Supprimer un cheval de troie

Résolu
xLoLiX32 Messages postés 54 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

J'ai un cheval de troie (Win32:ZAccess-PB) sur mon ordinateur mais je ne sais pas comment le supprimé .

Merci de votre aide

3 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    [*] Télécharger sur le bureau RogueKiller (by tigzy) version 64
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+

    0
  2. xLoLiX32 Messages postés 54 Statut Membre 6
     
    [ZeroAccess] HKCR\[...]\InprocServer32 : (\\.\globalroot\systemroot\Installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n.) -> REPLACED (c:\windows\system32\wbem\wbemess.dll)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n --> REMOVED
    [ZeroAccess][FILE] @ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\@ --> REMOVED AT REBOOT
    [Del.Parent][FILE] 00000001.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\00000001.@ --> REMOVED
    [Del.Parent][FILE] 80000000.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\80000000.@ --> REMOVED
    [Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\800000cb.@ --> REMOVED
    [ZeroAccess][FOLDER] U : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U --> REMOVED
    [ZeroAccess][FILE] n : c:\documents and settings\tigzy\local settings\application data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n --> REMOVED
    [ZeroAccess][FILE] @ : c:\documents and settings\tigzy\local settings\application data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\@ --> REMOVED

    ¤¤¤ Driver: [CHARGE] ¤¤¤
    SSDT[98] : NtLoadKey @ 0x8061C482 -> HOOKED (Unknown @ 0xF8CD30E2)
    SSDT[122] : NtOpenProcess @ 0x805C1296 -> HOOKED (Unknown @ 0xF8CD30B0)
    SSDT[128] : NtOpenThread @ 0x805C1522 -> HOOKED (Unknown @ 0xF8CD30B5)
    SSDT[193] : NtReplaceKey @ 0x8061C332 -> HOOKED (Unknown @ 0xF8CD30EC)
    SSDT[204] : NtRestoreKey @ 0x8061BC3E -> HOOKED (Unknown @ 0xF8CD30E7)

    ¤¤¤ Infection : ZeroAccess ¤¤¤
    [...]

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 189868
    Temps écoulé: 7 minute(s), 1 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Données: C:\Documents and Settings\tigzy\Local Settings\Application Data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n. -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 5
    C:\Documents and Settings\tigzy\Bureau\LogicielsDesinfection\HideProc(v1.0)\HideProcDrv.sys (Rootkit.Agent) -> Aucune action effectuée.
    C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\00000001.@.vir (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\80000000.@.vir (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\n.vir (Trojan.Dropper.PE4) -> Mis en quarantaine et supprimé avec succès.
    0
    1. xLoLiX32 Messages postés 54 Statut Membre 6
       
      RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
      mail : tigzyRK<at>gmail<dot>com
      Remontees : https://www.luanagames.com/index.fr.html
      Site Web : https://www.luanagames.com/index.fr.html
      Blog : http://tigzyrk.blogspot.com/

      Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
      Demarrage : Mode normal
      Utilisateur : xLoLiC32 [Droits d'admin]
      Mode : Recherche -- Date : 30/04/2013 22:03:35
      | ARK || FAK || MBR |

      ¤¤¤ Processus malicieux : 0 ¤¤¤

      ¤¤¤ Entrees de registre : 3 ¤¤¤
      [TASK][SUSP PATH] DealPly : C:\Users\xLoLiC32\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE /Check [x] -> TROUVÉ
      [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
      [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
      [ZeroAccess][FILE] @ : C:\Windows\Installer\{3bd1fd68-eb44-2969-c17b-15792c672bea}\@ [-] --> TROUVÉ
      [ZeroAccess][FOLDER] U : C:\Windows\Installer\{3bd1fd68-eb44-2969-c17b-15792c672bea}\U --> TROUVÉ
      [ZeroAccess][FOLDER] L : C:\Windows\Installer\{3bd1fd68-eb44-2969-c17b-15792c672bea}\L --> TROUVÉ
      [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
      [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
      [Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ

      ¤¤¤ Driver : [NON CHARGE] ¤¤¤

      ¤¤¤ Infection : ZeroAccess ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      --> C:\Windows\system32\drivers\etc\hosts



      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: Hitachi HDS721010CLA330 ATA Device +++++
      --- User ---
      [MBR] 6d0807a74c068f50c31eabf6116d35b5
      [BSP] 1cbf86e5767ea210d01705cd2abf8b2a : Windows 7/8 MBR Code
      Partition table:
      0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
      1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      +++++ PhysicalDrive1: SAMSUNG HD501LJ ATA Device +++++
      --- User ---
      [MBR] 98c824b04cea203e05f02530d02c4535
      [BSP] 36da36f17d5fdbd696e49651be310645 : Legit.C MBR Code
      Partition table:
      0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[1]_S_30042013_220335.txt >>
      RKreport[1]_S_30042013_220335.txt

      Je crois que c'est plutôt ca !
      0
  3. Utilisateur anonyme
     
    Re

    Je te laisse finir

    @+
    0
    1. xLoLiX32 Messages postés 54 Statut Membre 6
       
      Cliquer sur Supprimer ?
      0
    2. Utilisateur anonyme
       
      Tu fais pour le mieux ;-))
      Comme tu ne tiens pas compte de ce qui t'est demandé
      0