Virtool:Win32/obfuscator.Xz

Résolu
olivier70 Messages postés 69 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Mon antivirus (Microsoft Security Essentials) a détecter 2 virus :
-Virtool:Win32/Obfuscator.XZ
-Trojan:Win32/malgent

lors de la suppression des virus, l'antivirus reste bloquer au 3/4. Il semblerait qu'il n'arrive pas à supprimer les virus ? est ce qu'il y a une démarche à suivre afin de pouvoir les supprimer ?

Merci d'avance

49 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Microsoft Security Essentials détecte deux virus, Virtool:Win32/Obfuscator.XZ et Trojan:Win32/malgent, et la suppression échoue alors que le logiciel reste bloqué à 3/4 des opérations, malgré des tentatives initiales de suppression.
Plusieurs réponses suggèrent des outils complémentaires comme RogueKiller et Malwarebytes Anti-Malware, avec des suppressions de clés de registre et d’objets récurrents, et des rapports détaillés attendus.
Les interventions les plus pertinentes incluent un scan complet avec Malwarebytes Anti-Malware, la suppression des éléments de registre et des fichiers malveillants, puis un redémarrage et un nouveau scan pour confirmer l’élimination.
Des rapports MBAM peuvent indiquer des éléments en quarantaine et des suppressions différées au redémarrage, et des outils dédiés comme DelFix permettent de désinstaller proprement les utilitaires après nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonjour,

    * Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    ou
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    /!\Utilisateur de Vista, Seven et W8 :

    * Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur le tourne vis , sélectionne tous les modules.

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

    https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers


    0
  2. Utilisateur anonyme
     
    installe la dernière version d'adobe reader et java depuis leurs sites dédiés !

    attention aux barres d'outils et le P2P !

    à part ça, tu dois t'en douter, ton pc est blindé de cr@ck et keygen !!!

    * /!\ Avertissement /!\,
    * ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !

    * Lance ZHPFix via le raccourci sur ton Bureau

    /!\Utilisateur de Vista, Seven et W8 :

    * Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

    * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
    ---------------------------------------------------------

    O43 - CFD: 21/04/2013 - 11:12:47 - [0] -SH-D C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
    [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}] [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
    O4 - HKUS\S-1-5-21-365594004-2303818731-2447722735-1003\..\Run: [HKCU] . (.Microsoft Corporation - Launcher.) -- C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe
    [HKCU\Software\953d98bbc69e842]
    [HKCU\Software\InstallCore] [HKLM\Software\Wow6432Node\953d98bbc69e842]
    [HKCU\Software\InstallCore] =>Adware.InstallCore
    [HKLM\Software\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062}] [HKLM\Software\Wow6432Node\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062}]
    [HKCU\Software\953d98bbc69e842]
    [HKCU\Software\953d98bbc69e842]:GUID="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
    [HKCU\Software\953d98bbc69e842]:PROTECT_EXE_NAME="mngr.exe"
    [HKCU\Software\953d98bbc69e842]:version="2.5.911.18"
    [HKLM\Software\Wow6432Node\953d98bbc69e842]
    [HKLM\Software\Wow6432Node\953d98bbc69e842]:GUID="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
    [HKLM\Software\Wow6432Node\953d98bbc69e842]:PROTECT_EXE_NAME="mngr.exe"
    [HKLM\Software\Wow6432Node\953d98bbc69e842]:version="2.5.911.18"
    Emptytemp
    EmptyClsid
    Firewallraz


    ----------------------------------------------------------

    - Si tu ne trouves pas le bouton GO, clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à gauche de la page d'outil)

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - confirme le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    0
  3. olivier70 Messages postés 69 Statut Membre 1
     
    oui je me doute mais je ne pensais pas que c'était aussi embêtant à nettoyer

    voici le rapport de ZHPFix :

    Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-26-05-2013-12-51-12.txt
    Run by PC at 26/05/2013 12:51:12
    High Elevated Privileges : OK
    Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

    Corbeille vidée

    ========== Clé(s) du Registre ==========
    ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} \Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS
    SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32
    SUPPRIME Key: HKCU\Software\953d98bbc69e842
    ABSENT Key: HKCU\Software\InstallCore [HKLM\Software\Wow6432Node\953d98bbc69e842
    SUPPRIME Key: HKCU\Software\InstallCore
    ABSENT Key: HKLM\Software\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062} \Software\Wow6432Node\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062}
    SUPPRIME Key: HKLM\Software\Wow6432Node\953d98bbc69e842

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: HKCU
    ABSENT [HKCU\Software\953d98bbc69e842]:GUID="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
    ABSENT [HKCU\Software\953d98bbc69e842]:PROTECT_EXE_NAME="mngr.exe"
    ABSENT [HKCU\Software\953d98bbc69e842]:version="2.5.911.18"
    ABSENT [HKLM\Software\Wow6432Node\953d98bbc69e842]:GUID="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
    ABSENT [HKLM\Software\Wow6432Node\953d98bbc69e842]:PROTECT_EXE_NAME="mngr.exe"
    ABSENT [HKLM\Software\Wow6432Node\953d98bbc69e842]:version="2.5.911.18"
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :
    SUPPRIME FirewallRaz (Private) : {2C4A989C-DAED-406F-A673-D8B03632DCFA}
    SUPPRIME FirewallRaz (Private) : {7E28BFB1-0A73-4870-A12B-A2B6508F1717}

    ========== Dossier(s) ==========
    Aucun dossiers CLSID Local utilisateur vide

    ========== Fichier(s) ==========
    SUPPRIME File: c:\users\olivier-hp\appdata\roaming\windir\svchost.exe
    SUPPRIME Temporaires Windows

    ========== Récapitulatif ==========
    7 : Clé(s) du Registre
    11 : Valeur(s) du Registre
    1 : Dossier(s)
    2 : Fichier(s)

    End of clean in 00mn 03s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 21/12/2012 14:22:44 [7138]
    C:\ZHP\ZHPFix[R2].txt - 21/12/2012 14:54:19 [429]
    C:\ZHP\ZHPFix[R3].txt - 21/12/2012 14:54:44 [480]
    C:\ZHP\ZHPFix[R4].txt - 21/12/2012 15:06:54 [1301]
    C:\ZHP\ZHPFix[R5].txt - 21/12/2012 15:36:11 [1401]
    C:\ZHP\ZHPFix[R6].txt - 26/05/2013 12:51:12 [2394]
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    ok,

    tu as déjà MBAM sur ton pc,

    /!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur édition en haut du boc notes, et puis sur sélectionner tous
    . tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    0
  6. olivier70 Messages postés 69 Statut Membre 1
     
    Le resultat de l'analyse :

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Database version: v2013.04.04.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 10.0.9200.16576
    Olivier-HP :: PC-HP [limited]

    26/05/2013 14:07:18
    mbam-log-2013-05-26 (14-07-18).txt

    Scan type: Full scan (C:\|D:\|E:\|Q:\|)
    Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
    Scan options disabled: P2P
    Objects scanned: 520280
    Time elapsed: 2 hour(s), 31 second(s)

    Memory Processes Detected: 0
    (No malicious items detected)

    Memory Modules Detected: 0
    (No malicious items detected)

    Registry Keys Detected: 2
    HKCU\SOFTWARE\CYBER (Backdoor.Trace) -> Quarantined and deleted successfully.
    HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> Delete on reboot.

    Registry Values Detected: 2
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|HKCU (Trojan.Agent) -> Data: C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe -> Quarantined and deleted successfully.
    HKCU\Software\Cyber|FirstExecution (Backdoor.Trace) -> Data: 25/05/2013 -- 15:32 -> Quarantined and deleted successfully.

    Registry Data Items Detected: 0
    (No malicious items detected)

    Folders Detected: 1
    C:\ProgramData\IBUpdaterService (PUP.InstallBrain) -> Delete on reboot.

    Files Detected: 4
    C:\ZHP\Quarantine\autokms.exe.VIR (Trojan.AutoKMS) -> Quarantined and deleted successfully.
    C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> Delete on reboot.
    C:\ProgramData\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Delete on reboot.

    (end)
    0
  7. Utilisateur anonyme
     
    redémarre ton pc,

    refais une nouvelle mise à jour de Mbam et repasse un nouveau scan complet

    0
  8. olivier70 Messages postés 69 Statut Membre 1
     
    la recherche de mise à jour est griser je ne peux donc pas cliquer dessus, je passe directement au scan ?
    0
  9. Utilisateur anonyme
     
    vas y pour voir, normalement, il devrait être à jour :-)

    0
  10. olivier70 Messages postés 69 Statut Membre 1
     
    voici le resultat du 2eme scan :

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.04.04.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 10.0.9200.16576
    Olivier-HP :: PC-HP [limité]

    26/05/2013 19:08:43
    mbam-log-2013-05-26 (19-08-43).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 520147
    Temps écoulé: 2 heure(s), 1 minute(s), 13 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 2
    HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> Suppression au redémarrage.
    HKCU\SOFTWARE\CYBER (Backdoor.Trace) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 2
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|HKCU (Trojan.Agent) -> Données: C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\Software\Cyber|FirstExecution (Backdoor.Trace) -> Données: 26/05/2013 -- 18:53 -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 1
    C:\ProgramData\IBUpdaterService (PUP.InstallBrain) -> Suppression au redémarrage.

    Fichier(s) détecté(s): 3
    C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> Suppression au redémarrage.
    C:\ProgramData\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Suppression au redémarrage.

    (fin)
    0
  11. Utilisateur anonyme
     
    redémarre le pc,

    * Télécharge TDSSKiller sur ton bureau :

    https://support.kaspersky.com/downloads/utils/tdsskiller.exe

    * Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

    * Clique sur [Start Scan] pour démarrer l'analyse.

    * Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

    * Un rapport s'ouvrira au redémarrage du PC.

    * Copie/Colle son contenu dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

    note :
    Conserve l'action proposée par défaut par l'outil :

    - Si TDSS.tdl2 : l'option Delete sera cochée.
    - Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
    - Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
    - Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D


    0
  12. olivier70 Messages postés 69 Statut Membre 1
     
    Aucun élément n'a été trouvé.
    0
  13. Utilisateur anonyme
     
    ok,

    * [*] Télécharger et enregistre RogueKiller sur le bureau
    https://www.luanagames.com/index.fr.html (by tigzy)

    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

    Note : Si RogueKiller ne se lance pas, change son nom en Winlogon.

    Tuto :
    http://tigzyrk.blogspot.fr/2012/10/fr-roguekiller-tutoriel-officiel.html

    0
  14. olivier70 Messages postés 69 Statut Membre 1
     
    Rien n'a encore été supprimé, dois-je le faire ?

    Voici le rapport :

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : PC [Droits d'admin]
    Mode : Recherche -- Date : 27/05/2013 20:15:59
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 2 ¤¤¤
    [Microsoft][HJNAME] explorer.exe -- C:\Windows\SysWOW64\explorer.exe [7] -> TUÉ [TermProc]
    [SERVICE] IBUpdaterService -- C:\ProgramData\IBUpdaterService\ibsvc.exe [7] -> STOPPÉ

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [RUN][HJNAME] HKUS\S-1-5-21-365594004-2303818731-2447722735-1003[...]\Run : HKCU (C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe) [-] -> TROUVÉ
    [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : 41F85F62-A7EE-4EED-8509-CAEF26D900F7 (cmd.exe /C start /D "C:\Users\PC\AppData\Local\Temp" /B 41F85F62-A7EE-4EED-8509-CAEF26D900F7.exe -postboot) [x] -> TROUVÉ
    [Services][BLSVC] HKLM\[...]\ControlSet001\Services\IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE) -> TROUVÉ
    [Services][BLSVC] HKLM\[...]\ControlSet002\Services\IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST640LM000 HM641JI +++++
    --- User ---
    [MBR] 2c0f6269ccf3675db97442548c1e9497
    [BSP] 5c9f397303f0b8f7b3bef8003214d7e1 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 588253 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1205151744 | Size: 21923 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1250050048 | Size: 103 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_27052013_201559.txt >>
    RKreport[1]_S_27052013_201559.txt
    0
  15. Utilisateur anonyme
     
    [*] Quitter tous les programmes
    [*] Relancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Supprimer. Cliquer sur Rapport et copier coller le contenu du notepad
    0
  16. olivier70 Messages postés 69 Statut Membre 1
     
    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : PC [Droits d'admin]
    Mode : Recherche -- Date : 27/05/2013 20:29:02
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST640LM000 HM641JI +++++
    --- User ---
    [MBR] 2c0f6269ccf3675db97442548c1e9497
    [BSP] 5c9f397303f0b8f7b3bef8003214d7e1 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 588253 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1205151744 | Size: 21923 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1250050048 | Size: 103 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[5]_S_27052013_202902.txt >>
    RKreport[1]_S_27052013_201559.txt ; RKreport[2]_D_27052013_202216.txt ; RKreport[3]_S_27052013_202322.txt ; RKreport[4]_S_27052013_202442.txt ; RKreport[5]_S_27052013_202902.txt
    0
  17. Utilisateur anonyme
     
    tu peux me poste juste ce rapport ?

    RKreport[2]_D_27052013_202216.txt
    0
  18. olivier70 Messages postés 69 Statut Membre 1
     
    Se serait donc celui la :
    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : PC [Droits d'admin]
    Mode : Suppression -- Date : 27/05/2013 20:22:16
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 2 ¤¤¤
    [Microsoft][HJNAME] explorer.exe -- C:\Windows\SysWOW64\explorer.exe [7] -> TUÉ [TermProc]
    [SERVICE] IBUpdaterService -- C:\ProgramData\IBUpdaterService\ibsvc.exe [7] -> STOPPÉ

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [RUN][HJNAME] HKUS\S-1-5-21-365594004-2303818731-2447722735-1003[...]\Run : HKCU (C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe) [-] -> SUPPRIMÉ
    [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : 41F85F62-A7EE-4EED-8509-CAEF26D900F7 (cmd.exe /C start /D "C:\Users\PC\AppData\Local\Temp" /B 41F85F62-A7EE-4EED-8509-CAEF26D900F7.exe -postboot) [x] -> SUPPRIMÉ
    [Services][BLSVC] HKLM\[...]\ControlSet001\Services\IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE) -> SUPPRIMÉ
    [Services][BLSVC] HKLM\[...]\ControlSet002\Services\IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE) -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST640LM000 HM641JI +++++
    --- User ---
    [MBR] 2c0f6269ccf3675db97442548c1e9497
    [BSP] 5c9f397303f0b8f7b3bef8003214d7e1 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 588253 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1205151744 | Size: 21923 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1250050048 | Size: 103 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2]_D_27052013_202216.txt >>
    RKreport[1]_S_27052013_201559.txt ; RKreport[2]_D_27052013_202216.txt
    0
  19. Utilisateur anonyme
     
    super,

    * /!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    ► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    ou ici :
    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :

    ► ferme les fenêtres de tous les programmes en cours.

    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    /!\Utilisateur de Vista & Windows7 : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    ► Reviens sur le forum, et copie et colle la totalité du contenu de Combofix.txt dans ton prochain message.

    0
  • 1
  • 2
  • 3