TR Rootkit Gen 7
Annnita
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je suis prise avec un TR Rootkit Gen 7 dans C: systeme volume information.
Avira me le bloque, je fais des scans et je le mets en quarantaine, mais il revient toujours.
Comment le détruire ?
Merci
Je suis prise avec un TR Rootkit Gen 7 dans C: systeme volume information.
Avira me le bloque, je fais des scans et je le mets en quarantaine, mais il revient toujours.
Comment le détruire ?
Merci
A voir également:
- TR Rootkit Gen 7
- Photofiltre 7 - Télécharger - Retouche d'image
- Clé windows 7 - Guide
- Delphi 7 - Télécharger - Langages
- Télécharger 7-zip - Télécharger - Compression & Décompression
- Movie maker windows 7 - Télécharger - Montage & Édition
9 réponses
Salut,
▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
A+
▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
A+
Merci !
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Annita [Droits d'admin]
Mode : Recherche -- Date : 21/04/2013 19:14:02
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 1 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] $NtUninstallKB12550$ : C:\WINDOWS\$NtUninstallKB12550$ --> TROUVÉ
[Faked.Drv][FILE] netbt.sys : C:\WINDOWS\system32\drivers\netbt.sys [-] --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xF7C4AA1C)
SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xF7C4A9D6)
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xF7C4AA26)
SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7C4A9CC)
SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xF7C4A9DB)
SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xF7C4A9E5)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xF7C4AA17)
SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xF7C4A9EA)
SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7C4A9B8)
SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7C4A9BD)
SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xF7C4AA3F)
SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xF7C4A9F4)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xF7C4AA30)
SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xF7C4A9EF)
SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xF7C4AA2B)
SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xF7C4AA35)
SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xF7C4A9E0)
SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xF7C4AA3A)
SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xF7C4A9C7)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C4AA4E)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C4AA53)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1234GSX +++++
--- User ---
[MBR] 25eaa88b3847ff179b423def4c377240
[BSP] dd59bbcbdb27dafd51a14e93e4b721f8 : MBR Code unknown
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 47 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 96390 | Size: 107615 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220508190 | Size: 2047 Mo
3 - [XXXXXX] UNKNOWN (0xdb) [VISIBLE] Offset (sectors): 224701155 | Size: 4753 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_21042013_191402.txt >>
RKreport[1]_S_21042013_191402.txt
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Annita [Droits d'admin]
Mode : Recherche -- Date : 21/04/2013 19:14:02
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 1 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] $NtUninstallKB12550$ : C:\WINDOWS\$NtUninstallKB12550$ --> TROUVÉ
[Faked.Drv][FILE] netbt.sys : C:\WINDOWS\system32\drivers\netbt.sys [-] --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xF7C4AA1C)
SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xF7C4A9D6)
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xF7C4AA26)
SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7C4A9CC)
SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xF7C4A9DB)
SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xF7C4A9E5)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xF7C4AA17)
SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xF7C4A9EA)
SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7C4A9B8)
SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7C4A9BD)
SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xF7C4AA3F)
SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xF7C4A9F4)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xF7C4AA30)
SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xF7C4A9EF)
SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xF7C4AA2B)
SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xF7C4AA35)
SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xF7C4A9E0)
SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xF7C4AA3A)
SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xF7C4A9C7)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C4AA4E)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C4AA53)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1234GSX +++++
--- User ---
[MBR] 25eaa88b3847ff179b423def4c377240
[BSP] dd59bbcbdb27dafd51a14e93e4b721f8 : MBR Code unknown
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 47 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 96390 | Size: 107615 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220508190 | Size: 2047 Mo
3 - [XXXXXX] UNKNOWN (0xdb) [VISIBLE] Offset (sectors): 224701155 | Size: 4753 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_21042013_191402.txt >>
RKreport[1]_S_21042013_191402.txt
Bonjour,
Il y a un reste de l'infection zeroaccess et le driver aléatoire qu'il a patché.
Si roguekiller est toujours ouvert, clique sur suppression, si pas relance-le, refais un scan et ensuite le bouton suppression sera dégrisé.
Click rapport et poste-le.
Bonne semaine !
Il y a un reste de l'infection zeroaccess et le driver aléatoire qu'il a patché.
Si roguekiller est toujours ouvert, clique sur suppression, si pas relance-le, refais un scan et ensuite le bouton suppression sera dégrisé.
Click rapport et poste-le.
Bonne semaine !
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Annita [Droits d'admin]
Mode : Suppression -- Date : 22/04/2013 17:34:17
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 1 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][JUNCTION] C:\WINDOWS\$NtUninstallKB12550$ >> \systemroot\system32\config --> SUPPRIMÉ
[Del.Parent][FILE] @ : C:\WINDOWS\$NtUninstallKB12550$\168901399\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] Desktop.ini : C:\WINDOWS\$NtUninstallKB12550$\168901399\Desktop.ini [-] --> SUPPRIMÉ
[Del.Parent][FILE] cmatiteg : C:\WINDOWS\$NtUninstallKB12550$\168901399\L\cmatiteg [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\WINDOWS\$NtUninstallKB12550$\168901399\L --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\WINDOWS\$NtUninstallKB12550$\168901399\U --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\WINDOWS\$NtUninstallKB12550$\168901399 --> SUPPRIMÉ AU REBOOT
[Del.Parent][FILE] 2496209941 : C:\WINDOWS\$NtUninstallKB12550$\2496209941 [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\WINDOWS\$NtUninstallKB12550$ --> SUPPRIMÉ AU REBOOT
[Faked.Drv][FILE] netbt.sys : C:\WINDOWS\system32\drivers\netbt.sys [-] --> IMPOSSIBLE DE REPARER
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xF7C78B54)
SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xF7C78B0E)
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xF7C78B5E)
SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7C78B04)
SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xF7C78B13)
SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xF7C78B1D)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xF7C78B4F)
SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xF7C78B22)
SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7C78AF0)
SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7C78AF5)
SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xF7C78B77)
SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xF7C78B2C)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xF7C78B68)
SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xF7C78B27)
SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xF7C78B63)
SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xF7C78B6D)
SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xF7C78B18)
SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xF7C78B72)
SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xF7C78AFF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C78B86)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C78B8B)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1234GSX +++++
--- User ---
[MBR] 25eaa88b3847ff179b423def4c377240
[BSP] dd59bbcbdb27dafd51a14e93e4b721f8 : MBR Code unknown
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 47 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 96390 | Size: 107615 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220508190 | Size: 2047 Mo
3 - [XXXXXX] UNKNOWN (0xdb) [VISIBLE] Offset (sectors): 224701155 | Size: 4753 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3]_D_22042013_173417.txt >>
RKreport[1]_S_21042013_191402.txt ; RKreport[2]_S_22042013_173314.txt ; RKreport[3]_D_22042013_173417.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Annita [Droits d'admin]
Mode : Suppression -- Date : 22/04/2013 17:34:17
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 1 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][JUNCTION] C:\WINDOWS\$NtUninstallKB12550$ >> \systemroot\system32\config --> SUPPRIMÉ
[Del.Parent][FILE] @ : C:\WINDOWS\$NtUninstallKB12550$\168901399\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] Desktop.ini : C:\WINDOWS\$NtUninstallKB12550$\168901399\Desktop.ini [-] --> SUPPRIMÉ
[Del.Parent][FILE] cmatiteg : C:\WINDOWS\$NtUninstallKB12550$\168901399\L\cmatiteg [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\WINDOWS\$NtUninstallKB12550$\168901399\L --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\WINDOWS\$NtUninstallKB12550$\168901399\U --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\WINDOWS\$NtUninstallKB12550$\168901399 --> SUPPRIMÉ AU REBOOT
[Del.Parent][FILE] 2496209941 : C:\WINDOWS\$NtUninstallKB12550$\2496209941 [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\WINDOWS\$NtUninstallKB12550$ --> SUPPRIMÉ AU REBOOT
[Faked.Drv][FILE] netbt.sys : C:\WINDOWS\system32\drivers\netbt.sys [-] --> IMPOSSIBLE DE REPARER
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xF7C78B54)
SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xF7C78B0E)
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xF7C78B5E)
SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7C78B04)
SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xF7C78B13)
SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xF7C78B1D)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xF7C78B4F)
SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xF7C78B22)
SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7C78AF0)
SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7C78AF5)
SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xF7C78B77)
SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xF7C78B2C)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xF7C78B68)
SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xF7C78B27)
SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xF7C78B63)
SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xF7C78B6D)
SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xF7C78B18)
SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xF7C78B72)
SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xF7C78AFF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7C78B86)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7C78B8B)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1234GSX +++++
--- User ---
[MBR] 25eaa88b3847ff179b423def4c377240
[BSP] dd59bbcbdb27dafd51a14e93e4b721f8 : MBR Code unknown
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 47 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 96390 | Size: 107615 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220508190 | Size: 2047 Mo
3 - [XXXXXX] UNKNOWN (0xdb) [VISIBLE] Offset (sectors): 224701155 | Size: 4753 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3]_D_22042013_173417.txt >>
RKreport[1]_S_21042013_191402.txt ; RKreport[2]_S_22042013_173314.txt ; RKreport[3]_D_22042013_173417.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
j'ai aussi celui ci, car je l'ai repasser 2 fois
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Annita [Droits d'admin]
Mode : Recherche -- Date : 22/04/2013 17:43:51
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xF7B76B6C)
SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xF7B76B26)
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xF7B76B76)
SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7B76B1C)
SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xF7B76B2B)
SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xF7B76B35)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xF7B76B67)
SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xF7B76B3A)
SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7B76B08)
SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7B76B0D)
SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xF7B76B8F)
SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xF7B76B44)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xF7B76B80)
SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xF7B76B3F)
SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xF7B76B7B)
SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xF7B76B85)
SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xF7B76B30)
SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xF7B76B8A)
SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xF7B76B17)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7B76B9E)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7B76BA3)
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1234GSX +++++
--- User ---
[MBR] 25eaa88b3847ff179b423def4c377240
[BSP] dd59bbcbdb27dafd51a14e93e4b721f8 : MBR Code unknown
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 47 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 96390 | Size: 107615 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220508190 | Size: 2047 Mo
3 - [XXXXXX] UNKNOWN (0xdb) [VISIBLE] Offset (sectors): 224701155 | Size: 4753 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4]_S_22042013_174351.txt >>
RKreport[3]_D_22042013_173417.txt ; RKreport[4]_S_22042013_174351.txt
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Annita [Droits d'admin]
Mode : Recherche -- Date : 22/04/2013 17:43:51
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xF7B76B6C)
SSDT[41] : NtCreateKey @ 0x806240F6 -> HOOKED (Unknown @ 0xF7B76B26)
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xF7B76B76)
SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7B76B1C)
SSDT[63] : NtDeleteKey @ 0x80624592 -> HOOKED (Unknown @ 0xF7B76B2B)
SSDT[65] : NtDeleteValueKey @ 0x80624762 -> HOOKED (Unknown @ 0xF7B76B35)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xF7B76B67)
SSDT[98] : NtLoadKey @ 0x8062631A -> HOOKED (Unknown @ 0xF7B76B3A)
SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7B76B08)
SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7B76B0D)
SSDT[177] : NtQueryValueKey @ 0x8062231A -> HOOKED (Unknown @ 0xF7B76B8F)
SSDT[193] : NtReplaceKey @ 0x806261CA -> HOOKED (Unknown @ 0xF7B76B44)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xF7B76B80)
SSDT[204] : NtRestoreKey @ 0x80625AD6 -> HOOKED (Unknown @ 0xF7B76B3F)
SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xF7B76B7B)
SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xF7B76B85)
SSDT[247] : NtSetValueKey @ 0x80622668 -> HOOKED (Unknown @ 0xF7B76B30)
SSDT[255] : NtSystemDebugControl @ 0x806180CA -> HOOKED (Unknown @ 0xF7B76B8A)
SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xF7B76B17)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7B76B9E)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7B76BA3)
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1234GSX +++++
--- User ---
[MBR] 25eaa88b3847ff179b423def4c377240
[BSP] dd59bbcbdb27dafd51a14e93e4b721f8 : MBR Code unknown
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 47 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 96390 | Size: 107615 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 220508190 | Size: 2047 Mo
3 - [XXXXXX] UNKNOWN (0xdb) [VISIBLE] Offset (sectors): 224701155 | Size: 4753 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4]_S_22042013_174351.txt >>
RKreport[3]_D_22042013_173417.txt ; RKreport[4]_S_22042013_174351.txt
Bonjour,
On va vérifier si roguekiller a remplacé le fichier patché.
▶ Télécharge et lance TDSSKiller.
▶ Clique sur Change parameters
● Cocher la case Loaded modules. Le message Reboot is required s'affiche.
● Il faut le valider en cliquant sur Reboot now.
● Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
● L'outil TDSSKiller se relance.
▶ Cliquer de nouveau sur Change parameters.
● Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
● Valider par OK
▶ Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.
● Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
● Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
● Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
● Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
● Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
● Si TDSS File System est détecté, sélectionner l'option Delete
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut.
▶ Si l'outil te le demande, redémarre pour finir le nettoyage.
▶ Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.
▶ Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.
On va vérifier si roguekiller a remplacé le fichier patché.
▶ Télécharge et lance TDSSKiller.
▶ Clique sur Change parameters
● Cocher la case Loaded modules. Le message Reboot is required s'affiche.
● Il faut le valider en cliquant sur Reboot now.
● Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
● L'outil TDSSKiller se relance.
▶ Cliquer de nouveau sur Change parameters.
● Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
● Valider par OK
▶ Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.
● Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
● Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
● Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
● Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
● Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
● Si TDSS File System est détecté, sélectionner l'option Delete
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut.
▶ Si l'outil te le demande, redémarre pour finir le nettoyage.
▶ Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.
▶ Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.
Bonjour,
Mon ordinateur ne veut plus se connecter a internet depuis ma manoeuvre avec roguekiller.
Ma connection reste en mode lecture de l'adresse reseau.
Est ce que cela est possible ?
Mon ordinateur ne veut plus se connecter a internet depuis ma manoeuvre avec roguekiller.
Ma connection reste en mode lecture de l'adresse reseau.
Est ce que cela est possible ?
Bonjour,
Fais une restauration du système. Voir : https://support.microsoft.com/instantanswers/62ed802d-7c8d-35d9-9b82-6cace4b08185
Tu retaures à une date antérieure au passage de RogueKiller.
Quand c'est fait, tu passe un coup de combofix :
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Double sur combofix renommé afin de l'exécuter
Surtout, laisse-le installer la console de récupération !!!
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
Fais une restauration du système. Voir : https://support.microsoft.com/instantanswers/62ed802d-7c8d-35d9-9b82-6cace4b08185
Tu retaures à une date antérieure au passage de RogueKiller.
Quand c'est fait, tu passe un coup de combofix :
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Double sur combofix renommé afin de l'exécuter
Surtout, laisse-le installer la console de récupération !!!
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
