Virus indécrottables (TR/Sirefef.AH', TR/atraps.Gen2...)
Fermé
Nikausorus rex
-
27 mars 2013 à 08:13
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 27 mars 2013 à 13:55
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 27 mars 2013 à 13:55
A voir également:
- Virus indécrottables (TR/Sirefef.AH', TR/atraps.Gen2...)
- Svchost.exe virus - Guide
- Altruistic virus ✓ - Forum Antivirus
- Myavids virus ✓ - Forum Téléphones & tablettes Android
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
9 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
27 mars 2013 à 08:14
27 mars 2013 à 08:14
Salut,
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Voici le rapport:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Demarrage : Mode normal
Utilisateur : Nikau [Droits d'admin]
Mode : Suppression -- Date : 27/03/2013 08:53:54
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1094831251-582291786-173473159-1001\$e3e0a261086759af70c64884fcd54c82\n.) [x] -> REMPLACÉ (C:\Windows\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\n) [-] -> REMPLACÉ (C:\Windows\system32\wbem\fastprox.dll)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\n [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1094831251-582291786-173473159-1001\$e3e0a261086759af70c64884fcd54c82\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U\000000cb.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U\80000000.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1094831251-582291786-173473159-1001\$e3e0a261086759af70c64884fcd54c82\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\L\00000004.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1094831251-582291786-173473159-1001\$e3e0a261086759af70c64884fcd54c82\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS547564A9E384 +++++
--- User ---
[MBR] 5c93e5f85c89ca4b65e8d6536e546eb7
[BSP] b3002a32f9ede7359c5df5329964c6fa : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 2097151 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: SD Card +++++
--- User ---
[MBR] 65859c9405dfd501d499a2780c79f283
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 8192 | Size: 15189 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2]_D_27032013_085354.txt >>
RKreport[1]_S_27032013_085130.txt ; RKreport[2]_D_27032013_085354.txt
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Demarrage : Mode normal
Utilisateur : Nikau [Droits d'admin]
Mode : Suppression -- Date : 27/03/2013 08:53:54
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1094831251-582291786-173473159-1001\$e3e0a261086759af70c64884fcd54c82\n.) [x] -> REMPLACÉ (C:\Windows\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\n) [-] -> REMPLACÉ (C:\Windows\system32\wbem\fastprox.dll)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\n [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1094831251-582291786-173473159-1001\$e3e0a261086759af70c64884fcd54c82\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U\000000cb.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U\80000000.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1094831251-582291786-173473159-1001\$e3e0a261086759af70c64884fcd54c82\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\L\00000004.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e3e0a261086759af70c64884fcd54c82\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1094831251-582291786-173473159-1001\$e3e0a261086759af70c64884fcd54c82\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS547564A9E384 +++++
--- User ---
[MBR] 5c93e5f85c89ca4b65e8d6536e546eb7
[BSP] b3002a32f9ede7359c5df5329964c6fa : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 2097151 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: SD Card +++++
--- User ---
[MBR] 65859c9405dfd501d499a2780c79f283
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 8192 | Size: 15189 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2]_D_27032013_085354.txt >>
RKreport[1]_S_27032013_085130.txt ; RKreport[2]_D_27032013_085354.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
27 mars 2013 à 09:00
27 mars 2013 à 09:00
Sauvegarde tes documents importants.
A lire en entier.
Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.
A lire en entier.
Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Nikausorus rex
Messages postés
2
Date d'inscription
mercredi 27 mars 2013
Statut
Membre
Dernière intervention
27 mars 2013
27 mars 2013 à 09:38
27 mars 2013 à 09:38
Comme énoncé plus haut, ma configuration ne me permet pas d'utiliser Combofix..... Le logiciel ne veut pas se lancer, en me disant qu'il ne marche que pour XP vista et 7, plus pour la version 2000, et je suis sur Windows 8 x86
Nikausorus rex
Messages postés
2
Date d'inscription
mercredi 27 mars 2013
Statut
Membre
Dernière intervention
27 mars 2013
27 mars 2013 à 09:47
27 mars 2013 à 09:47
Mais en totu cas, pour le moment, plus de nouvelles des-dits virus, depuis le scan avec RogueKiller.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
27 mars 2013 à 10:09
27 mars 2013 à 10:09
ok.
tu peux scanner le fichier c:\windows\system32\Services.exe sur https://www.virustotal.com/gui/ et donner le lien de scan.
~~
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
tu peux scanner le fichier c:\windows\system32\Services.exe sur https://www.virustotal.com/gui/ et donner le lien de scan.
~~
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
De nouveaux problèmes se sont manifestés, avec Windows update notamment, j'ai donc préféré sauvegarder mes fichiers, et restaurer une version antérieure du pc, et du coup tout est nickel maintenant. J'aurai peut-être dû y penser plus tôt, en tout cas désolé de t'avoir fait perdre du temps, et merci beaucoup des directives que tu m'as donné.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
27 mars 2013 à 13:55
27 mars 2013 à 13:55
Parce que ZeroAccess pète des services, ça se remet.
Par contre tu devrais quand même faire AdwCleaner.
Par contre tu devrais quand même faire AdwCleaner.
