Virus SMART HDD
Résolug3n-h@ckm@n -
je fais appel à vous pour un soucis de virus. Je pense etre infecté par SMART HDD. J ai déjà téléchargé roguekiller, mais là je suis bloqué! J airécupérer certain de mes fichiers mais je ne sais pas si ils sont tous là et si le virus est toujours présent.
Merci d avance pour votre aide
39 réponses
- 1
- 2
Une personne suspecte une infection par SMART HDD et cherche à vérifier si ses fichiers sont intacts et si le virus persiste après avoir téléchargé RogueKiller sous Windows Vista et Internet Explorer 9. Plusieurs solutions recommandent ADWCleaner, avec instruction d'exécuter en mode administrateur sur Vista/Seven, de supprimer les éléments détectés et de poster le rapport, puis de vérifier les navigateurs et clés de registre. En cas de doute, certains signalent que des éléments persistent ou que l'outil se fige durant l'analyse, et une nuance utile souligne la possible limitation d'efficacité des outils sous Windows Vista.
-
-
Tu me dira si c est celui la:
RogueKiller V8.1.0 [28/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Guillaume [Droits d'admin]
Mode : Raccourcis RAZ -- Date : 13/11/2012 10:29:42
¤¤¤ Processus malicieux : 5 ¤¤¤
[SUSP PATH] roguekiller.exe -- C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYSTICUQ\roguekiller.exe -> TUÉ [TermProc]
[SUSP PATH] domanager.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\domanager.exe -> TUÉ [TermProc]
[SUSP PATH] sweetim_0711-adf025c2.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\sweetim_0711-adf025c2.exe -> TUÉ [TermProc]
[SUSP PATH] Yontoo-ftt-C2_2510-c084b24f.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\Yontoo-ftt-C2_2510-c084b24f.exe -> TUÉ [TermThr]
[SUSP PATH] Yontoo-ftt-C2_2510-c084b24f-0520.exe -- C:\Users\GUILLA~1\AppData\Local\Temp\Yontoo-ftt-C2_2510-c084b24f-0520.exe -> TUÉ [TermThr]
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 1932 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 13 / Fail 0
Menu demarrer: Success 4 / Fail 0
Dossier utilisateur: Success 4937 / Fail 0
Mes documents: Success 48 / Fail 48
Mes favoris: Success 46 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 55 / Fail 0
Mes videos: Success 33 / Fail 0
Disques locaux: Success 15066 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 0 / Exists 0
Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\HarddiskVolume3 -- 0x2 --> Restored
[G:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[H:] \Device\HarddiskVolume5 -- 0x2 --> Restored
[I:] \Device\HarddiskVolume6 -- 0x2 --> Restored
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
Et si il y en a d autre -
-
RogueKiller V8.1.0 [28/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Guillaume [Droits d'admin]
Mode : Recherche -- Date : 13/11/2012 10:27:08
¤¤¤ Processus malicieux : 5 ¤¤¤
[SUSP PATH] roguekiller.exe -- C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYSTICUQ\roguekiller.exe -> TUÉ [TermProc]
[SUSP PATH] domanager.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\domanager.exe -> TUÉ [TermProc]
[SUSP PATH] sweetim_0711-adf025c2.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\sweetim_0711-adf025c2.exe -> TUÉ [TermProc]
[SUSP PATH] Yontoo-ftt-C2_2510-c084b24f.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\Yontoo-ftt-C2_2510-c084b24f.exe -> TUÉ [TermThr]
[SUSP PATH] Yontoo-ftt-C2_2510-c084b24f-0520.exe -- C:\Users\GUILLA~1\AppData\Local\Temp\Yontoo-ftt-C2_2510-c084b24f-0520.exe -> TUÉ [TermThr]
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x81E6AE35 -> HOOKED (Unknown @ 0x8AEBF076)
SSDT[276] : NtRequestWaitReplyPort @ 0x81E7CFE0 -> HOOKED (Unknown @ 0x8AEBF080)
SSDT[289] : NtSetContextThread @ 0x81ECC10B -> HOOKED (Unknown @ 0x8AEBF07B)
SSDT[314] : NtSetSecurityObject @ 0x81DF903C -> HOOKED (Unknown @ 0x8AEBF085)
SSDT[332] : NtSystemDebugControl @ 0x81E31EF1 -> HOOKED (Unknown @ 0x8AEBF08A)
SSDT[334] : NtTerminateProcess @ 0x81E2A173 -> HOOKED (Unknown @ 0x8AEBF017)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8AEBF09E)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8AEBF0A3)
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST336032 0AS SCSI Disk Device +++++
--- User ---
[MBR] 20d9f5f403bc84079c77dc017306dffd
[BSP] 1f0123e38b19b3bd2ebb0c980c259149 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 335933 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 687992832 | Size: 7464 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V8.1.0 [28/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Guillaume [Droits d'admin]
Mode : Suppression -- Date : 13/11/2012 10:27:20
¤¤¤ Processus malicieux : 5 ¤¤¤
[SUSP PATH] roguekiller.exe -- C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYSTICUQ\roguekiller.exe -> TUÉ [TermProc]
[SUSP PATH] domanager.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\domanager.exe -> TUÉ [TermProc]
[SUSP PATH] sweetim_0711-adf025c2.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\sweetim_0711-adf025c2.exe -> TUÉ [TermProc]
[SUSP PATH] Yontoo-ftt-C2_2510-c084b24f.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\Yontoo-ftt-C2_2510-c084b24f.exe -> TUÉ [TermThr]
[SUSP PATH] Yontoo-ftt-C2_2510-c084b24f-0520.exe -- C:\Users\GUILLA~1\AppData\Local\Temp\Yontoo-ftt-C2_2510-c084b24f-0520.exe -> TUÉ [TermThr]
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x81E6AE35 -> HOOKED (Unknown @ 0x8AEBF076)
SSDT[276] : NtRequestWaitReplyPort @ 0x81E7CFE0 -> HOOKED (Unknown @ 0x8AEBF080)
SSDT[289] : NtSetContextThread @ 0x81ECC10B -> HOOKED (Unknown @ 0x8AEBF07B)
SSDT[314] : NtSetSecurityObject @ 0x81DF903C -> HOOKED (Unknown @ 0x8AEBF085)
SSDT[332] : NtSystemDebugControl @ 0x81E31EF1 -> HOOKED (Unknown @ 0x8AEBF08A)
SSDT[334] : NtTerminateProcess @ 0x81E2A173 -> HOOKED (Unknown @ 0x8AEBF017)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8AEBF09E)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8AEBF0A3)
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST336032 0AS SCSI Disk Device +++++
--- User ---
[MBR] 20d9f5f403bc84079c77dc017306dffd
[BSP] 1f0123e38b19b3bd2ebb0c980c259149 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 335933 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 687992832 | Size: 7464 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
RogueKiller V8.1.0 [28/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Guillaume [Droits d'admin]
Mode : Recherche -- Date : 13/11/2012 10:27:30
¤¤¤ Processus malicieux : 5 ¤¤¤
[SUSP PATH] roguekiller.exe -- C:\Users\Guillaume\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYSTICUQ\roguekiller.exe -> TUÉ [TermProc]
[SUSP PATH] domanager.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\domanager.exe -> TUÉ [TermProc]
[SUSP PATH] sweetim_0711-adf025c2.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\sweetim_0711-adf025c2.exe -> TUÉ [TermProc]
[SUSP PATH] Yontoo-ftt-C2_2510-c084b24f.exe -- C:\Users\Guillaume\AppData\Local\Temp\nsoE33E.tmp\Yontoo-ftt-C2_2510-c084b24f.exe -> TUÉ [TermThr]
[SUSP PATH] Yontoo-ftt-C2_2510-c084b24f-0520.exe -- C:\Users\GUILLA~1\AppData\Local\Temp\Yontoo-ftt-C2_2510-c084b24f-0520.exe -> TUÉ [TermThr]
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x81E6AE35 -> HOOKED (Unknown @ 0x8AEBF076)
SSDT[276] : NtRequestWaitReplyPort @ 0x81E7CFE0 -> HOOKED (Unknown @ 0x8AEBF080)
SSDT[289] : NtSetContextThread @ 0x81ECC10B -> HOOKED (Unknown @ 0x8AEBF07B)
SSDT[314] : NtSetSecurityObject @ 0x81DF903C -> HOOKED (Unknown @ 0x8AEBF085)
SSDT[332] : NtSystemDebugControl @ 0x81E31EF1 -> HOOKED (Unknown @ 0x8AEBF08A)
SSDT[334] : NtTerminateProcess @ 0x81E2A173 -> HOOKED (Unknown @ 0x8AEBF017)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8AEBF09E)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8AEBF0A3)
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST336032 0AS SCSI Disk Device +++++
--- User ---
[MBR] 20d9f5f403bc84079c77dc017306dffd
[BSP] 1f0123e38b19b3bd2ebb0c980c259149 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 335933 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 687992832 | Size: 7464 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan.
s'il n'est pas sur le bureau , il est à la racine de ton disque système ( généralement C:\ )
Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider
Ne transmets pas le lien de suppression !!!
-
-
-
comment se fait-il que tu aies un menu à l'ouverture ? tu n'as pas fini ta precedente desinfection ou tu as utilisé l'outil seul(e) ?
-
et bien je l ai telechargé et il s es ouvert comme ca mais je l ai lancé mais au milieu de l analyse il dit "ne repond plus"
-
-
-
Le problème c est qu au cours de l analyse un message d erreur apparait " ... (des chiffres) ne répond plus"
-
-
-
-
-
-
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
=====================================================
Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Combofix
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-
-
un anti virus j ai cherché désolé! Et que mon ordinateur fonctionne normalement en ce moment est normal?
- 1
- 2