virus ministre intérieur Fermé

Question

Bonjour, Comme beaucoup je me suis choppé le virus .. J'ai réussi a me mettre sans echec avec connexion J ai telecharger roguekiller J ai fait le scan ainsi que la supression Voici le rapport : RogueKiller V8.4.3 [Jan 27 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : WindowsVista [Droits d'admin] Mode : Suppression -- Date : 30/01/2013 01:24:24 | ARK || MBR | ¤¤¤ Processus malicieux : 1 ¤¤¤ [SERVICE] IBUpdaterService -- C:\Windows\System32\dmwu.exe -> STOPPÉ ¤¤¤ Entrees de registre : 7 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : SearchProtect (C:\Users\WindowsVista\AppData\Roaming\SearchProtect\cltmng.exe) -> SUPPRIMÉ [Services][BLSVC] HKLM\[...]\ControlSet001\Services\IBUpdaterService (C:\Windows\System32\dmwu.exe) -> SUPPRIMÉ [Services][BLSVC] HKLM\[...]\ControlSet002\Services\IBUpdaterService (C:\Windows\System32\dmwu.exe) -> SUPPRIMÉ [STARTUP][Rans.Gendarm] runctf.lnk @WindowsVista : C:\Windows\System32\rundll32.exe|C:\Users\WINDOW~1\AppData\Local\Temp\9EVgmvj.exe,M1N1 -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\WindowsVista\AppData\Local\{424e8a7f-768d-f898-00e2-d2db07bef7e6}\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [Del.Parent][FILE] 00000004.@ : C:\Users\WindowsVista\AppData\Local\{424e8a7f-768d-f898-00e2-d2db07bef7e6}\U\00000004.@ --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\Users\WindowsVista\AppData\Local\{424e8a7f-768d-f898-00e2-d2db07bef7e6}\U --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Users\WindowsVista\AppData\Local\{424e8a7f-768d-f898-00e2-d2db07bef7e6}\L\00000004.@ --> SUPPRIMÉ [Del.Parent][FILE] 00000008.@ : C:\Users\WindowsVista\AppData\Local\{424e8a7f-768d-f898-00e2-d2db07bef7e6}\L\00000008.@ --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\Users\WindowsVista\AppData\Local\{424e8a7f-768d-f898-00e2-d2db07bef7e6}\L --> SUPPRIMÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9250827AS ATA Device +++++ --- User --- [MBR] 4fe3062b11f143dba001640c731f5eac [BSP] e0823f4dc0bb9d171d421cfb9854e463 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238473 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: UDISK PDI09_16G ACJ3.0 USB Device +++++ --- User --- [MBR] f44ef62a63123e9cc8e29f4def70ce19 [BSP] 7bb520d42bdadaee3a2e6cfb73d3be0b : MBR Code unknown Partition table: 0 - [XXXXXX] UNKNOWN (0x0d) [VISIBLE] Offset (sectors): 1679830642 | Size: 962094 Mo 1 - [XXXXXX] LYNX (0x50) [VISIBLE] Offset (sectors): 544892275 | Size: 265389 Mo 2 - [XXXXXX] UNKNOWN (0x68) [VISIBLE] Offset (sectors): 544372079 | Size: 1068172 Mo 3 - [XXXXXX] UNKNOWN (0x65) [VISIBLE] Offset (sectors): 2885681152 | Size: 26 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[3]_D_30012013_012424.txt >> RKreport[1]_S_30012013_005807.txt ; RKreport[2]_S_30012013_012346.txt ; RKreport[3]_D_30012013_012424.txt Que faire mnt ? Merci d avance Configuration: Windows Vista / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://www.archive-host.com (renommé winlogon)

ou

http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

yacyac01 · Answer

Après 30 minutes , il y a eu un bug et j ai du forcer a quitté le programme ( winlogon) . 
Il y aurait pas un programe similaire ? 
J'ai entendu parlé de Malwarebytes 
SI je fais les mises a jour de ce programe et que je le lance et que je poste le rapport , ce serait bon ? 
Je mettrai le rapport avec cjoint.com .. 
Merci d avance .. 
Un internaute desespéré ..

g3n-h@ckm@n · Answer

precise le beug
heberge le rapport et donne le lien

yacyac01 · Answer

Ben une fenêtre est arrivé puis le lancement du rapport s'est achevé ..

g3n-h@ckm@n · Answer

j'ai rien compris
je ne demande pas d'enregistrer sous

g3n-h@ckm@n · Answer

pas grave lance-le de là

Virus ministre intérieur

6 réponses

Discussions similaires