je cherche quelqu'un pour me guider avec combox Résolu/Fermé

Question

Bonjour, 
je suis infecté par le virus sirefif (en tout cas c'est ce que chrome me dit à chaque recherche) j'ai lu plusieurs forums et j'aimerais que quelqu'un me guide avec combox ou ZHPDiag. C'est urgent


Configuration: Windows Vista / Chrome 24.0.1312.57

Utilisateur anonyme · Answer

Bonsoir

On commence avec ceci

[*] Télécharger sur le bureau RogueKiller (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

tsip · Answer

Merci d'avoir repondu si rapidement et désolé pour le double post. Voici mon rapport:
RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : tite_chouquette [Droits d'admin]
Mode : Recherche -- Date : 22/02/2013 17:29:44
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 14 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : lollipop ("c:\users\tite_chouquette\appdata\local\lollipop\lollipop.exe" lollipop) [-] -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : 9df508469782076236564d7076edad30 ("C:\Users\tite_chouquette\AppData\Local\Temp\IDMann.exe" ..) [-] -> TROUVÉ
[RUN][ROGUE ST] HKCU\[...]\Run : 627237 (C:\Users\tite_chouquette\AppData\Local\Temp\627237\svhost.exe) -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\Run : 9df508469782076236564d7076edad30 ("C:\Users\tite_chouquette\AppData\Local\Temp\IDMann.exe" ..) [-] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1877115056-3045432646-1230065766-1000[...]\Run : lollipop ("c:\users\tite_chouquette\appdata\local\lollipop\lollipop.exe" lollipop) [-] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1877115056-3045432646-1230065766-1000[...]\Run : 9df508469782076236564d7076edad30 ("C:\Users\tite_chouquette\AppData\Local\Temp\IDMann.exe" ..) [-] -> TROUVÉ
[RUN][ROGUE ST] HKUS\S-1-5-21-1877115056-3045432646-1230065766-1000[...]\Run : 627237 (C:\Users\tite_chouquette\AppData\Local\Temp\627237\svhost.exe) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Policies\Explorer\\Run : Gabest (C:\Users\tite_chouquette\AppData\Roaming\23A676\23A676.exe) [-] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1877115056-3045432646-1230065766-1000[...]\Policies\Explorer\\Run : Gabest (C:\Users\tite_chouquette\AppData\Roaming\23A676\23A676.exe) [-] -> TROUVÉ
[TASK][SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : C:\Users\tite_chouquette\AppData\Local\Temp\Kr2.exe [x] -> TROUVÉ
[TASK][SUSP PATH] AmiUpdXp.job : C:\Users\tite_chouquette\AppData\Local\SwvUpdater\Updater.exe [7] -> TROUVÉ
[TASK][SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : C:\Users\tite_chouquette\AppData\Local\Temp\Kr3.exe [x] -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] $NtUninstallKB45072$ : C:\Windows\$NtUninstallKB45072$ --> TROUVÉ
[Faked.Drv][FILE] afd.sys : C:\Windows\system32\drivers\afd.sys [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS541616J9SA00 ATA Device +++++
--- User ---
[MBR] f83eb7fe651daccf65e1ff7f7e539357
[BSP] bf1d8db3b9b8e1892241964e209db0a5 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 76313 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 159363072 | Size: 74813 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_22022013_172944.txt >>
RKreport[1]_S_22022013_172944.txt

Utilisateur anonyme · Answer

Re

Tu relances RogueKiller option suppression et tu me postes ensuite ce rapport

@+

tsip · Answer

On ma demandé de redemarer le pc, ce que j'ai fait mais maintenant je ne c pas quoi faire

tsip · Answer

C'est normal ke ma connexion wifi est limitée????

Utilisateur anonyme · Answer

Re 

Arrête ton PC 
patiente un peu (environ 1 minute)  

Démarres le à nouveau  
  

Poste moi ce rapport;merci 

@+ 
--------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

tsip · Answer

Voila le rapport que je vous envoie d'un autre ordintuer car ma connexion ne mache tjrs pas dsl pour le retard/

RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : tite_chouquette [Droits d'admin]
Mode : Suppression -- Date : 22/02/2013 17:36:57
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 10 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : lollipop ("c:\users\tite_chouquette\appdata\local\lollipop\lollipop.exe" lollipop) [-] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : 9df508469782076236564d7076edad30 ("C:\Users\tite_chouquette\AppData\Local\Temp\IDMann.exe" ..) [-] -> SUPPRIMÉ
[RUN][ROGUE ST] HKCU\[...]\Run : 627237 (C:\Users\tite_chouquette\AppData\Local\Temp\627237\svhost.exe) -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\Run : 9df508469782076236564d7076edad30 ("C:\Users\tite_chouquette\AppData\Local\Temp\IDMann.exe" ..) [-] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Policies\Explorer\\Run : Gabest (C:\Users\tite_chouquette\AppData\Roaming\23A676\23A676.exe) [-] -> SUPPRIMÉ
[TASK][SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : C:\Users\tite_chouquette\AppData\Local\Temp\Kr2.exe [x] -> SUPPRIMÉ
[TASK][SUSP PATH] AmiUpdXp.job : C:\Users\tite_chouquette\AppData\Local\SwvUpdater\Updater.exe [7] -> SUPPRIMÉ
[TASK][SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : C:\Users\tite_chouquette\AppData\Local\Temp\Kr3.exe [x] -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB45072$ >> \systemroot\system32\config --> SUPPRIMÉ
[Del.Parent][FILE] 146225904 : C:\Windows\$NtUninstallKB45072$\146225904 [-] --> SUPPRIMÉ
[Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB45072$\4139402922\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB45072$\4139402922\Desktop.ini [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB45072$\4139402922\L\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 201d3dde : C:\Windows\$NtUninstallKB45072$\4139402922\L\201d3dde [-] --> SUPPRIMÉ
[Del.Parent][FILE] 76603ac3 : C:\Windows\$NtUninstallKB45072$\4139402922\L\76603ac3 [-] --> SUPPRIMÉ
[Del.Parent][FILE] qnbwvoto : C:\Windows\$NtUninstallKB45072$\4139402922\L\qnbwvoto [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB45072$\4139402922\L --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB45072$\4139402922\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\Windows\$NtUninstallKB45072$\4139402922\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\Windows\$NtUninstallKB45072$\4139402922\U\000000cb.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB45072$\4139402922\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB45072$\4139402922\U\80000032.@ [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB45072$\4139402922\U --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB45072$\4139402922 --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB45072$ --> SUPPRIMÉ AU REBOOT
[Faked.Drv][FILE] afd.sys : C:\Windows\system32\drivers\afd.sys [-] --> IMPOSSIBLE DE REPARER

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS541616J9SA00 ATA Device +++++
--- User ---
[MBR] f83eb7fe651daccf65e1ff7f7e539357
[BSP] bf1d8db3b9b8e1892241964e209db0a5 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 76313 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 159363072 | Size: 74813 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_22022013_173657.txt >>
RKreport[1]_S_22022013_172944.txt ; RKreport[2]_D_22022013_173657.txt

Utilisateur anonyme · Answer

Re

Pourquoi ce mode sans echec? 
 
@+

tsip · Answer

Car dans un des forums il était expliqué comment retirer le virus manuellement et cela avec un mode sans echec. Cette technique ne marchant pas, j'ai posé ma question sur ce site en restant en mode sans echec. Cela pose-t-il problème dans l'analyse?

Utilisateur anonyme · Answer

Re

Reviens en mode normal et fait ceci: 

Télécharge Malwaresbytes anti malware ici  
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista ;Seven ou Windows 8   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+

tsip · Answer

Dsl pour la reponse tardive ms mon telephone s'est eteint et je n'ai tjrs pas internet sur mon ordinateur est ce lié aux actions effectuées sur mon pc???

Utilisateur anonyme · Answer

Re

Arrête ton PC
Débranche ta box 

Et tu fais l'inverse ensuite

@+

tsip · Answer

je suis sur le reseau free wifi qui, pour information marche très bien sur tous mes autres appareils. Le problème vient surement de mon pc

tsip · Answer

je l'ai déjà fait trois fois cela n'a rien changé, je commence vraiment à paniquer.

Utilisateur anonyme · Answer

Re

Essaie de reconfigurer ce réseau Wifi 

@+

tsip · Answer

C'est à dire? Désolé mais je ne m'y connais pas du tout

tsip · Answer

c'est un reseau public sur lequel je me connecte je pense qu'il s'est configuré tout seul

tsip · Answer

j viens de voir le dossier rk_quarantine sur mon bureau, c'est quoi,

tsip · Answer

j'ai pas compris?

Utilisateur anonyme · Answer

Re

pour résoudre ton problème de connexion Wifi

@+

tsip · Answer

Je ne fais que ça de chercher

tsip · Answer

est-ce que le virus peut m'empecher toutes connexions wifi?

tsip · Answer

le reseau free wifi apparait bien mais quand je my connecte c'est une connexion locale seulement et j'ai essayé de me connecter à d'autres reseau ouverts c'est la même chose

tsip · Answer

oui mais normalement le wifi se connecte et sur chrome une page demandant l'utilisateur et le mot de passe s'ouvre mais là rien

tsip · Answer

j'ai regardé su d'autres forums et beaucoup de personnes rencontrent le même pb que moi suite à une mauvaise utilisation de roguekiller ou combox. G du faie une mauvaise manoeuvre mais merci pour ton aide comme meme

Utilisateur anonyme · Answer

Re

As tu utilisé ComboFix?

tsip · Answer

non juste rogue killer

Utilisateur anonyme · Answer

Re

Tu sauvegardes tes données importantes et tu restaures comme sortie usine
Tu disposes d'une partition de sauvegarde

@+

tsip · Answer

pb wifi reslue grace a une restauration du système je crois que je prefère en rester la par rapport au virus. merci beaucoup pour l'aide et la patience

Je cherche quelqu'un pour me guider avec combox

29 réponses

Discussions similaires