Virus Patched ack

Résolu/Fermé
Nanard 33 Messages postés 9 Date d'inscription lundi 4 mars 2013 Statut Membre Dernière intervention 5 mars 2013 - 4 mars 2013 à 16:55
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 5 mars 2013 à 11:27
Bonjour
Apres un scan avec avast, celui ci me trouve un fichier infecté: win 32 service exe par le virus Patched ack.
J'ai suivie la procédure décrit precedament mais impossible de m'en defaire ou de réparer car le fichier est inaccessible.
Merci pour votre aide



14 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588
4 mars 2013 à 17:29
Salut,

Dans quel fichier ?
0
Nanard 33 Messages postés 9 Date d'inscription lundi 4 mars 2013 Statut Membre Dernière intervention 5 mars 2013
4 mars 2013 à 18:03
dans c:windows/ systemes32/ services exe
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588
4 mars 2013 à 18:04
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

0
Nanard 33 Messages postés 9 Date d'inscription lundi 4 mars 2013 Statut Membre Dernière intervention 5 mars 2013
4 mars 2013 à 18:24
Merci pour la rapidité d'intervention
voici le rapport après suppression et reboot:
RogueKiller V8.5.2 _x64_ [Feb 23 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Bernard [Droits d'admin]
Mode : Suppression -- Date : 04/03/2013 18:15:25
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤
[SHELL][HJNAME] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Pre_Scan\winlogon.exe) [-] -> SUPPRIMÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Bernard\AppData\Local\{027c333b-a967-f44b-790d-ba16bab96f14}\n.) [x] -> REMPLACÉ (C:\Windows\system32\shell32.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: M4-CT128M4SSD2 ATA Device +++++
--- User ---
[MBR] 98de512252183ad5a06160b147d60f42
[BSP] 3d8240acf243f6eff23a1b867eda98aa : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 122102 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Hitachi HDS721010CLA332 ATA Device +++++
--- User ---
[MBR] aae8d7f9d4daf73476f32c9dbec122f9
[BSP] 55ef14dd718ace10518e6582c15a04d3 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: WDC WD5000AACS-00G8B1 ATA Device +++++
--- User ---
[MBR] 93c4aa69c6663beec41657692e988cd3
[BSP] c3e21b9db5cd3ab1e7e0079c3e22cec8 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476937 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive3: WDC WD2500BEVS-22UST0 ATA Device +++++
--- User ---
[MBR] fd215f87d8f047388d15d3a223fb8de1
[BSP] 23137236a612846b0106249687fab63b : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 63 | Size: 0 Mo
1 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo
2 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 24578048 | Size: 226473 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive4: WDC WD1002FAEX-00Y9A0 ATA Device +++++
--- User ---
[MBR] 08c72526b164baedb41cb805ef6befc6
[BSP] bf65f4ab287479adf77a625c4de453c4 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_04032013_181525.txt >>
RKreport[1]_S_04032013_181257.txt ; RKreport[2]_D_04032013_181525.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588
4 mars 2013 à 18:31
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

puis :


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
0
Nanard 33 Messages postés 9 Date d'inscription lundi 4 mars 2013 Statut Membre Dernière intervention 5 mars 2013
4 mars 2013 à 19:05
Apres avoir suivi tes conseils, j'ai 3 fichiers de rapport mai je ne peux vous les transmettre par malekal.com car j'ai le message suivant:Vous ne pouvez pas uploader de fichiers dont la taille est supérieure à : 20000 Ko ou dont la longueur du nom est supérieur à 50 caractères et qui contient des caractères spéciaux.
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588
4 mars 2013 à 19:06
heu ça me parait bizarre que tu ne puisses pas coller les rapports.
Sinon fais un zip de tous les rapports et envoie le zip sur pjjoint.
0
Nanard 33 Messages postés 9 Date d'inscription lundi 4 mars 2013 Statut Membre Dernière intervention 5 mars 2013
4 mars 2013 à 19:22
comment joindre une piece sur le forum?
0
Nanard 33 Messages postés 9 Date d'inscription lundi 4 mars 2013 Statut Membre Dernière intervention 5 mars 2013
4 mars 2013 à 19:27
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588
4 mars 2013 à 22:34
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2012/03/05 14:22:19 | 000,000,000 | ---D | M] (BittorrentBar_FR Community Toolbar) -- C:\Users\Bernard\AppData\Roaming\mozilla\Firefox\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}
[2012/12/14 18:41:20 | 000,006,835 | ---- | M] () (No name found) -- C:\Users\Bernard\AppData\Roaming\mozilla\firefox\profiles\8ixcccap.default\extensions\app@pubcatcher.fr.xpi
[2012/12/07 11:47:54 | 000,060,290 | ---- | M] () (No name found) -- C:\Users\Bernard\AppData\Roaming\mozilla\firefox\profiles\8ixcccap.default\extensions\translator@zoli.bod.xpi
[2009/07/14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
[2013/03/04 16:12:16 | 000,005,120 | ---- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
[2013/03/04 16:12:16 | 000,006,144 | ---- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini


* redemarre le pc sous windows et poste le rapport ici
0
Nanard 33 Messages postés 9 Date d'inscription lundi 4 mars 2013 Statut Membre Dernière intervention 5 mars 2013
5 mars 2013 à 09:14
Bonjour voici le rapport:

:OTL

[2012/03/05 14:22:19 | 000,000,000 | ---D | M] (BittorrentBar_FR Community Toolbar) -- C:\Users\Bernard\AppData\Roaming\mozilla\Firefox\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}

[2012/12/14 18:41:20 | 000,006,835 | ---- | M] () (No name found) -- C:\Users\Bernard\AppData\Roaming\mozilla\firefox\profiles\8ixcccap.default\extensions\app@pubcatcher.fr.xpi

[2012/12/07 11:47:54 | 000,060,290 | ---- | M] () (No name found) -- C:\Users\Bernard\AppData\Roaming\mozilla\firefox\profiles\8ixcccap.default\extensions\translator@zoli.bod.xpi

[2009/07/14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

[2013/03/04 16:12:16 | 000,005,120 | ---- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini

[2013/03/04 16:12:16 | 000,006,144 | ---- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
0
Nanard 33 Messages postés 9 Date d'inscription lundi 4 mars 2013 Statut Membre Dernière intervention 5 mars 2013
5 mars 2013 à 09:22
Pardon je n'avais pas redémarrer l'ordinateur voici le rapport après redémarrage

========== OTL ==========
Folder C:\Users\Bernard\AppData\Roaming\mozilla\Firefox\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}\ not found.
File C:\Users\Bernard\AppData\Roaming\mozilla\firefox\profiles\8ixcccap.default\extensions\app@pubcatcher.fr.xpi not found.
File C:\Users\Bernard\AppData\Roaming\mozilla\firefox\profiles\8ixcccap.default\extensions\translator@zoli.bod.xpi not found.
File C:\Windows\assembly\Desktop.ini not found.
File C:\Windows\assembly\GAC_32\Desktop.ini not found.
File C:\Windows\assembly\GAC_64\Desktop.ini not found.

OTL by OldTimer - Version 3.2.69.0 log created on 03052013_091822
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588
5 mars 2013 à 09:27
ca doit être bon :)


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
0
Nanard 33 Messages postés 9 Date d'inscription lundi 4 mars 2013 Statut Membre Dernière intervention 5 mars 2013
5 mars 2013 à 11:23
Bonjour
Après avoir suivie vos conseil j'ai enfin résolu mes problèmes, il a fallu que je désinstalle avast edition familliale car lui même était infesté; puis il a fallu que j'efface 2 fichiers temporaires générés par avast et dont l'accès m'était impossible, car mes droit administrateur m'était supprimé sur ces fichiers.
Il ne me reste plus qu'a installer un antivirus gratuit et a faire mes mises a jours
Java adobe etc...
Je vous remercie pour votre patience et la rapidité de votre intervention.
Bernard
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588
5 mars 2013 à 11:27
Ton problème a été résolu par RogueKiller.
Tu étais infecté par ZeroAccess/Sirefef

REMPLACÉ AU REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)
0