Win32:ZAccess-Pb [Trj] que faire?
Résolu
youbtaki
Messages postés
2
Statut
Membre
-
kalimusic Messages postés 14619 Statut Contributeur sécurité -
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,
je viens vers vous du fait que j'ai un petit soucis avec mon ordinateur depuis hier...
A peu près toutes les 10 minutes j'ai droit à un message de mon antivirus (avast) pour me dire qu'il a mis en quarantaine un cheval de Troie.
Ce dernier a l'air de venir toujours du même endroit et l'infection porte ce nom: Win32:ZAccess-Pb [Trj]
Au début j'étais sous avira, je ne pigeais rien vu qu'il était en anglais, alors je l'ai retiré pour mettre avast. J'ai fait de grands nettoyages de l'ordi, dans tous les sens, également avec CCleaner... mais avast continue de se manifester toutes les 10 minutes au sujet de ce fameux cheval de troie.
Le connaissez vous? Est il dangereux? Dois-je tout formater ou vous avez une autre solution à me proposer.
Merci par avance.
je viens vers vous du fait que j'ai un petit soucis avec mon ordinateur depuis hier...
A peu près toutes les 10 minutes j'ai droit à un message de mon antivirus (avast) pour me dire qu'il a mis en quarantaine un cheval de Troie.
Ce dernier a l'air de venir toujours du même endroit et l'infection porte ce nom: Win32:ZAccess-Pb [Trj]
Au début j'étais sous avira, je ne pigeais rien vu qu'il était en anglais, alors je l'ai retiré pour mettre avast. J'ai fait de grands nettoyages de l'ordi, dans tous les sens, également avec CCleaner... mais avast continue de se manifester toutes les 10 minutes au sujet de ce fameux cheval de troie.
Le connaissez vous? Est il dangereux? Dois-je tout formater ou vous avez une autre solution à me proposer.
Merci par avance.
3 réponses
-
Bonjour,
● Télécharge RogueKiller (par Tigzy) sur le bureau
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.
A +
-
merci pour la réponse tres rapide.
Quand RogueKiller est tombé sur le virus il m'a envoyé sur cette page du net:
http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
je suppose qu'il me faut essayer de suivre ces indications.
Ci-dessous le rapport de RogueKiller:
RogueKiller V8.5.1 _x64_ [Feb 21 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : lavachefolle [Droits d'admin]
Mode : Recherche -- Date : 22/02/2013 16:48:22
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 3 ¤¤¤
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\Users\lavachefolle\AppData\Local\BrowserCommunication\bms.dll [x] -> DECHARGÉE
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\Users\lavachefolle\AppData\Local\BrowserCommunication\Interop.SHDocVw.dll [x] -> DECHARGÉE
[Microsoft][HJNAME] notepad.exe -- C:\Windows\System32\notepad.exe [7] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 4 ¤¤¤
[TASK][SUSP PATH] KMS Activation for Office : C:\Windows\KMSAct.exe [x] -> TROUVÉ
[TASK][SUSP PATH] SttrayTask : C:\Users\lavachefolle\AppData\Roaming\Mozilla\IISEngine12\sttray.exe [-] -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{7430ead0-dd1a-5e60-969d-8290f0c292b3}\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{7430ead0-dd1a-5e60-969d-8290f0c292b3}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{7430ead0-dd1a-5e60-969d-8290f0c292b3}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns 3.adobe.com
127.0.0.1 3dns 2.adobe.com
127.0.0.1 adobe dns.adobe.com
127.0.0.1 adobe dns 2.adobe.com
127.0.0.1 adobe dns 3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate sea.adobe.com
127.0.0.1 wwis dubc1 vip60.adobe.com
127.0.0.1 activate sjc0.adobe.com
127.0.0.1 wwis dubc1 vip60.adobe.com
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HD103SJ ATA Device +++++
--- User ---
[MBR] 3baa38da1cf1a302af398588d0db0e31
[BSP] 3b6ad1813b0fde3b93b6b14b20f64937 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_22022013_164822.txt >>
RKreport[1]_S_22022013_164822.txt -
re,
Tu utilises de façon illégale Microsoft Office et un logiciel payant de l'éditeur Adobe.
Dans ces conditions, tu assumes, tu te débrouilles seul avec le lien de Tigzy.
https://www.commentcamarche.net/infos/25921-pourquoi-ccm-n-aide-pas-la-contrefacon-numerique-des-logiciels/
Bonne chance pour la suite.
