafounet87 · Answer

Ok j'execute roguekiller

rafounet87 · Answer

RogueKiller V8.0.2 [31/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Dupuis Jean Luc [Droits d'admin] Mode : Recherche -- Date : 09/09/2012 10:03:29 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 6 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++ --- User --- [MBR] c423aaf4ae0dc3648b013c0602ae33df [BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive1: Generic- Compact Flash USB Device +++++ Error reading User MBR! User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive2: Multiple Flash Reader USB Device +++++ Error reading User MBR! User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt

rafounet87 · Answer

Dois-je "supprimer" ?

rafounet87 · Answer

RogueKiller V8.0.2 [31/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Dupuis Jean Luc [Droits d'admin] Mode : Suppression -- Date : 09/09/2012 10:13:25 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 3 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++ --- User --- [MBR] c423aaf4ae0dc3648b013c0602ae33df [BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive1: Generic- Compact Flash USB Device +++++ Error reading User MBR! User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive2: Multiple Flash Reader USB Device +++++ Error reading User MBR! User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

rafounet87 · Answer

Et bien ça rame toujours autant et j'ai pas internet :)

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Pre_Scan\MBR.bin

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

rafounet87 · Answer

Mais je ne peux pas me connecter à internet !

rafounet87 · Answer

Et je suis tout le temps obligé de rallumer mon pc parce qu'il plante sans arrêt.

rafounet87 · Answer

Ah là je viens de rallumer il rame moins j'ai l'impression.

rafounet87 · Answer

J'ai pris le fichier MBR.bin et je l'ai transféré sur mon portable, je sais pas si ça fait aussi l'analyse que tu veux?

rafounet87 · Answer

https://www.virustotal.com/gui/file/a76389226e63cbb7027cee136b2f8eb9b89278272fd0f432795aa74fcb67b3b1

g3n-h@ckm@n · Answer

ok c'était pour vérif...

Utilisateur anonyme · Answer

re,
bonne nouvelle, sur le dernier rapport de Roguekiller, Cpnsrv n'y est plus,

pas contre, le problème de connexion est à voir,

j'espère que la couche réseauj ne soit pas touchée !

comment tu te connectes à internet ?

en Ethernet ou wifi ?

rafounet87 · Answer

Sur mon pc infecté en ethernet. mon portable marche sur wifi.

rafounet87 · Answer

Sans avoir l'air d'insister, il m'est maintenant possible de restaurer si besoin est :)

Utilisateur anonyme · Answer

si tu restaures, l'infection reviendra !


attends, j'ai demandé à un ami de me filer un outil de reconfiguration automatique de connexion  :D

Utilisateur anonyme · Answer

bon, il a été très réactif  :D



1.Télécharger ConfigRes9.exe

 2.Lancer l'outil en faisant un clic droit et choisir Exécuter en tant qu'administrateur.
3.Accepter le message qui suit.

4.Laisser Ignorer Groupe résidentiel.
5.Cliquer sur Rapport. 
6.Patienter le temps du travail de l'outil.
7.Le rapport va s'ouvrir, poster le contenu.

Le rapport se trouve sur le Bureau (ConfigReseau.txt)


si tu vois que le rapport ne passe pas sur le forum, passe par Cjoint  :D

rafounet87 · Answer

https://www.cjoint.com/?BIjmllSYXcw

Utilisateur anonyme · Answer

Configuration réseau: 
 ===================== 

 1  Connexions possibles trouvées :

 1 => Connexion au réseau local

Pas de connexion Internet
 

la couche réseau est flinguée par l'infection !

*Relancer l'outil par un clic droit et choisir Exécuter en tant qu'administrateur.
*Cliquer sur Démarrer la configuration auto.
*Patienter le temps du travail de l'outil.
*Un rapport va s'ouvrir à la fin...poster son contenu sur le forum.
*Redémarrer le PC pour prendre en compte les modifications.

Le rapport se trouve sur le Bureau (ConfigReseau.txt)

rafounet87 · Answer

https://www.cjoint.com/?BIjm0I2mgbM

Utilisateur anonyme · Answer

Etat actuel     : Opération terminée correctement, aucun redémarrage n'est nécessaire
 Le serveur DHCP ne répond pas...Vérifier votre Box ou routeur.
 


vérifie l'état de ton câble ethernet !

rafounet87 · Answer

Oui j'ai vu, mais ma box marche très bien je suis dessus en wifi, et je ne pense pas que combofix ai abîmé mon câble ethernet ! Il marche sur mon autre pc.

Utilisateur anonyme · Answer

ok,

essaie de redémarre le pc pour voir s'il trouve ta conenxion !

rafounet87 · Answer

C'est fait ça donne toujours le même problème.

Utilisateur anonyme · Answer

bon, 

il n'y a pas de moyen de rétablire la connexion internet !

on fait quoi ?

on restaure le pc à une date juste avant le lancement de Combofix ?

chimay8 · Answer

Télécharge Rooter de l'équipe IDN sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2

! Déconnecte toi d'internet et ferme toutes applications en cours !


* Exécute Rooter et laisse travailler l'outil .

* Une fois terminé, poste le rapport obtenu pour analyse ...  
 
--

rafounet87 · Answer

Le pc rame et a planté encore une fois, je scanne et je vous envoie le rapport.

rafounet87 · Answer

Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows 7 Home Edition (6.1.7601) Service Pack 1
[32_bits] - AMD64 Family 16 Model 6 Stepping 2, AuthenticAMD
.
[wscsvc] STOPPED (state:1) : Security Center -> Disabled !
[MpsSvc] RUNNING (state:4)
Windows Firewall -> Enabled
Windows Defender -> Enabled
User Account Control (UAC) -> Enabled
.
Internet Explorer 8.0.7601.17514
Mozilla Firefox 11.0 (fr)
.
C:\  [Fixed-NTFS] .. ( Total:458 Go - Free:162 Go )
D:\  [Fixed-NTFS] .. ( Total:458 Go - Free:458 Go )
E:\  [CD_Rom]
G:\  [Removable]
H:\  [Removable]
I:\  [Removable]
.
Scan : 14:43.02
Path : C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe
User : Dupuis Jean Luc ( Administrator -> YES )
.
----------------------\ Processes
.
Locked [System Process] (0)
Locked System (4)
______ ????????? (280)
______ ????????? (432)
______ ????????? (484)
______ ????????? (520)
______ ????????? (544)
______ ????????? (560)
______ ????????? (568)
______ ????????? (700)
______ ????????? (732)
______ ????????? (800)
______ ????????? (840)
______ ????????? (928)
______ ????????? (980)
______ ????????? (112)
Locked audiodg.exe (424)
______ ????????? (824)
______ ????????? (1092)
______ ????????? (1176)
______ ????????? (1252)
______ ????????? (1288)
______ C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe (1352)
______ ????????? (1456)
______ C:\Windows\SysWOW64\svchost.exe (1476)
______ ????????? (1512)
______ ????????? (1776)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe (1928)
______ C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe (2032)
______ C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe (1116)
______ C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe (1444)
______ C:\Program Files (x86)\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe (1676)
______ C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe (1696)
______ ????????? (1832)
______ ????????? (1324)
______ ????????? (1648)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe (2396)
______ ????????? (2104)
______ C:\Program Files\Acer\Acer Updater\UpdaterService.exe (2188)
______ ????????? (2272)
______ ????????? (372)
______ ????????? (3004)
______ ????????? (3028)
______ ????????? (3172)
______ ????????? (6868)
______ ????????? (6904)
______ ????????? (7024)
______ C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe (6788)
Locked svchost.exe (7160)
.
----------------------\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:1048576 | Length:14680064000)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:14681112576 | Length:104857600)
\Device\Harddisk0\Partition3 (Start_Offset:14785970176 | Length:492709085184)
\Device\Harddisk0\Partition4 (Start_Offset:507495055360 | Length:492708782080)
.
----------------------\ Scheduled Tasks
.
C:\Windows\Tasks\Adobe Flash Player Updater.job
C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cd64c857dfa5e0.job
C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000Core1cd6686fa0d5910.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000UA.job
C:\Windows\Tasks\SA.DAT
C:\Windows\Tasks\SCHEDLGU.TXT
.
----------------------\ Registry
.
.
----------------------\ Files & Folders
.
----------------------\ Scan completed at 14:43.40
.
C:\Rooter$\Rooter_2.txt - (09/09/2012 | 14:43.40)

rafounet87 · Answer

Cela veut-il dire qqch pour vous?!

Utilisateur anonyme · Answer

est ce que tu as une icône de ta connexion dans la barre de lancement rapide, en bas à droite de ton ecran ?

si tu glisses ta souris dessus, qu'affiche t on ?

rafounet87 · Answer

Oui ça affiche réseau non identifié pas d'accès réseau.

Utilisateur anonyme · Answer

ok, si le pc est équipé pour une connexion sans file, essaie de configurer une connextion wifi pour voir si ça le fait pareil ! O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø =>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø

rafounet87 · Answer

J'ai pas de clé wifi sur mon pc.

Utilisateur anonyme · Answer

ok,

vérifie bien que le câble soit bien enfoncé dans la prise rj45, derrière le pc et derrière la box !

rafounet87 · Answer

Oui, les câbles sont bien enfoncés !

Utilisateur anonyme · Answer

essaie ceci :

https://forums.commentcamarche.net/forum/affich-25984313-supprimer-rootkit-system32-consrv-dll?page=6#187

autrement, on envisage de restaurer ton pc juste avant le passage de combofix et recommencer !

chimay8 · Answer

Je pense qu'il faut d'abord réparer le centre de sécurité, tu sais!
T'auras moins de problèmes derrière ;-)

rafounet87 · Answer

Désolé je fouine là-dedans mais je ne saisis pas trop ce que je dois faire !

rafounet87 · Answer

Je double clique sur wscsvc.reg et  legacy_wscsvc.reg mais dans les 2 cas j'ai erreur d'accès au registre.

rafounet87 · Answer

On me propose pas d'exécuter en tant qu'admin, y a uniquement fusionner.

rafounet87 · Answer

J'ai ajouté afd.reg, 
mais erreur pour: legacyafd.reg, wuauserv.reg.

Dois-je essayer les autres aussi ?

Utilisateur anonyme · Answer

une autre idée, à voir si ça fonctionne :


regarde dan dans le répertoire Qoobox,

tu dois trouver un fichier avec le nom tcpip.txt 

change son nom en tcpip.reg 

fais un clique droit dessus, puis fusionner.

redémarre ton pc et essaie de voir si la connexion revient !

rafounet87 · Answer

J'ai trouvé tcpip.reg, mais pas txt, je fusionne celui-ci ?

Utilisateur anonyme · Answer

il faut que tu sois l'administrateur, fusionne le et on verra bien,

si le problème vient du passage de Combofix, on y verra le résultat vite faire  :D

rafounet87 · Answer

C'est bon je l'ai fusionné, je redémarre.

Utilisateur anonyme · Answer

ok, 

:D

rafounet87 · Answer

Et bien c'est toujours pareil.....

Utilisateur anonyme · Answer

redémarre le pc encore une ou 2 fois normalement !

rafounet87 · Answer

J'ai redémarré 3 fois, toujours rien.

Utilisateur anonyme · Answer

si tu retrouves ta connexion, on términera le nettoyage  :P

rafounet87 · Answer

Êtes-vous sûrs que c'est batch qu'il faut taper ?  Ma console n'a pas l'air de connaître!

Utilisateur anonyme · Answer

regarde là :

https://www.malekal.com/tutoriels-logiciels/

Utilisateur anonyme · Answer

regarde ici comment restaurer le registre :


https://www.malekal.com/tutoriels-logiciels/

juju666 · Answer

oui en fait c'est BATCH ERDNT.CON qu'il faut taper...

rafounet87 · Answer

Je redémarre...

rafounet87 · Answer

C'est bon j'ai restauré, internet marche.
Donc j'imagine que maintenant il faut continuer le nettoyage ?

Utilisateur anonyme · Answer

oui,

* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : 

1/ Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

2/ Dans l'interface de Zhpdiag, clique sur l'Uac, il faut le réactiver à la fin du nettoyage.

(Note : si l'UAC est désactivé, tu ne verras pas le bouton, donc passe à la suite)

* Clique sur le tourne vis, selectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
<gras>* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

rafounet87 · Answer

Ok merci c'est en train de tourner.

Par ailleurs, comme j'ai tout désinstallé, je n'ai plus aucune protection quand je me connecte à internet, je ne visite que commencamarche.net, mais bon on ne sait jamais, faut-il que je télécharge un antivirus et/ou parefeu ou on attend la fin ?

rafounet87 · Answer

https://www.cjoint.com/?BIjrzs0NEqi

Utilisateur anonyme · Answer

tu as Avira comme protection,


installe la dernière version de Firefox,


attention au P2P => U torren


*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O42 - Logiciel: Boxore Client - (.Boxore OU.) [HKLM] -- {B029999A-5688-430C-9FD6-59BAD2E01FF5}  
[MD5.C664E9F39F51C247F546D96156F29166] [SPRF][09/09/2012] (...) -- C:\Users\Dupuis Jean Luc\AppData\Local\Temp\dump.dat   [1638400]
[MD5.51477713863EF4B1D22984FF2B8FF713] [SPRF][09/09/2012] (.Pas de propriÃ©taire - Outil de configuration automatique rÃ©seau local.) -- C:\Users\Dupuis Jean Luc\Desktop\ConfigRes9.exe   [944489]
[MD5.6EECD8088082D5EE48D7E62535D8B5ED] [SPRF][08/09/2012] (.Swearware - ComboFix NSIS Installer.) -- C:\Users\Dupuis Jean Luc\Desktop\rafounet.exe   [4747117]
[MD5.ADAD508959A5C0C08700F97608F86757] [SPRF][09/09/2012] (.Eric_71 - Malware Finder.) -- C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe   [173119]
[MD5.9C07D14FF551E376233D004CD030147E] [SPRF][08/09/2012] (...) -- C:\Users\Dupuis Jean Luc\Desktop\Winlogon.exe   [1378816]
C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar   
O61 - LFC:Last File Created 30/12/1899 - 11:26:50 -SHA- C:\Users\Dupuis Jean Luc\Videos\Films\Thumbs.db   [510976]
O61 - LFC:Last File Created 30/12/1899 - 16:04:31 -SHA- C:\Users\Dupuis Jean Luc\AppData\Local\Temp\Cookies\index.dat   [16384]
O61 - LFC:Last File Created 30/12/1899 - 16:04:31 -SHA- C:\Users\Dupuis Jean Luc\AppData\Local\Temp\History\History.IE5\index.dat   [16384]
O61 - LFC:Last File Created 30/12/1899 - 19:30:46 -SHA- C:\Users\Dupuis Jean Luc\Pictures\Photos Astrid\divers, fac, cv\fac Limoges 2007-2008\Thumbs.db   [17920]
O18 - Handler: linkscanner [64Bits] - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} . (...) --
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher  [Key] . (...) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{8788893E-DE9D-4CF8-9C24-AAAC4E667206}] (...) -- C:\Users\Dupuis Jean Luc\Downloads\yahoo_installer.exe (.not file.) 
Emptytemp
EmptyCLSID

---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

Utilisateur anonyme · Answer

si tu n'utilises pas Firefox, il est à désinstaller,

il n'est pas à jour tout simplement  :D


passe par ce script de zhpfix,

https://forums.commentcamarche.net/forum/affich-25984313-supprimer-rootkit-system32-consrv-dll?page=7#241



pour désinstaller avira, aide toi de ceci :

http://www.forum-vista.net/forum/

rafounet87 · Answer

Rapport de ZHPFix 1.2.09 par Nicolas Coolman, Update du 01/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-09-09-2012-18-06-47.txt
Run by Dupuis Jean Luc at 09/09/2012 18:06:47
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/


========== Logiciel(s) ==========
ABSENT Software Key: {B029999A-5688-430C-9FD6-59BAD2E01FF5}

========== Processus mémoire ==========
SUPPRIME Reboot Memory Process: C:\Users\Dupuis Jean Luc\Desktopafounet.exe

========== Clé(s) du Registre ==========
SUPPRIME Key:  StartupReg: Adobe Reader Speed Launcher

========== Elément(s) de donnée du Registre ==========
ERREUR CLSID PAPP: {F274614C-63F8-47D5-A4D1-FBDDE494F8D1}

========== Dossier(s) ==========

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\dupuis jean luc\appdata\local	emp\dump.dat
ABSENT Folder/File: c:\users\dupuis jean luc\desktop\configres9.exe
ABSENT Folder/File: c:\users\dupuis jean luc\desktopooter.exe
ABSENT Folder/File: c:\users\dupuis jean luc\desktop\winlogon.exe
SUPPRIME File: C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar
SUPPRIME File: c:\users\dupuis jean luc\videos\films	humbs.db
SUPPRIME File: c:\users\dupuis jean luc\appdata\local	emp\cookies\index.dat
SUPPRIME File: c:\users\dupuis jean luc\appdata\local	emp\history\history.ie5\index.dat
SUPPRIME File: c:\users\dupuis jean luc\pictures\photos astrid\divers, fac, cv\fac limoges 2007-2008	humbs.db
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {8788893E-DE9D-4CF8-9C24-AAAC4E667206}


========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
10 : Fichier(s)
1 : Logiciel(s)
1 : Tache planifiée


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 09/09/2012 18:06:47 [1924]

Utilisateur anonyme · Answer

utilise Revo pour désinstaller Avira et le restant d'AVG  :D

rafounet87 · Answer

Revo ne trouve rien d'AVG, et j'ai l'impression d'avoir supprimé avira correctement mais il reste une icone avira dans mon panneau de config, c'est bizarre !

Utilisateur anonyme · Answer

désinstalle le, redémarre le pc et remets un nouveau zhpdiag ici pour voir :D O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø =>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø

rafounet87 · Answer

https://www.cjoint.com/?BIjsKf4FT0K

Utilisateur anonyme · Answer

* Lance ZHPFix via le raccourci sur ton Bureau Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix : --------------------------------------------------------- O23 - Service: Avira Planificateur (AntiVirSchedulerService) . (.Avira Operations GmbH & Co. KG - Avira Scheduler.) - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira Protection temps réel (AntiVirService) . (.Avira Operations GmbH & Co. KG - Avira On-Access Service.) - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [MD5.10A1FCE44CD7F16C7E1B6EBDA4510EAB] [APT] [{C7F7B2EC-3C75-4773-9A22-0F735C155175}] (.Avira Operations GmbH & Co. KG.) -- C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe O53 - SMSR:HKLM\...\startupreg\avgnt [Key] . (.Avira Operations GmbH & Co. KG - Avira System Tray Tool.) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe O53 - SMSR:HKLM\...\startupreg\AVG_TRAY [Key] . (...) -- C:\Program Files (x86)\AVG\AVG2012\avgtray.exe (.not file.) O64 - Services: CurCS - 27/08/2012 - C:\Windows\System32\DRIVERS\avgntflt.sys (avgntflt) .(.Avira GmbH - Avira Minifilter Driver.) - LEGACY_AVGNTFLT SS - | Auto 27/08/2012 86224 | (AntiVirSchedulerService) . (.Avira Operations GmbH & Co. KG.) - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe SS - | Auto 27/08/2012 110032 | (AntiVirService) . (.Avira Operations GmbH & Co. KG.) - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe O87 - FAEL: "TCP Query User{500736D1-1FE1-400B-9DAE-FB00AE7BE70F}E:\fscommand\updater.exe" |In - Private - P6 - TRUE | .(...) -- E:\fscommand\updater.exe (.not file.) O87 - FAEL: "UDP Query User{47864BF8-66B0-4B7B-A3B3-8AABBA334A6C}E:\fscommand\updater.exe" |In - Private - P17 - TRUE | .(...) -- E:\fscommand\updater.exe (.not file.) [MD5.6EECD8088082D5EE48D7E62535D8B5ED] [SPRF][08/09/2012] (.Swearware - ComboFix NSIS Installer.) -- C:\Users\Dupuis Jean Luc\Desktop\rafounet.exe [4747117] O42 - Logiciel: Boxore Client - (.Boxore OU.) [HKLM] -- {B029999A-5688-430C-9FD6-59BAD2E01FF5} OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (...) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe (.not file.) Emptytemp ---------------------------------------------------------- - Clique sur le bouton « GO » pour lancer le nettoyage, - Copie/colle la totalité du rapport dans ta prochaine réponse Tuto : http://www.premiumorange.com/zeb-help-process/zhpfix.html O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø =>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø

rafounet87 · Answer

Rapport de ZHPFix 1.2.09 par Nicolas Coolman, Update du 01/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-09-09-2012-18-46-52.txt
Run by Dupuis Jean Luc at 09/09/2012 18:46:52
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/


========== Logiciel(s) ==========
ABSENT Software Key: {B029999A-5688-430C-9FD6-59BAD2E01FF5}

========== Processus mémoire ==========
SUPPRIME Reboot Memory Process: C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe
SUPPRIME Memory Process: C:\Users\Dupuis Jean Luc\Desktop\rafounet.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: AntiVirSchedulerService
SUPPRIME Key: Service: AntiVirService
SUPPRIME Key:  StartupReg: avgnt
SUPPRIME Key:  StartupReg: AVG_TRAY
ERREUR Key: Service Legacy: LEGACY_AVGNTFLT
SUPPRIME Key:  StartupReg: Adobe Reader Speed Launcher

========== Valeur(s) du Registre ==========
ABSENT TCP Query User{500736D1-1FE1-400B-9DAE-FB00AE7BE70F}E:/fscommand/updater.exe
ABSENT UDP Query User{47864BF8-66B0-4B7B-A3B3-8AABBA334A6C}E:/fscommand/updater.exe

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME Reboot c:\program files (x86)\avira\antivir desktop\sched.exe
ABSENT File: c:\program files (x86)\avg\avg2012\avgtray.exe
SUPPRIME File: c:\users\dupuis jean luc\desktop\rafounet.exe
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {C7F7B2EC-3C75-4773-9A22-0F735C155175}


========== Récapitulatif ==========
2 : Processus mémoire
6 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)
1 : Tache planifiée


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 09/09/2012 17:06:47 [1976]
C:\ZHP\ZHPFix[R2].txt - 09/09/2012 18:46:52 [1896]

Utilisateur anonyme · Answer

après un redémarrage,


trouve avira dans le panneau de configuration, programmes

fait un clique droit dessus, puis désinstalle le entièrement !

rafounet87 · Answer

Je l'ai uniquement dans le panneau de config, et pas dans programmes, et en clic droit je ne peux que ouvrir (et message d'erreur) ou créer un raccourci...

rafounet87 · Answer

Avira's CCPLG.XML file is missing. Please wait for the automatic Avira update.

Utilisateur anonyme · Answer

relance Revo, essaie de le virer avec !

rafounet87 · Answer

J'ai enlevé plusieurs fichiers via l'outil nettoyeur de traces effacer définitivement, mais il m'en reste toujours 2, quand je veux les supprimer manuellement, le pc me dit que je peux pas vu que je suis pas administrateur, comment ça se fait, comment faire pour qu'il me considère comme tel ?

Utilisateur anonyme · Answer

aide toi de ceci pour vérifier tes droits d'aministrateur :

https://www.youtube.com/watch?v=LYn81NPFScs


autrement, essaie de virer le restant en mode sans echec, sous la session d'administrateur

rafounet87 · Answer

Cool ça a enfin marché !! (en mode sans échec parce que je suis déjà admin)

Utilisateur anonyme · Answer

ok,

on va voir ce qui traine sur le pc, non visible sur les rapports !



 Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://fr.malwarebytes.com/mwb-download/
ou :

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

rafounet87 · Answer

Ok merci, je suis en train de scanner.
Pour avira, en fait je pense qu'il ne reste plus qu'un seul fichier que je n'ai pas réussi à enlever même en sans échec, il me disait que le fichier était utilisé ailleurs...

rafounet87 · Answer

Malwarebytes Anti-Malware (Essai) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.09.09.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Dupuis Jean Luc :: DUPUIS [administrateur]

Protection: Activé

09/09/2012 20:54:45
mbam-log-2012-09-09 (20-54-45).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 427415
Temps écoulé: 53 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 7
C:\TDSSKiller_Quarantine\08.09.2012_17.24.21\zaea0000\svc0000	sk0000.dta (Trojan.Siredef) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\08.09.2012_17.24.21\zasubsys0000\file0000	sk0000.dta (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\08.09.2012_17.24.21\zasubsys0000\zafs0000	sk0000.dta (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\08.09.2012_17.24.21\zasubsys0000\zafs0000	sk0003.dta (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\08.09.2012_17.24.21\zasubsys0000\zafs0000	sk0005.dta (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\08.09.2012_17.24.21\zasubsys0000\zafs0000	sk0007.dta (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Dupuis Jean Luc\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

rafounet87 · Answer

Ces bestioles sont féroces ma foi, je pensais en être débarrassé, on va encore en trouver beaucoup ?!!!

rafounet87 · Answer

On va dire qu'on continue demain peut-être ? 
Merci en tout cas à tout le monde pour les progrès d'aujourd'hui !
A demain

Utilisateur anonyme · Answer

bonjour,

MBAM a chopé la quarantaine de tdsskiller, donc il ne faut pas s'inquietter  :D

pour avira, je pense que tu peux virer le restant en redémarrane le pc !


avant d'attaquer la fin, j'ai 2 petites questions :


- est ce que le pc fonctionne normalement ?

- est ce que tu as choisi un antivirus ?

rafounet87 · Answer

Bonjour,
ouf tout n'est pas désespéré! :)

-Pour avira j'ai réussi a supprimer le dernier fichier que je voyais, mais il me reste toujours une satané icône blanche dans le panneau de config...

-Oui j'ai l'impression qu'il fonctionne normalement, il n'a plus l'air de ramer ni de planter pour l'instant.

-Je n'ai pas choisi d'antivirus ni pare feu, peut-être peux-tu m'en conseiller un ?

rafounet87 · Answer

Je viens de remarquer que mon pc plante quand je veux cliquer sur windows update du panneau de configuration... Comment réparer ça ?

rafounet87 · Answer

J'ai mis comodo sur le nouveau portable de mon frère, je pense donc utiliser le même pour mon pc, sauf contre-ordre !

Utilisateur anonyme · Answer

* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 



	
  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur » 

.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

rafounet87 · Answer

# DelFix v8.9 - Rapport créé le 10/09/2012 à 13:27:44
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Dupuis Jean Luc - DUPUIS (Administrateur)
# Exécuté depuis : C:\Users\Dupuis Jean Luc\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\Rooter$
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Pre_Scan.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[1].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[2].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[3].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Dupuis Jean Luc\Downloads\ZHPDiag2.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1765 octets] - [10/09/2012 13:27:44]

########## EOF - C:\DelFix[S1].txt - [1889 octets] ##########

rafounet87 · Answer

Ok merci pour ccleaner, je suis en train de scanner.

Et pour windows update, y a t il un moyen de le réparer?

rafounet87 · Answer

Mauvaise nouvelle: 10 éléments trouvés lors du scan: 
dans System32 : 
bdftdif.dll
kbstuff.dll
LCcfltr.dll
lxda_device.dll
symtdi.dll

Et par ailleurs la quarantaine de TDSSkiller est toujours là, il me signale 5 éléments dans cette quarantaine.

Que dois-je faire: nettoyer ?

g3n-h@ckm@n · Answer

hello tu parles de qui ?

g3n-h@ckm@n · Answer

il dit quoi de ces dll sois le maximum precis sinon on s en sortira jamais  é les reglages ?

comodo est toujours configuré d'origine ou tu as changé les reglages ?
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

rafounet87 · Answer

Il me dit nom de la menace : malware @(#vaw5etglockn, #2lys1h9a781hs, #2f51a1ohp6i0u, ...) et il donne les noms que j'ai marqué au-dessus: 5 dans C:\Windows\system32\ et 5 dans C:\TDSSKiller_quarantine\

rafounet87 · Answer

J'ai nettoyé,
Puis-je les supprimer directement de la quarantaine de comodo ou ça ne suffira pas ?

rafounet87 · Answer

et pardon j'avais pas vu, je n'ai changé aucun réglage.

rafounet87 · Answer

Je tiens à préciser au cas où vous en douteriez que je ne suis pas débile et que je n'ai rien téléchargé ni visité de pages douteuses, hormis ce que vous m'avez indiqué !!!! 
Merci de m'aider à finir cette p..... de désinfection qui commence à me courir !

g3n-h@ckm@n · Answer

bah formate....

Utilisateur anonyme · Answer

mdr! relaxe, relance un nouveau scan avec comodo, mais avant tout, assure toi que tous les outils soit désinstallé :D si tu vois qu'il y a des fichiers douteux, passe les sur le site de virus total : https://www.virustotal.com/gui/ j'attends le résultat du nouveau scan de comodo :D O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø =>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø

rafounet87 · Answer

Bon j'ai tout supprimé, et comodo n'a plus rien trouvé au 2ième scan. Donc bonne nouvelle a priori, mais:
-Windows update plante
-L'outil restauration du système marche pas et la création d'un point restauration est impossible. (pour l'instant ça ne me gène pas mais bon....)

rafounet87 · Answer

Par ailleurs quelle est la différence entre Avira free antivirus 12.0.0.1167 (pc portable de ma soeur) et Avira antivir personal free antivirus 10.2.0.155 (mon pc portable) ? 
Y en a t il un qui a plus de fonctions que l'autre ou bien ?

g3n-h@ckm@n · Answer

c'est la version gratuite ?

Utilisateur anonyme · Answer

bonjour,

pour la restauration système :

depuis ton bureau ou via le menu démarrer, fais un clique droit sur Ordinateur

propriétés, protection système,

dans la petite fênetre, clique sur disque local, puis configurer

dans les paramètres de restauration, coche la case restaurer les paramètres système et la version précedante des fichiers, puis appliquer.

la restauration système sera fonctionnel et accèssible  :D



pour windows Update, essaie ceci :


https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

g3n-h@ckm@n · Answer

dezippe ca : 

http://www.archive-host.com 

et execute la clé de registre qui est à l interieur puis redemarre  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Utilisateur anonyme · Answer

on y arrive  :D

rafounet87 · Answer

Oui c'est bon tout semble marcher correctement et je n'ai plus d'infection donc je crois qu'il ne me reste plus qu'à vous remercier tous énormément pour le boulot que vous avez fait, c'était long mais vous m'avez permis d'y arriver!!!

Utilisateur anonyme · Answer

super,

du moment ou le pc fonctionne correctment, profite en pour créer un jeu de DVD de restauration système,

crée un nouveau point de restauration système également, ça peut servire  :D

sur ce,  merci à ceux qui ont participé à l'vancement de ce poste et résoudre ce "Gros" problème  :D

puis, bon surf  ;-)

Utilisateur anonyme · Answer

;-)