Sujet Précédent Sujet Suivant

Supprimer Zeroaccess.hi et fichier "services.exe" inexistant

Fermé
Laura - 31 mai 2013 à 11:24
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 6 juin 2013 à 08:33
Bonjour,

Bonjour, je viens d'hériter d'un ZeroAccess.hi et j'essaye en vain de m'en débarrasser j'ai lu pas mal réponses pour d'autres personnes ayant le même soucis que moi. J'ai notamment lu les réponse du membre : Smart91 et voici les procédures que j'ai déjà faite selon ses conseils...

1) Prescan et Scan avec Rogue Killer. Voici le rapport :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Laura [Droits d'admin]
Mode : Recherche -- Date : 05/30/2013 14:56:11
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 12 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 11873b81392702dc5cf10e0478b9cc7a
[BSP] 98af57227a42c6bd0971f618540236ea : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690657 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1414875136 | Size: 24444 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_05302013_02d1456.txt >>
RKreport[1]_S_05302013_02d1456.txt

2) Téléchargement et installation de Malwarebytes, mise à jour ok. J'ai lancé un examen complet, coché les éléments détectés et supprimer la sélection. J'ai également redémarrer mon portable.

Voici le rapport :

2013/05/31 07:40:17 +0200 LAURA-HP Laura MESSAGE Starting protection
2013/05/31 07:40:17 +0200 LAURA-HP Laura MESSAGE Protection started successfully
2013/05/31 07:40:17 +0200 LAURA-HP Laura MESSAGE Starting IP protection
2013/05/31 07:40:17 +0200 LAURA-HP Laura ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2013/05/31 07:44:33 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 07:48:36 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 07:52:51 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 07:57:21 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 08:01:38 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 08:05:55 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 08:09:58 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 08:14:26 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE


3) J'ai été sur virustotal pour rechercher C:\Windows\system32\services.exe
Mais je ne l'ai pas. J'ai téléchargé, selon les conseils lu sur d'autres post SEAF et suivi ce qui ce qui avait été conseillé : règle "Calculer le checksum" sur "MD5" puis cocher "Informations supplémentaires" et "Chercher également dans le Registre". Voici le rapport :

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 08:13:52 le 31/05/2013
4.
5. Valeur(s) recherchée(s):
6. services.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13.
14. ====== Fichier(s) ======
15.
16.
17. "C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe" [ ARCHIVE | 346 Ko ]
18. TC: 11/10/2010,03:48:14 | TM: 11/10/2010,03:48:14 | DA: 10/02/2012,16:58:48
19.
20. Hash MD5: 6A181452D4E240B8ECC7614B9A19BDE9
21.
22. CompanyName: Hewlett-Packard Company
23. ProductName: HP Client Services
24. InternalName: HP Client Services
25. OriginalFileName: HPClientServices.exe
26. LegalCopyright: ? 2009-2010 Hewlett-Packard Development Company, L.P.
27. ProductVersion: 1, 1, 0, 3539
28. FileVersion: 1, 1, 0, 3539
29.
30. =========================
31.
32.
33. "C:\Windows\winsxs\amd64_microsoft-windows-s..ontroller.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_68750ba1329f3c6f\services.exe.mui" [ ARCHIVE | 20 Ko ]
34. TC: 11/02/2012,00:32:07 | TM: 11/02/2012,00:32:07 | DA: 11/02/2012,00:32:07
35.
36. Hash MD5: 18A525B3727F2AE7E8D440F42FC82C2E
37.
38. CompanyName: Microsoft Corporation
39. ProductName: Système d'exploitation Microsoft® Windows®
40. InternalName: services.exe
41. OriginalFileName: services.exe.mui
42. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
43. ProductVersion: 6.1.7600.16385
44. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
45.
46. =========================
47.
48.
49. "C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe" [ ARCHIVE | 329 Ko ]
50. TC: 14/07/2009,01:19:46 | TM: 14/07/2009,03:39:37 | DA: 14/07/2009,01:19:46
51.
52. Hash MD5: 24ACB7E5BE595468E3B9AA488B9B4FCB
53.
54. CompanyName: Microsoft Corporation
55. ProductName: Système d'exploitation Microsoft® Windows®
56. InternalName: services.exe
57. OriginalFileName: services.exe.mui
58. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
59. ProductVersion: 6.1.7600.16385
60. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
61.
62. =========================
63.
64.
65. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-s..ontroller.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_68750ba1329f3c6f_services.exe.mui_86ea5e71" [ ARCHIVE | 20 Ko ]
66. TC: 11/02/2012,00:33:27 | TM: 11/02/2012,00:33:15 | DA: 11/02/2012,00:33:15
67.
68. Hash MD5: 18A525B3727F2AE7E8D440F42FC82C2E
69.
70. CompanyName: Microsoft Corporation
71. ProductName: Système d'exploitation Microsoft® Windows®
72. InternalName: services.exe
73. OriginalFileName: services.exe.mui
74. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
75. ProductVersion: 6.1.7600.16385
76. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
77.
78. =========================
79.
80.
81. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1_services.exe_abfc33da" [ ARCHIVE | 329 Ko ]
82. TC: 14/07/2009,04:59:34 | TM: 14/07/2009,04:58:23 | DA: 14/07/2009,04:58:23
83.
84. Hash MD5: 24ACB7E5BE595468E3B9AA488B9B4FCB
85.
86. CompanyName: Microsoft Corporation
87. ProductName: Système d'exploitation Microsoft® Windows®
88. InternalName: services.exe
89. OriginalFileName: services.exe.mui
90. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
91. ProductVersion: 6.1.7600.16385
92. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
93.
94. =========================
95.
96.
97.
98. ====== Entrée(s) du registre ======
99.
100.
101. [HKLM\Software\Microsoft\FTH]
102. "ExclusionList"="smss.exe
103. csrss.exe
104. wininit.exe
105. services.exe
106. lsass.exe
107. lsm.exe
108. svchost.exe
109. winlogon.exe
110. SLsvc.exe
111. spoolsv.exe
112. taskhost.exe" (REG_MULTI_SZ)
113.
114. [HKLM\System\ControlSet001\services\eventlog\System\Service Control Manager]
115. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ)
116.
117. [HKLM\System\ControlSet001\services\HPClientSvc]
118. "ImagePath"=""C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe"" (REG_EXPAND_SZ)
119.
120. [HKLM\System\ControlSet002\services\eventlog\System\Service Control Manager]
121. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ)
122.
123. [HKLM\System\ControlSet002\services\HPClientSvc]
124. "ImagePath"=""C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe"" (REG_EXPAND_SZ)
125.
126. [HKLM\System\CurrentControlSet\services\eventlog\System\Service Control Manager]
127. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ)
128.
129. [HKLM\System\CurrentControlSet\services\HPClientSvc]
130. "ImagePath"=""C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe"" (REG_EXPAND_SZ)
131.
132. =========================
133.
134. Fin à: 08:16:13 le 31/05/2013
135. 423543 Éléments analysés
136.
137. =========================
138. E.O.F


Maintenant... je n'y connais pas grand chose... comment savoir si services.exe est présent ou pas ? Et que dois-je faire maintenant pour me débarrasser de ce problème ?

Merci mille fois pour votre aide.
A voir également:

5 réponses

Réponse 1 / 5
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 31/05/2013 à 11:26
salut fais suppression avec roguekiller après son prescan et poste son rapport

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0
Réponse 2 / 5
Laura
2 juin 2013 à 04:26
Voici le rapport de RogueKiller :



RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Laura [Droits d'admin]
Mode : Recherche -- Date : 06/02/2013 04:24:14
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 12 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 11873b81392702dc5cf10e0478b9cc7a
[BSP] 98af57227a42c6bd0971f618540236ea : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690657 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1414875136 | Size: 24444 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_S_06022013_02d0424.txt >>
RKreport[1]_S_05302013_02d1456.txt ; RKreport[2]_S_06022013_02d0424.txt
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661
2 juin 2013 à 11:38
Pour faire gagner du temps.
C'est pas bon.

Tu fais que des scans et aucune suppression, du coup, RogueKiller ne supprime pas le malware ZeroAccess.

Relance RogueKiller, laisse le prescan se faire.
Lance le scan à droite

Cela va débloquer le bouton suppression à droite.
Clic dessus, et donne le rapport de suppression.
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
2 juin 2013 à 14:38
voilà
0
Laura
3 juin 2013 à 03:37
Voilà le rapport après suppression.
P.s. Désolée pour le délai de réponse à chaque fois mais je suis en Australie en ce moment...



RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Laura [Droits d'admin]
Mode : Suppression -- Date : 06/03/2013 03:35:45
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 8 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U --> SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 11873b81392702dc5cf10e0478b9cc7a
[BSP] 98af57227a42c6bd0971f618540236ea : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690657 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1414875136 | Size: 24444 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[5]_D_06032013_02d0335.txt >>
RKreport[1]_S_05302013_02d1456.txt ; RKreport[2]_S_06022013_02d0424.txt ; RKreport[3]_D_06022013_02d0429.txt ; RKreport[4]_S_06032013_02d0333.txt ; RKreport[5]_D_06032013_02d0335.txt
0
Réponse 3 / 5
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
3 juin 2013 à 09:34
ok on va réparer les services et virer les restes

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider


0
Réponse 4 / 5
Laura
6 juin 2013 à 04:02
J'ai désactivé mes protections, et téléchargé Pre_scan via le premier lien que tu m'as donné. http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html

J'ai lancé Scan/Kill et après quelque seconde eu un message d'erreur

AutoIt Error : Line 9251 (File "C:\Users\Laura\Downloards\winlogon.exe") Error : Array variable has incorrect number of subscripts or subscript dimension range exceeded.

J'ai tenté de le téléchargé Pre_scan via les autres extensions que tu m'avais proposée, les deux premières ont été bloquée, la troisième a fonctionné :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

J'ai lancé de nouveau Scan/Kill et j'ai eu le même message d'erreur... =(

Que puis-je faire ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 6/06/2013 à 08:52
retélécharge-le il y avait une erreur qui s'était glissé dans le code du programme déésolé

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0

Discussions similaires

comment donner les droits sur fichier partage
ch'ti du 57 -
fil1958 -

2 réponses