Virus sirefef.gen!C + ROOTKIT.0ACCESS
Résolu/Fermé
TheCrazyYakoute
Messages postés
15
Date d'inscription
lundi 11 mars 2013
Statut
Membre
Dernière intervention
29 juillet 2014
-
11 mars 2013 à 14:42
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 mars 2013 à 17:40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 mars 2013 à 17:40
A voir également:
- Virus sirefef.gen!C + ROOTKIT.0ACCESS
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Faux message virus iphone - Forum iPhone
- Comment savoir si j'ai attrapé un virus sur mon téléphone ? ✓ - Forum iPhone
12 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
11 mars 2013 à 14:58
11 mars 2013 à 14:58
Salut,
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
TheCrazyYakoute
Messages postés
15
Date d'inscription
lundi 11 mars 2013
Statut
Membre
Dernière intervention
29 juillet 2014
11 mars 2013 à 15:32
11 mars 2013 à 15:32
Salut Malekal_Morte, merci beaucoup pour ta réponse rapide.
Voilà le rapport du scan de RogueKiller, j'espère que c'est bien ça que tu demandais :
RogueKiller V8.5.2 [Mar 9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Maxime [Droits d'admin]
Mode : Suppression -- Date : 11/03/2013 15:24:52
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 7 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\@ [-] --> SUPPRIMÉ AU REBOOT
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\000000cb.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\80000032.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000064.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\80000064.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz1558.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz1558.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz3285.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz3285.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz4FD4.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz4FD4.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz57D0.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz57D0.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz61B.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz61B.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz6549.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz6549.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz6BB9.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz6BB9.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz75C5.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz75C5.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz7651.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz7651.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz8B3E.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz8B3E.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz8B5E.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz8B5E.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz94E4.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz94E4.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz95D6.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz95D6.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzA138.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzA138.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzA366.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzA366.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzA403.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzA403.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzB36F.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzB36F.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzBC2B.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzBC2B.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzD5D4.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzD5D4.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzDCB1.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzDCB1.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzEE7E.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzEE7E.tmp [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\L\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 201d3dde : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\L\201d3dde [-] --> SUPPRIMÉ
[Del.Parent][FILE] 76603ac3 : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\L\76603ac3 [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: FUJITSU MJA2320BH G2 +++++
--- User ---
[MBR] d91e3605096c74ac67e2ac12a919c3e5
[BSP] cf9a43a95e5bb4214ee6598d37f71715 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 158061 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 326782976 | Size: 145683 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_11032013_152452.txt >>
RKreport[1]_S_11032013_151906.txt ; RKreport[2]_D_11032013_152452.txt
Voilà le rapport du scan de RogueKiller, j'espère que c'est bien ça que tu demandais :
RogueKiller V8.5.2 [Mar 9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Maxime [Droits d'admin]
Mode : Suppression -- Date : 11/03/2013 15:24:52
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 7 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\@ [-] --> SUPPRIMÉ AU REBOOT
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\000000cb.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\80000032.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000064.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\80000064.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz1558.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz1558.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz3285.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz3285.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz4FD4.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz4FD4.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz57D0.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz57D0.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz61B.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz61B.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz6549.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz6549.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz6BB9.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz6BB9.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz75C5.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz75C5.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz7651.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz7651.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz8B3E.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz8B3E.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz8B5E.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz8B5E.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz94E4.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz94E4.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trz95D6.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trz95D6.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzA138.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzA138.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzA366.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzA366.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzA403.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzA403.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzB36F.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzB36F.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzBC2B.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzBC2B.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzD5D4.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzD5D4.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzDCB1.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzDCB1.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] trzEE7E.tmp : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U\trzEE7E.tmp [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\L\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 201d3dde : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\L\201d3dde [-] --> SUPPRIMÉ
[Del.Parent][FILE] 76603ac3 : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\L\76603ac3 [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: FUJITSU MJA2320BH G2 +++++
--- User ---
[MBR] d91e3605096c74ac67e2ac12a919c3e5
[BSP] cf9a43a95e5bb4214ee6598d37f71715 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 158061 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 326782976 | Size: 145683 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_11032013_152452.txt >>
RKreport[1]_S_11032013_151906.txt ; RKreport[2]_D_11032013_152452.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
11 mars 2013 à 15:37
11 mars 2013 à 15:37
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
TheCrazyYakoute
Messages postés
15
Date d'inscription
lundi 11 mars 2013
Statut
Membre
Dernière intervention
29 juillet 2014
11 mars 2013 à 16:14
11 mars 2013 à 16:14
Voilà :
OTL.txt = https://pjjoint.malekal.com/files.php?id=20130311_10o14e8c7w11
Extras.txt = https://pjjoint.malekal.com/files.php?id=20130311_u11i12u8b11b5
Merci encore.
OTL.txt = https://pjjoint.malekal.com/files.php?id=20130311_10o14e8c7w11
Extras.txt = https://pjjoint.malekal.com/files.php?id=20130311_u11i12u8b11b5
Merci encore.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
11 mars 2013 à 16:30
11 mars 2013 à 16:30
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2011/08/31 11:38:58 | 000,082,944 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
[2009/11/09 13:00:53 | 000,000,000 | ---- | C] () -- C:\Users\Maxime\temp1.5
[2009/11/09 13:00:31 | 000,000,015 | ---- | C] () -- C:\Users\Maxime\prncnfgd
[2013/03/11 15:19:55 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U
* redemarre le pc sous windows et poste le rapport ici
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2011/08/31 11:38:58 | 000,082,944 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
[2009/11/09 13:00:53 | 000,000,000 | ---- | C] () -- C:\Users\Maxime\temp1.5
[2009/11/09 13:00:31 | 000,000,015 | ---- | C] () -- C:\Users\Maxime\prncnfgd
[2013/03/11 15:19:55 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U
* redemarre le pc sous windows et poste le rapport ici
TheCrazyYakoute
Messages postés
15
Date d'inscription
lundi 11 mars 2013
Statut
Membre
Dernière intervention
29 juillet 2014
11 mars 2013 à 16:43
11 mars 2013 à 16:43
Rapport après manipulation demandée :
========== OTL ==========
C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ deleted successfully.
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll moved successfully.
C:\Users\Maxime\temp1.5 moved successfully.
C:\Users\Maxime\prncnfgd moved successfully.
C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U folder moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 03112013_163453
*P.S. : Je ne peux toujours pas redémarrer windows en mode normal et suis obligé de rester en mode sans échec.
========== OTL ==========
C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ deleted successfully.
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll moved successfully.
C:\Users\Maxime\temp1.5 moved successfully.
C:\Users\Maxime\prncnfgd moved successfully.
C:\Windows\Installer\{6a424dd5-bf83-6807-5639-3a164b43dca7}\U folder moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 03112013_163453
*P.S. : Je ne peux toujours pas redémarrer windows en mode normal et suis obligé de rester en mode sans échec.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
Modifié par Malekal_morte- le 11/03/2013 à 16:46
Modifié par Malekal_morte- le 11/03/2013 à 16:46
Y a la souris sur ton écran noir ?
Si tu fais CTRL+ALT+Suppr ça donne quoi ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Si tu fais CTRL+ALT+Suppr ça donne quoi ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
TheCrazyYakoute
Messages postés
15
Date d'inscription
lundi 11 mars 2013
Statut
Membre
Dernière intervention
29 juillet 2014
11 mars 2013 à 16:48
11 mars 2013 à 16:48
Oui, j'ai la souris sur mon écran noir.
Ctrl+Alt+Suppr ne donne rien, par contre avec Ctrl+Maj+Echap j'arrive à ouvrir le gestionnaire des tâches, mais je n'y vois rien de particulier pour autant que je puisse dire...
Ctrl+Alt+Suppr ne donne rien, par contre avec Ctrl+Maj+Echap j'arrive à ouvrir le gestionnaire des tâches, mais je n'y vois rien de particulier pour autant que je puisse dire...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
11 mars 2013 à 16:53
11 mars 2013 à 16:53
Sur le gestionnaire de tâches
Menu Fichier / Nouvelle tâches.
tape explorer.exe ça donne quoi ?
si rien, tape userinit.exe et OK.
Menu Fichier / Nouvelle tâches.
tape explorer.exe ça donne quoi ?
si rien, tape userinit.exe et OK.
TheCrazyYakoute
Messages postés
15
Date d'inscription
lundi 11 mars 2013
Statut
Membre
Dernière intervention
29 juillet 2014
11 mars 2013 à 17:05
11 mars 2013 à 17:05
explorer.exe avait seulement lancé un nouveau processus dans la liste du gestionnaire, mais pas d'amélioration, en revanche userinit.exe m'a rendu mon bureau, qui semble fonctionner normalement (connexion internet rétablie).
Pour info, Chrome ne m'affichait déjà plus le message d'alerte concernant l'infection par sirefef.gen!C lors des derniers redémarrages.
Tout semble donc bien marcher en mode normal, je vais quand même lancer un dernier redémarrage pour voir si l'ordinateur s'éteint normalement et est encore fonctionnel au rallumage.
Pour info, Chrome ne m'affichait déjà plus le message d'alerte concernant l'infection par sirefef.gen!C lors des derniers redémarrages.
Tout semble donc bien marcher en mode normal, je vais quand même lancer un dernier redémarrage pour voir si l'ordinateur s'éteint normalement et est encore fonctionnel au rallumage.
TheCrazyYakoute
Messages postés
15
Date d'inscription
lundi 11 mars 2013
Statut
Membre
Dernière intervention
29 juillet 2014
11 mars 2013 à 17:20
11 mars 2013 à 17:20
C'est bon, tout à l'air de fonctionner très bien, MERCI INFINIMENT.
Dois-je procéder à un dernier scan pour être sûr que tout est bon ? Dois-je aussi garder malwarebytes ou OTL sur mon pc et en fonction ?
Merci encore et encore.
Dois-je procéder à un dernier scan pour être sûr que tout est bon ? Dois-je aussi garder malwarebytes ou OTL sur mon pc et en fonction ?
Merci encore et encore.
TheCrazyYakoute
Messages postés
15
Date d'inscription
lundi 11 mars 2013
Statut
Membre
Dernière intervention
29 juillet 2014
11 mars 2013 à 17:22
11 mars 2013 à 17:22
Puis-je aussi supprimer les fichiers mis en quarantaine par roguekiller ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
11 mars 2013 à 17:25
11 mars 2013 à 17:25
oui.
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
TheCrazyYakoute
Messages postés
15
Date d'inscription
lundi 11 mars 2013
Statut
Membre
Dernière intervention
29 juillet 2014
11 mars 2013 à 17:39
11 mars 2013 à 17:39
Super, merci encore et encore pour votre aide, et toutes ces informations.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
11 mars 2013 à 17:40
11 mars 2013 à 17:40
pas de prb :)
