Trojan Reveton

manello Messages postés 5 Statut Membre -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonsoir
j'ouvre un topic pour un suivi qui doit être, je pense, individuel !

j'ai le trojan Reveton il me semble.
symptome: au démarrage Windows: j'ai un pop up comme quoi je dois payer en ligne 100€ sous peine de poursuites pénales etc ... et sans accès au gestionnaire de tâches.

pour l'instant : j'ai fait un démarrage ss échec avec prise en charge réseaux,
puis MSConfig : désactivation toutes tâches au démarrage
puis redémarrage normal.

j'ai téléchargé Roguekiller et vais faire un scan et le poster ici.

j'ai Win 7.

Merci de m'aider
(c'est la 2° mi temps du Barça / PSG... 0-1 .... ça va être dur peut être d'avoir du support ce soir !! :-)) LOL )

7 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Poste le rapport RogueKiller.

    Tout le monde n'a pas Canal+ ou beIN sport :-)

    Smart
    0
  2. manello Messages postés 5 Statut Membre
     
    Bonsoir Smart91,

    bon : on en est à 1-1...
    ça va revenir par ici l'audience !! lol
    :-)

    ci dessous le rapport:

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : xxx[Droits d'admin]
    Mode : Recherche -- Date : 10/04/2013 22:06:28
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD10 EADS-00M2B0 SCSI Disk Device +++++
    --- User ---
    [MBR] 5d3ad9bfa75f98f21dc2c1d0487acb03
    [BSP] 7c2559f2a629ae9b8f61353657ed0c09 : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 468942 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 992057344 | Size: 469465 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1]_S_10042013_220628.txt >>
    RKreport[1]_S_10042013_220628.txt

    Merci de ton retour
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Ton rapport RK ne montre rien et en plus tu as démarré en mode normal. Cela veut dire que tu n'as plus le ransomware.

    As-tu passé RK le 10/04 avant22h06 ?

    Smart
    0
  4. manello Messages postés 5 Statut Membre
     
    j'avais passé Spyhunter qui me demandait ... de payer..
    donc j'ai laissé tomber...

    par contre :
    j'ai jamais redémarré depuis
    et actuellement : tous les programmes MSConfig sont désactivés.

    Dois-je :
    1/ activer les programmes dans MS Config'
    puis / et / ou
    2/ tenter un et démarrage normal ?

    Merci Smart
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. manello Messages postés 5 Statut Membre
     
    Remarque en plus

    dans MSConfig : j'ai un fichier curieux en cyrillique ...
    ci-dessous une capture écran :

    http://img541.imageshack.us/img541/20/capturemsconfig.jpg

    et ça :

    http://img836.imageshack.us/img836/6184/capturemsconfig2.jpg
    0
  7. manello Messages postés 5 Statut Membre
     
    petit update pour continuer les recherches en tâtonnant :
    j'ai redémarré en mode normal

    plus de pop up
    donc plus de trojan reveton ...

    il reste donc une dernière question:
    Je peux re cocher et ré activer tous les programmes au démarrage dans MS Config ?.. (vu les 2 doutes relevé juste plus haut à 23h19) ?

    Merci à Tous et Smart91 en particulier
    0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Pour MSConfig , tu ne coches que les programmes que tu désires qu'ils se lancent au démarrage du PC.

    Spyhunter est une arnaque, désinstalle le

    Smart
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      salut attention au MBR avec spyhunter.... :)
      0