Alerte Avast récurrente : ZAccess
Résolu/Fermé
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
-
Modifié par juju666 le 13/03/2013 à 07:00
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 14 mars 2013 à 00:01
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 14 mars 2013 à 00:01
A voir également:
- Alerte Avast récurrente : ZAccess
- Fausse alerte mcafee - Accueil - Piratage
- Avast clear - Télécharger - Antivirus & Antimalwares
- Fausse alerte connexion facebook - Guide
- Avast gratuit windows 7 - Télécharger - Antivirus & Antimalwares
- Dri avast software - Forum Consommation & Internet
21 réponses
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 06:59
13 mars 2013 à 06:59
Bonjour
▶ Télécharge ici : RogueKiller
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan, et enfin Suppression.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
!!! Je répète bien faire Scan puis Suppression !!!
A+
▶ Télécharge ici : RogueKiller
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan, et enfin Suppression.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
!!! Je répète bien faire Scan puis Suppression !!!
A+
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
13 mars 2013 à 07:31
13 mars 2013 à 07:31
Bonjour juju666,
J'ai fait ce que tu m'as demandé, jusqu'à l'étape "Suppression".
Lorsque je clique sur le bouton en question ça m'envoie vers la page suivante :
http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
Puis le scan redémarre, et là il me demande de redémarrer mon PC, mais je n'ai pas eu la possibilité de cliquer sur "Rapport".
Je redémarre mon PC ?
Merci d'avance.
J'ai fait ce que tu m'as demandé, jusqu'à l'étape "Suppression".
Lorsque je clique sur le bouton en question ça m'envoie vers la page suivante :
http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
Puis le scan redémarre, et là il me demande de redémarrer mon PC, mais je n'ai pas eu la possibilité de cliquer sur "Rapport".
Je redémarre mon PC ?
Merci d'avance.
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 07:34
13 mars 2013 à 07:34
Oui redémarre le PC, et tu posteras le contenu du rapport intitulé RKreport[2]blablabla.txt
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
13 mars 2013 à 08:48
13 mars 2013 à 08:48
J'ai lancé le redémarrage du PC dans la foulée, mais impossible de finaliser le redémarrage, l'écran reste noir, avec le pointeur de ma souris comme seul élément visible et mobile. Y a-t-il une raison à cela et une manipulation pour finaliser le redémarrage ?
(J'écris depuis un autre ordinateur en ce moment-même pour résoudre ce problème collatéral..)
Merci d'avance !
(J'écris depuis un autre ordinateur en ce moment-même pour résoudre ce problème collatéral..)
Merci d'avance !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 08:57
13 mars 2013 à 08:57
Force l'arrêt puis redémarre pour voir ?
Si ça fait toujours pareil, est-ce possible d'atteindre le mode sans échec ? Tapoter F8 dès que l'ordi s'allume.
Si ça fait toujours pareil, est-ce possible d'atteindre le mode sans échec ? Tapoter F8 dès que l'ordi s'allume.
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
13 mars 2013 à 11:13
13 mars 2013 à 11:13
J'ai essayé plusieurs fois en forçant l'arrêt, redémarrant normalement, puis en mode sans échec avec prise en compte réseau, le résultat ne change pas, je vais réessayer en mode sans échec sans prise en compte réseau, puis si ça ne marche pas, en tapotant F8 comme vous me le conseillez, je reviens vers vous dès que j'aurai des résultats à vous transmettre..
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 13:10
13 mars 2013 à 13:10
Lance une restauration en invite de commandes en mode sans échec - voir paragraphe Restauration du système en ligne de commandes mode sans échec: https://forum.malekal.com/viewtopic.php?t=20428&start=#p166263
Si tu es sur Windows Seven/8, lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847
** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **
NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.
Si tu es sur Windows Seven/8, lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847
** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **
NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
13 mars 2013 à 13:40
13 mars 2013 à 13:40
Je viens de lire ton message, il se trouve que lorsque j'ai tapoter F8, j'ai bien vu l'option "réparer" que j'ai fait de moi-même, j'ai fait le scan rapide proposé en 1e choix, puis la restauration système de "l'image" automatique créée il y a 2 jours.
Sinon, à priori pour le moment pas d'alerte d'Avast, mais je te donne tout de même le rapport de RK, où je vois ce qu'il me semblait avoir compris, par mes recherches antérieures à la création de ce sujet (sans certitude aucune), l'infection : Zero Access
Ci-joint ledit rapport :
RogueKiller V8.5.2 [Mar 9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Cross [Droits d'admin]
Mode : Suppression -- Date : 13/03/2013 07:27:25
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\@ [-] --> SUPPRIMÉ AU REBOOT
[Del.Parent][FILE] 00000004.@ : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U\000000cb.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\windows\system32\services.exe [-] --> REMPLACÉ AU REBOOT (C:\windows\Temp\8f3fcdef-6531-4736-9662-7f1c821720d6\services.exe)
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST1000LM024 HN-M101MBB +++++
--- User ---
[MBR] d92b646a6fc5a5535df3eb4e33d71ec7
[BSP] 076918214a7d5ca5bd75f26712f67efb : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 52430848 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 52635648 | Size: 410163 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 892649472 | Size: 518005 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_13032013_072725.txt >>
RKreport[1]_S_13032013_072354.txt ; RKreport[2]_D_13032013_072725.txt
Que dois-je faire ensuite pour en finir définitivement avec cet incident de parcours ?
Sinon, à priori pour le moment pas d'alerte d'Avast, mais je te donne tout de même le rapport de RK, où je vois ce qu'il me semblait avoir compris, par mes recherches antérieures à la création de ce sujet (sans certitude aucune), l'infection : Zero Access
Ci-joint ledit rapport :
RogueKiller V8.5.2 [Mar 9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Cross [Droits d'admin]
Mode : Suppression -- Date : 13/03/2013 07:27:25
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\@ [-] --> SUPPRIMÉ AU REBOOT
[Del.Parent][FILE] 00000004.@ : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U\000000cb.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\windows\system32\services.exe [-] --> REMPLACÉ AU REBOOT (C:\windows\Temp\8f3fcdef-6531-4736-9662-7f1c821720d6\services.exe)
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST1000LM024 HN-M101MBB +++++
--- User ---
[MBR] d92b646a6fc5a5535df3eb4e33d71ec7
[BSP] 076918214a7d5ca5bd75f26712f67efb : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 52430848 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 52635648 | Size: 410163 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 892649472 | Size: 518005 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_13032013_072725.txt >>
RKreport[1]_S_13032013_072354.txt ; RKreport[2]_D_13032013_072725.txt
Que dois-je faire ensuite pour en finir définitivement avec cet incident de parcours ?
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 13:43
13 mars 2013 à 13:43
Magnifique :)
Relance RogueKiller clique sur Scan et poste le rapport
~~
Télécharge Farbar Service Scanner sur ton Bureau.
● Coche les cases suivantes :
● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.
Héberge le rapport sur FEC Upload et poste le lien obtenu en échange
Relance RogueKiller clique sur Scan et poste le rapport
~~
Télécharge Farbar Service Scanner sur ton Bureau.
● Coche les cases suivantes :
Internet Services Windows Firewall System Restore Security Center Windows Update Windows Defender Others Services
● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.
Héberge le rapport sur FEC Upload et poste le lien obtenu en échange
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
13 mars 2013 à 18:29
13 mars 2013 à 18:29
Le rapport RK :
RogueKiller V8.5.3 [Mar 13 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Cross [Droits d'admin]
Mode : Recherche -- Date : 13/03/2013 18:24:47
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST1000LM024 HN-M101MBB +++++
--- User ---
[MBR] d92b646a6fc5a5535df3eb4e33d71ec7
[BSP] 076918214a7d5ca5bd75f26712f67efb : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 52430848 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 52635648 | Size: 410163 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 892649472 | Size: 518005 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3]_S_13032013_182447.txt >>
RKreport[1]_S_13032013_072354.txt ; RKreport[2]_D_13032013_072725.txt ; RKreport[3]_S_13032013_182447.txt
Le rapport FSS.txt :
https://forums-fec.be/upload/www/?a=d&i=3523405412
RogueKiller V8.5.3 [Mar 13 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Cross [Droits d'admin]
Mode : Recherche -- Date : 13/03/2013 18:24:47
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST1000LM024 HN-M101MBB +++++
--- User ---
[MBR] d92b646a6fc5a5535df3eb4e33d71ec7
[BSP] 076918214a7d5ca5bd75f26712f67efb : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 52430848 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 52635648 | Size: 410163 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 892649472 | Size: 518005 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3]_S_13032013_182447.txt >>
RKreport[1]_S_13032013_072354.txt ; RKreport[2]_D_13032013_072725.txt ; RKreport[3]_S_13032013_182447.txt
Le rapport FSS.txt :
https://forums-fec.be/upload/www/?a=d&i=3523405412
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 18:41
13 mars 2013 à 18:41
Relance RogueKiller et refais une suppression
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
13 mars 2013 à 19:15
13 mars 2013 à 19:15
C'est fait, et maintenant ?
(Ci-joint le rapport RK qui est maintenant le 5e)
RogueKiller V8.5.3 [Mar 13 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Cross [Droits d'admin]
Mode : Suppression -- Date : 13/03/2013 19:11:58
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U --> SUPPRIMÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST1000LM024 HN-M101MBB +++++
--- User ---
[MBR] d92b646a6fc5a5535df3eb4e33d71ec7
[BSP] 076918214a7d5ca5bd75f26712f67efb : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 52430848 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 52635648 | Size: 410163 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 892649472 | Size: 518005 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5]_D_13032013_191158.txt >>
RKreport[1]_S_13032013_072354.txt ; RKreport[2]_D_13032013_072725.txt ; RKreport[3]_S_13032013_182447.txt ; RKreport[4]_S_13032013_190931.txt ; RKreport[5]_D_13032013_191158.txt
(Ci-joint le rapport RK qui est maintenant le 5e)
RogueKiller V8.5.3 [Mar 13 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Cross [Droits d'admin]
Mode : Suppression -- Date : 13/03/2013 19:11:58
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\windows\Installer\{7bc17cc0-4e88-346e-afb8-de85c4fa57e2}\U --> SUPPRIMÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST1000LM024 HN-M101MBB +++++
--- User ---
[MBR] d92b646a6fc5a5535df3eb4e33d71ec7
[BSP] 076918214a7d5ca5bd75f26712f67efb : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 52430848 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 52635648 | Size: 410163 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 892649472 | Size: 518005 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5]_D_13032013_191158.txt >>
RKreport[1]_S_13032013_072354.txt ; RKreport[2]_D_13032013_072725.txt ; RKreport[3]_S_13032013_182447.txt ; RKreport[4]_S_13032013_190931.txt ; RKreport[5]_D_13032013_191158.txt
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 19:16
13 mars 2013 à 19:16
Super !
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox
▶ Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs"
Sous Registre: standard coche Tous.
Coche les cases à coté de Recherche Lop et Recherche Purity.
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
services.exe
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
atapi.sys
afd.sys
ipsec.sys
netbt.sys
tcpip.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox
▶ Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs"
Sous Registre: standard coche Tous.
Coche les cases à coté de Recherche Lop et Recherche Purity.
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
services.exe
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
atapi.sys
afd.sys
ipsec.sys
netbt.sys
tcpip.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
13 mars 2013 à 19:37
13 mars 2013 à 19:37
Rapport OTL.text:
https://forums-fec.be/upload/www/?a=d&i=1420443725
Rapport Extra.text :
https://forums-fec.be/upload/www/?a=d&i=9398092931
https://forums-fec.be/upload/www/?a=d&i=1420443725
Rapport Extra.text :
https://forums-fec.be/upload/www/?a=d&i=9398092931
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 19:40
13 mars 2013 à 19:40
OK.
▶ Télécharge sur cette page: AdwCleaner (de Xplode)
▶ Lance-le
clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
Évite de télécharger sur softonic c'est pourri !
Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.
Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
voir aussi : http://tigzyrk.blogspot.be/2012/06/info-01net-comment-monetiser-sur-le-dos.html
Le mieux étant de se renseigner sur google de l'éditeur OFFICIEL du programme et de le télécharger sur leur site.
▶ Télécharge sur cette page: AdwCleaner (de Xplode)
▶ Lance-le
clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
Évite de télécharger sur softonic c'est pourri !
Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.
Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
voir aussi : http://tigzyrk.blogspot.be/2012/06/info-01net-comment-monetiser-sur-le-dos.html
Le mieux étant de se renseigner sur google de l'éditeur OFFICIEL du programme et de le télécharger sur leur site.
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
Modifié par Pala' le 13/03/2013 à 20:00
Modifié par Pala' le 13/03/2013 à 20:00
Le rapport AdwareCleaner :
https://forums-fec.be/upload/www/?a=d&i=9202341444
Pour ton conseil sur les toolbars, j'ai toujours fait comme ça, depuis que j'ai compris que ça n'apportait rien de plus qu'une surcharge inutile..
Edit: Il semblerait que j'ai manqué d'attention dernièrement sinon je n'aurai pas eu ce problème..
Que dois-je faire ensuite ? :)
https://forums-fec.be/upload/www/?a=d&i=9202341444
Pour ton conseil sur les toolbars, j'ai toujours fait comme ça, depuis que j'ai compris que ça n'apportait rien de plus qu'une surcharge inutile..
Edit: Il semblerait que j'ai manqué d'attention dernièrement sinon je n'aurai pas eu ce problème..
Que dois-je faire ensuite ? :)
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 20:00
13 mars 2013 à 20:00
Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.
~~
Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/
~~
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
~~
Sécurise ton PC !
Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
Bonne lecture, bon surf.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.
~~
Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/
~~
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
~~
Sécurise ton PC !
Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
Bonne lecture, bon surf.
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
Modifié par Pala' le 13/03/2013 à 20:08
Modifié par Pala' le 13/03/2013 à 20:08
Spybot et Ad-aware, deux logiciels que je n'ai jamais eu sur mon PC.
MacAfee, j'avais la version pré-installée, que j'ai immédiatement remplacé par Avast, donc il est désinstallé depuis un bout de temps maintenant.
Je peux donc en conclure que le problème est désormais résolu, merci beaucoup pour ton aide, je finalise avec tes dernières indications en ce moment-même.
Je garde le sujet en favori, il pourrait me servir si ça venait à se reproduire ! :)
Bonne soirée !
MacAfee, j'avais la version pré-installée, que j'ai immédiatement remplacé par Avast, donc il est désinstallé depuis un bout de temps maintenant.
Je peux donc en conclure que le problème est désormais résolu, merci beaucoup pour ton aide, je finalise avec tes dernières indications en ce moment-même.
Je garde le sujet en favori, il pourrait me servir si ça venait à se reproduire ! :)
Bonne soirée !
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
13 mars 2013 à 20:42
13 mars 2013 à 20:42
OK et hésite pas à poster le rapport malwarebytes ;)
Pala'
Messages postés
11
Date d'inscription
mercredi 13 mars 2013
Statut
Membre
Dernière intervention
13 mars 2013
13 mars 2013 à 23:56
13 mars 2013 à 23:56
Le voici :
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org
Version de la base de données: v2013.03.13.11
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Cross :: CROSS-PC [administrateur]
13/03/2013 23:44:23
mbam-log-2013-03-13 (23-44-23).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 229634
Temps écoulé: 4 minute(s), 1 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Bon maintenant, je dois résoudre un autre souci, avec la version 8.0.1455 qui est mauvaise (je suis passé de Avast ! Free à la démo 30 jours d'Avast Pro.. bizarrement c'était pas le cas avant le nettoyage, enfin, je devrai pouvoir résoudre ça facilement. :)
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org
Version de la base de données: v2013.03.13.11
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Cross :: CROSS-PC [administrateur]
13/03/2013 23:44:23
mbam-log-2013-03-13 (23-44-23).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 229634
Temps écoulé: 4 minute(s), 1 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Bon maintenant, je dois résoudre un autre souci, avec la version 8.0.1455 qui est mauvaise (je suis passé de Avast ! Free à la démo 30 jours d'Avast Pro.. bizarrement c'était pas le cas avant le nettoyage, enfin, je devrai pouvoir résoudre ça facilement. :)