Virus TR/Sirefef.A.78
Fermé
wakka59
-
6 juin 2013 à 15:32
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 juin 2013 à 17:02
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 juin 2013 à 17:02
A voir également:
- Virus TR/Sirefef.A.78
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Operagxsetup virus ✓ - Forum Virus
- Faux message virus ordinateur - Accueil - Arnaque
- Softonic virus ✓ - Forum Virus
17 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
6 juin 2013 à 15:35
6 juin 2013 à 15:35
Salut,
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start=
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start=
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Voilà c'est fait, déjà Avira ne m'indique plus la présence du virus, déjà bien?
Voici le rapport:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Julien [Droits d'admin]
Mode : Recherche -- Date : 06/06/2013 19:30:06
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 28 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Error mail ("C:\ProgramData\Upload Bags Bags.xpi1d1v") [-] -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : LESS CITY AMEN SETUP ("C:\ProgramData\skip blah move.qfxce3") [-] -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\Run : 79bjm5me7g (C:\ProgramData\79bjm5me7g.exe) [x] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\Run : Error mail ("C:\ProgramData\Upload Bags Bags.xpi1d1v") [-] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\Run : LESS CITY AMEN SETUP ("C:\ProgramData\skip blah move.qfxce3") [-] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\RunOnce : ISSetupPrerequisistes ("C:\Users\Julien\AppData\Local\Temp\tmp8996\QtraxPlayer.exe" /S /v/qn) [x] -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\RunOnce : !iLividOnce (C:\Users\Julien\Desktop\iLividSetupV1.exe) [x] -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\RunOnce : ApnStub ("C:\ProgramData\Ask\APN-Stub\ORJ\Local\ApnStub.exe" /tbr /sa /noinet /geo=FR toolbar=ORJ dtid=OSJ000 /v"A_D_D_LOCAL=SuperToolbarFF") [x] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\RunOnce : ISSetupPrerequisistes ("C:\Users\Julien\AppData\Local\Temp\tmp8996\QtraxPlayer.exe" /S /v/qn) [x] -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Policies\Explorer\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> TROUVÉ
[RUN][ROGUE ST] HKLM\[...]\Policies\Explorer\Run : 64367 (C:\ProgramData\Local Settings\Temp\msaeggo.scr) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\Policies\Explorer\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> TROUVÉ
[TASK][SUSP PATH] iMeshNAG.job : C:\Users\Julien\AppData\Local\Temp\iMesh_setup.exe NAGMETHOD=Schedule [x] -> TROUVÉ
[TASK][SUSP PATH] iMeshNAG : C:\Users\Julien\AppData\Local\Temp\iMesh_setup.exe NAGMETHOD=Schedule [x] -> TROUVÉ
[STARTUP][Rans.Gendarm] 0.8398928281851477.exe.lnk @Julien : C:\Windows\System32\rundll32.exe|C:\Users\Julien\AppData\Local\Temp\0.8398928281851477.exe,NameFunEx [7] -> TROUVÉ
[STARTUP][HJNAME] ctfmon.lnk @Julien : C:\ProgramData\lsass.exe [7] -> TROUVÉ
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:5555) -> TROUVÉ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\Acer(Normal).scr) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\n.) [x] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$RECYCLE.BIN\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$RECYCLE.BIN\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n) [-] -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\L --> TROUVÉ
[ZeroAccess][FOLDER] $NtUninstallKB9080$ : C:\Windows\$NtUninstallKB9080$ --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82E7DFA5 -> HOOKED (Unknown @ 0x8A864306)
SSDT[276] : NtRequestWaitReplyPort @ 0x82E90142 -> HOOKED (Unknown @ 0x8A864310)
SSDT[289] : NtSetContextThread @ 0x82EDF25F -> HOOKED (Unknown @ 0x8A86430B)
SSDT[314] : NtSetSecurityObject @ 0x82E0C027 -> HOOKED (Unknown @ 0x8A864315)
SSDT[332] : NtSystemDebugControl @ 0x82E44EF1 -> HOOKED (Unknown @ 0x8A86431A)
SSDT[334] : NtTerminateProcess @ 0x82E3D173 -> HOOKED (Unknown @ 0x8A8642A7)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A86432E)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8A864333)
¤¤¤ Infection : Rans.Gendarm|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDT725025VLA380 ATA Device +++++
--- User ---
[MBR] f9e2043f36fb53c2275db939a1b4acdd
[BSP] 888ffcc154f00c27bd7fdd5e1dd7b0cd : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20466810 | Size: 114376 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254710575 | Size: 114102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_06062013_193006.txt >>
RKreport[1]_S_06062013_193006.txt
Voici le rapport:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Julien [Droits d'admin]
Mode : Recherche -- Date : 06/06/2013 19:30:06
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 28 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Error mail ("C:\ProgramData\Upload Bags Bags.xpi1d1v") [-] -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : LESS CITY AMEN SETUP ("C:\ProgramData\skip blah move.qfxce3") [-] -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\Run : 79bjm5me7g (C:\ProgramData\79bjm5me7g.exe) [x] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\Run : Error mail ("C:\ProgramData\Upload Bags Bags.xpi1d1v") [-] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\Run : LESS CITY AMEN SETUP ("C:\ProgramData\skip blah move.qfxce3") [-] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\RunOnce : ISSetupPrerequisistes ("C:\Users\Julien\AppData\Local\Temp\tmp8996\QtraxPlayer.exe" /S /v/qn) [x] -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\RunOnce : !iLividOnce (C:\Users\Julien\Desktop\iLividSetupV1.exe) [x] -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\RunOnce : ApnStub ("C:\ProgramData\Ask\APN-Stub\ORJ\Local\ApnStub.exe" /tbr /sa /noinet /geo=FR toolbar=ORJ dtid=OSJ000 /v"A_D_D_LOCAL=SuperToolbarFF") [x] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\RunOnce : ISSetupPrerequisistes ("C:\Users\Julien\AppData\Local\Temp\tmp8996\QtraxPlayer.exe" /S /v/qn) [x] -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Policies\Explorer\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> TROUVÉ
[RUN][ROGUE ST] HKLM\[...]\Policies\Explorer\Run : 64367 (C:\ProgramData\Local Settings\Temp\msaeggo.scr) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1722554967-2561898506-2758422663-1000[...]\Policies\Explorer\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> TROUVÉ
[TASK][SUSP PATH] iMeshNAG.job : C:\Users\Julien\AppData\Local\Temp\iMesh_setup.exe NAGMETHOD=Schedule [x] -> TROUVÉ
[TASK][SUSP PATH] iMeshNAG : C:\Users\Julien\AppData\Local\Temp\iMesh_setup.exe NAGMETHOD=Schedule [x] -> TROUVÉ
[STARTUP][Rans.Gendarm] 0.8398928281851477.exe.lnk @Julien : C:\Windows\System32\rundll32.exe|C:\Users\Julien\AppData\Local\Temp\0.8398928281851477.exe,NameFunEx [7] -> TROUVÉ
[STARTUP][HJNAME] ctfmon.lnk @Julien : C:\ProgramData\lsass.exe [7] -> TROUVÉ
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:5555) -> TROUVÉ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\Acer(Normal).scr) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\n.) [x] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$RECYCLE.BIN\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$RECYCLE.BIN\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n) [-] -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\L --> TROUVÉ
[ZeroAccess][FOLDER] $NtUninstallKB9080$ : C:\Windows\$NtUninstallKB9080$ --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82E7DFA5 -> HOOKED (Unknown @ 0x8A864306)
SSDT[276] : NtRequestWaitReplyPort @ 0x82E90142 -> HOOKED (Unknown @ 0x8A864310)
SSDT[289] : NtSetContextThread @ 0x82EDF25F -> HOOKED (Unknown @ 0x8A86430B)
SSDT[314] : NtSetSecurityObject @ 0x82E0C027 -> HOOKED (Unknown @ 0x8A864315)
SSDT[332] : NtSystemDebugControl @ 0x82E44EF1 -> HOOKED (Unknown @ 0x8A86431A)
SSDT[334] : NtTerminateProcess @ 0x82E3D173 -> HOOKED (Unknown @ 0x8A8642A7)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A86432E)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8A864333)
¤¤¤ Infection : Rans.Gendarm|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDT725025VLA380 ATA Device +++++
--- User ---
[MBR] f9e2043f36fb53c2275db939a1b4acdd
[BSP] 888ffcc154f00c27bd7fdd5e1dd7b0cd : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20466810 | Size: 114376 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254710575 | Size: 114102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_06062013_193006.txt >>
RKreport[1]_S_06062013_193006.txt
Et le rapport part2:
ogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Julien [Droits d'admin]
Mode : Suppression -- Date : 06/06/2013 19:31:32
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 22 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Error mail ("C:\ProgramData\Upload Bags Bags.xpi1d1v") [-] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : LESS CITY AMEN SETUP ("C:\ProgramData\skip blah move.qfxce3") [-] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\Run : 79bjm5me7g (C:\ProgramData\79bjm5me7g.exe) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\RunOnce : ISSetupPrerequisistes ("C:\Users\Julien\AppData\Local\Temp\tmp8996\QtraxPlayer.exe" /S /v/qn) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\RunOnce : !iLividOnce (C:\Users\Julien\Desktop\iLividSetupV1.exe) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\RunOnce : ApnStub ("C:\ProgramData\Ask\APN-Stub\ORJ\Local\ApnStub.exe" /tbr /sa /noinet /geo=FR toolbar=ORJ dtid=OSJ000 /v"A_D_D_LOCAL=SuperToolbarFF") [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Policies\Explorer\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> SUPPRIMÉ
[RUN][ROGUE ST] HKLM\[...]\Policies\Explorer\Run : 64367 (C:\ProgramData\Local Settings\Temp\msaeggo.scr) -> SUPPRIMÉ
[TASK][SUSP PATH] iMeshNAG.job : C:\Users\Julien\AppData\Local\Temp\iMesh_setup.exe NAGMETHOD=Schedule [x] -> SUPPRIMÉ
[TASK][SUSP PATH] iMeshNAG : C:\Users\Julien\AppData\Local\Temp\iMesh_setup.exe NAGMETHOD=Schedule [x] -> SUPPRIMÉ
[STARTUP][Rans.Gendarm] 0.8398928281851477.exe.lnk @Julien : C:\Windows\System32\rundll32.exe|C:\Users\Julien\AppData\Local\Temp\0.8398928281851477.exe,NameFunEx [7] -> SUPPRIMÉ
[STARTUP][HJNAME] ctfmon.lnk @Julien : C:\ProgramData\lsass.exe [7] -> SUPPRIMÉ
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:5555) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\Acer(Normal).scr) [-] -> REMPLACÉ (C:\Windows\system32\logon.scr)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\n.) [x] -> REMPLACÉ (C:\Windows\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$RECYCLE.BIN\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n) [-] -> REMPLACÉ (C:\Windows\system32\wbem\fastprox.dll)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U\00000001.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U\800000cb.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\L --> SUPPRIMÉ
[ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB9080$ >> \systemroot\system32\config --> SUPPRIMÉ
[Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB9080$\1885229862\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] bckfg.tmp : C:\Windows\$NtUninstallKB9080$\1885229862\bckfg.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] cfg.ini : C:\Windows\$NtUninstallKB9080$\1885229862\cfg.ini [-] --> SUPPRIMÉ
[Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB9080$\1885229862\Desktop.ini [-] --> SUPPRIMÉ
[Del.Parent][FILE] keywords : C:\Windows\$NtUninstallKB9080$\1885229862\keywords [-] --> SUPPRIMÉ
[Del.Parent][FILE] kwrd.dll : C:\Windows\$NtUninstallKB9080$\1885229862\kwrd.dll [-] --> SUPPRIMÉ
[Del.Parent][FILE] qnbwvoto : C:\Windows\$NtUninstallKB9080$\1885229862\L\qnbwvoto [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB9080$\1885229862\L --> SUPPRIMÉ
[Del.Parent][FILE] oemid : C:\Windows\$NtUninstallKB9080$\1885229862\oemid [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\00000001.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000002.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\00000002.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000004.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\80000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\80000032.@ [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB9080$\1885229862\U --> SUPPRIMÉ
[Del.Parent][FILE] version : C:\Windows\$NtUninstallKB9080$\1885229862\version [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB9080$\1885229862 --> SUPPRIMÉ
[Del.Parent][FILE] 589521371 : C:\Windows\$NtUninstallKB9080$\589521371 [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB9080$ --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82E7DFA5 -> HOOKED (Unknown @ 0x8A864306)
SSDT[276] : NtRequestWaitReplyPort @ 0x82E90142 -> HOOKED (Unknown @ 0x8A864310)
SSDT[289] : NtSetContextThread @ 0x82EDF25F -> HOOKED (Unknown @ 0x8A86430B)
SSDT[314] : NtSetSecurityObject @ 0x82E0C027 -> HOOKED (Unknown @ 0x8A864315)
SSDT[332] : NtSystemDebugControl @ 0x82E44EF1 -> HOOKED (Unknown @ 0x8A86431A)
SSDT[334] : NtTerminateProcess @ 0x82E3D173 -> HOOKED (Unknown @ 0x8A8642A7)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A86432E)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8A864333)
¤¤¤ Infection : Rans.Gendarm|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDT725025VLA380 ATA Device +++++
--- User ---
[MBR] f9e2043f36fb53c2275db939a1b4acdd
[BSP] 888ffcc154f00c27bd7fdd5e1dd7b0cd : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20466810 | Size: 114376 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254710575 | Size: 114102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_06062013_193132.txt >>
RKreport[1]_S_06062013_193006.txt ; RKreport[2]_D_06062013_193132.txt
ogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Julien [Droits d'admin]
Mode : Suppression -- Date : 06/06/2013 19:31:32
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 22 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Error mail ("C:\ProgramData\Upload Bags Bags.xpi1d1v") [-] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : LESS CITY AMEN SETUP ("C:\ProgramData\skip blah move.qfxce3") [-] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\Run : 79bjm5me7g (C:\ProgramData\79bjm5me7g.exe) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\RunOnce : ISSetupPrerequisistes ("C:\Users\Julien\AppData\Local\Temp\tmp8996\QtraxPlayer.exe" /S /v/qn) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\RunOnce : !iLividOnce (C:\Users\Julien\Desktop\iLividSetupV1.exe) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\RunOnce : ApnStub ("C:\ProgramData\Ask\APN-Stub\ORJ\Local\ApnStub.exe" /tbr /sa /noinet /geo=FR toolbar=ORJ dtid=OSJ000 /v"A_D_D_LOCAL=SuperToolbarFF") [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Policies\Explorer\Run : GoogleUpdater (C:\Users\Julien\AppData\Roaming\GoogleUpdater\GoogleUpdater.exe) [x] -> SUPPRIMÉ
[RUN][ROGUE ST] HKLM\[...]\Policies\Explorer\Run : 64367 (C:\ProgramData\Local Settings\Temp\msaeggo.scr) -> SUPPRIMÉ
[TASK][SUSP PATH] iMeshNAG.job : C:\Users\Julien\AppData\Local\Temp\iMesh_setup.exe NAGMETHOD=Schedule [x] -> SUPPRIMÉ
[TASK][SUSP PATH] iMeshNAG : C:\Users\Julien\AppData\Local\Temp\iMesh_setup.exe NAGMETHOD=Schedule [x] -> SUPPRIMÉ
[STARTUP][Rans.Gendarm] 0.8398928281851477.exe.lnk @Julien : C:\Windows\System32\rundll32.exe|C:\Users\Julien\AppData\Local\Temp\0.8398928281851477.exe,NameFunEx [7] -> SUPPRIMÉ
[STARTUP][HJNAME] ctfmon.lnk @Julien : C:\ProgramData\lsass.exe [7] -> SUPPRIMÉ
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:5555) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\Acer(Normal).scr) [-] -> REMPLACÉ (C:\Windows\system32\logon.scr)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\n.) [x] -> REMPLACÉ (C:\Windows\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$RECYCLE.BIN\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n) [-] -> REMPLACÉ (C:\Windows\system32\wbem\fastprox.dll)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\n [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U\00000001.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U\800000cb.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1722554967-2561898506-2758422663-1000\$e27ba742e347d086b5903df996879ebb\L --> SUPPRIMÉ
[ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB9080$ >> \systemroot\system32\config --> SUPPRIMÉ
[Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB9080$\1885229862\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] bckfg.tmp : C:\Windows\$NtUninstallKB9080$\1885229862\bckfg.tmp [-] --> SUPPRIMÉ
[Del.Parent][FILE] cfg.ini : C:\Windows\$NtUninstallKB9080$\1885229862\cfg.ini [-] --> SUPPRIMÉ
[Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB9080$\1885229862\Desktop.ini [-] --> SUPPRIMÉ
[Del.Parent][FILE] keywords : C:\Windows\$NtUninstallKB9080$\1885229862\keywords [-] --> SUPPRIMÉ
[Del.Parent][FILE] kwrd.dll : C:\Windows\$NtUninstallKB9080$\1885229862\kwrd.dll [-] --> SUPPRIMÉ
[Del.Parent][FILE] qnbwvoto : C:\Windows\$NtUninstallKB9080$\1885229862\L\qnbwvoto [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB9080$\1885229862\L --> SUPPRIMÉ
[Del.Parent][FILE] oemid : C:\Windows\$NtUninstallKB9080$\1885229862\oemid [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\00000001.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000002.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\00000002.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000004.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\80000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB9080$\1885229862\U\80000032.@ [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB9080$\1885229862\U --> SUPPRIMÉ
[Del.Parent][FILE] version : C:\Windows\$NtUninstallKB9080$\1885229862\version [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB9080$\1885229862 --> SUPPRIMÉ
[Del.Parent][FILE] 589521371 : C:\Windows\$NtUninstallKB9080$\589521371 [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB9080$ --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82E7DFA5 -> HOOKED (Unknown @ 0x8A864306)
SSDT[276] : NtRequestWaitReplyPort @ 0x82E90142 -> HOOKED (Unknown @ 0x8A864310)
SSDT[289] : NtSetContextThread @ 0x82EDF25F -> HOOKED (Unknown @ 0x8A86430B)
SSDT[314] : NtSetSecurityObject @ 0x82E0C027 -> HOOKED (Unknown @ 0x8A864315)
SSDT[332] : NtSystemDebugControl @ 0x82E44EF1 -> HOOKED (Unknown @ 0x8A86431A)
SSDT[334] : NtTerminateProcess @ 0x82E3D173 -> HOOKED (Unknown @ 0x8A8642A7)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A86432E)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8A864333)
¤¤¤ Infection : Rans.Gendarm|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDT725025VLA380 ATA Device +++++
--- User ---
[MBR] f9e2043f36fb53c2275db939a1b4acdd
[BSP] 888ffcc154f00c27bd7fdd5e1dd7b0cd : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20466810 | Size: 114376 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254710575 | Size: 114102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_06062013_193132.txt >>
RKreport[1]_S_06062013_193006.txt ; RKreport[2]_D_06062013_193132.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
Modifié par Malekal_morte- le 6/06/2013 à 20:50
Modifié par Malekal_morte- le 6/06/2013 à 20:50
Télécharge ce fichier sur ton bureau : https://www.malekal.com/download/ZeroAccess_ReparsePoint.cmd
(sur le lien - Clic droit / enregistrer la cible du lien sous et mets sur le ton bureau).
Tu dois donc avoir sur ton bureau ZeroAccess_ReparsePoint.cmd
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Mets toi sur ta session.
Sur ZeroAccess_ReparsePoint.cmd
Clic droit / executer en tant qu'administrateur.
Une fenêtre noire va s'ouvrir et se fermer.
Un fichier texte va s'ouvrir, enregistre le sur le bureau (Menu Fichier / Enregistrer sous).
Redémarre en mode normal.
Regarde ce que cela donne pour les téléchargements.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
(sur le lien - Clic droit / enregistrer la cible du lien sous et mets sur le ton bureau).
Tu dois donc avoir sur ton bureau ZeroAccess_ReparsePoint.cmd
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Mets toi sur ta session.
Sur ZeroAccess_ReparsePoint.cmd
Clic droit / executer en tant qu'administrateur.
Une fenêtre noire va s'ouvrir et se fermer.
Un fichier texte va s'ouvrir, enregistre le sur le bureau (Menu Fichier / Enregistrer sous).
Redémarre en mode normal.
Regarde ce que cela donne pour les téléchargements.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Yes nickel, un grand merci à toi (y'a quand même des gens balezes ;-)
Du coup je peux virer le fichier quarantaine et les rapports?
Dorénavant je ferai bien mes mises à jour, apparemment ça viendrait de là...
Encore merci, tu a évité à un pc de passer par la fenêtre!
Du coup je peux virer le fichier quarantaine et les rapports?
Dorénavant je ferai bien mes mises à jour, apparemment ça viendrait de là...
Encore merci, tu a évité à un pc de passer par la fenêtre!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
6 juin 2013 à 23:10
6 juin 2013 à 23:10
attends ce n'est pas terminé.
Passe un coup d'ESET Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=
~~
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Passe un coup d'ESET Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=
~~
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Désolé je me suis réjoui trop vite! Voici le rapport ADwcleaner
http://pjjoint.malekal.com/files.php?id=20130607_d5s14r14l13v5
http://pjjoint.malekal.com/files.php?id=20130607_d5s14r14l13v5
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
Modifié par Malekal_morte- le 7/06/2013 à 11:51
Modifié par Malekal_morte- le 7/06/2013 à 11:51
c'est nawak.
T'as le Pack Sécurité + Antivir.
Donc deux antivirus....
Ca fait ramer le PC et ça protège pas mieux...
d'ailleurs suffit de voir, ton PC est bourré de virus...
Désinstalle un des deux.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/04/11 19:33:27 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\d6yw3puq.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2013/04/01 12:27:32 | 000,000,000 | ---D | M] (Broowsee22save) -- C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\d6yw3puq.default\extensions\govg_i@yeipshhfa.com
O2 - BHO: (Broowsee22save) - {CD99CB06-9303-48BB-B4DA-423FE4449EC9} - C:\ProgramData\Broowsee22save\5159607f70e69.dll File not found
O4 - HKU\S-1-5-21-1722554967-2561898506-2758422663-1000..\Run: [IMC] C:\Program Files\FriendFinder\FriendFinder Messenger 4\imc.exe File not found
O4 - HKU\S-1-5-21-1722554967-2561898506-2758422663-1000..\Run: [PCSpeedUp] C:\Program Files\Accelerer PC\PCSpeedUp.lnk File not found
[2013/05/20 16:58:37 | 000,000,000 | ---D | C] -- C:\ProgramData\E4E1311FE321FB6F0000E4E04C4702DB
2012/11/15 20:39:17 | 095,023,320 | ---- | C] () -- C:\ProgramData\0tbpw.pad
[2012/09/19 20:10:03 | 000,082,860 | ---- | C] () -- C:\ProgramData\svlmmgenwgjizqk
[2012/08/13 16:04:44 | 000,000,051 | ---- | C] () -- C:\ProgramData\dyxhefvxcxqphnw
[2012/07/11 09:49:05 | 000,000,040 | ---- | C] () -- C:\ProgramData\grlpbvctplyhqyi
[2012/01/26 15:56:25 | 000,000,112 | ---- | C] () -- C:\ProgramData\Asq2J4H.dat
[2012/01/26 13:17:51 | 000,008,769 | ---- | C] () -- C:\Users\Julien\AppData\Roaming\d1425189
[2012/01/26 13:17:51 | 000,008,724 | ---- | C] () -- C:\ProgramData\22cd857d
[2012/01/26 13:17:51 | 000,008,675 | ---- | C] () -- C:\Users\Julien\AppData\Local\2357064a
[2010/02/24 15:14:43 | 000,008,990 | -HS- | C] () -- C:\Users\Julien\AppData\Local\Xi7h20PI0
[2010/02/03 23:58:16 | 000,000,008 | ---- | C] () -- C:\ProgramData\sysReserve.ini
[2009/02/09 00:56:30 | 000,180,240 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.xpi1d1v
[2009/02/09 00:34:39 | 000,339,984 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.4q6ua
[2009/02/09 00:12:48 | 000,065,552 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.5lcgt4j
[2009/02/08 23:50:58 | 000,385,040 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.eh72am
[2009/02/08 23:29:07 | 000,249,872 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.7eqnkk
[2009/02/08 23:07:16 | 000,376,848 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.atk4j
[2009/02/08 22:45:26 | 000,376,848 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.akray2x
[2009/02/08 22:23:35 | 000,020,496 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.ap6ft
[2009/02/08 22:01:42 | 000,339,984 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.rv3isz
[2009/02/08 21:39:52 | 000,147,472 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.p0tfn
[2009/02/08 21:18:01 | 000,094,224 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.om1ip4
[2009/02/08 20:56:11 | 000,299,024 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.w9izg
[2009/02/08 20:34:20 | 000,360,464 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.pzxm90
[2009/02/08 20:12:30 | 000,176,144 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.vk1q6v
[2009/02/08 19:50:39 | 000,040,976 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.e0jqp
[2009/02/08 19:28:49 | 000,057,360 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.583kevu
[2009/02/08 19:06:58 | 000,008,208 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.xi926pu
[2009/02/08 18:45:07 | 000,004,112 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.2k2y8b
[2009/02/08 18:23:17 | 000,385,040 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.4srx0q
[2009/02/08 18:01:25 | 000,090,128 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.7kqncn
[2009/02/08 17:39:34 | 000,102,416 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.qo5fw
[2009/02/08 16:54:52 | 000,307,216 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.8tj7tky
[2009/02/08 16:33:01 | 000,045,072 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.js8hsar
[2009/02/08 16:11:10 | 000,368,656 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.9vo319
[2009/02/08 15:49:20 | 000,405,520 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.m0o2il
[2009/02/08 15:15:35 | 000,213,008 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.xbuyb57
[2009/02/08 14:53:44 | 000,303,120 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.i0h0d
[2009/02/08 14:31:54 | 000,290,832 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.tvmjybe
[2009/02/08 14:10:02 | 000,073,744 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.z6acm
[2009/02/08 13:48:11 | 000,294,928 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.xz79fd4
[2009/02/08 13:26:21 | 000,376,848 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.3z1vjj
[2009/02/08 13:04:30 | 000,356,368 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.loiul0
[2009/02/01 12:03:44 | 000,274,448 | ---- | C] () -- C:\ProgramData\skip blah move.qfxce3
[2009/02/01 12:03:26 | 000,364,560 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.gid7km
[2009/02/01 12:03:23 | 000,278,544 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.ofiyrby
[2009/01/02 21:18:24 | 000,380,944 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.em2sco6
[2008/12/28 12:59:35 | 000,073,744 | ---- | C] () -- C:\ProgramData\Sign Window Option.l5s9her
[2008/12/28 12:59:23 | 000,266,256 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.ftab5dw
[2008/11/18 18:58:59 | 000,221,200 | ---- | C] () -- C:\ProgramData\Gram atom draw.v5mx2d
[2008/11/18 18:58:31 | 000,352,272 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.1n1tp
[2008/11/02 12:41:47 | 000,237,584 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.vanwoqw
[2008/10/26 20:22:26 | 000,118,800 | ---- | C] () -- C:\ProgramData\Web sixth file.xgfzjb
[2008/10/26 20:21:29 | 000,016,400 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.vkz24f
[2008/10/01 10:01:34 | 000,360,464 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.28csm9u
[2005/04/08 04:16:43 | 002,251,627 | -H-- | C] () -- C:\Users\Julien\AppData\Roaming\logs.dat
:files
C:\Windows\tasks\At*.job
* redemarre le pc sous windows et poste le rapport ici
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
T'as le Pack Sécurité + Antivir.
Donc deux antivirus....
Ca fait ramer le PC et ça protège pas mieux...
d'ailleurs suffit de voir, ton PC est bourré de virus...
Désinstalle un des deux.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/04/11 19:33:27 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\d6yw3puq.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2013/04/01 12:27:32 | 000,000,000 | ---D | M] (Broowsee22save) -- C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\d6yw3puq.default\extensions\govg_i@yeipshhfa.com
O2 - BHO: (Broowsee22save) - {CD99CB06-9303-48BB-B4DA-423FE4449EC9} - C:\ProgramData\Broowsee22save\5159607f70e69.dll File not found
O4 - HKU\S-1-5-21-1722554967-2561898506-2758422663-1000..\Run: [IMC] C:\Program Files\FriendFinder\FriendFinder Messenger 4\imc.exe File not found
O4 - HKU\S-1-5-21-1722554967-2561898506-2758422663-1000..\Run: [PCSpeedUp] C:\Program Files\Accelerer PC\PCSpeedUp.lnk File not found
[2013/05/20 16:58:37 | 000,000,000 | ---D | C] -- C:\ProgramData\E4E1311FE321FB6F0000E4E04C4702DB
2012/11/15 20:39:17 | 095,023,320 | ---- | C] () -- C:\ProgramData\0tbpw.pad
[2012/09/19 20:10:03 | 000,082,860 | ---- | C] () -- C:\ProgramData\svlmmgenwgjizqk
[2012/08/13 16:04:44 | 000,000,051 | ---- | C] () -- C:\ProgramData\dyxhefvxcxqphnw
[2012/07/11 09:49:05 | 000,000,040 | ---- | C] () -- C:\ProgramData\grlpbvctplyhqyi
[2012/01/26 15:56:25 | 000,000,112 | ---- | C] () -- C:\ProgramData\Asq2J4H.dat
[2012/01/26 13:17:51 | 000,008,769 | ---- | C] () -- C:\Users\Julien\AppData\Roaming\d1425189
[2012/01/26 13:17:51 | 000,008,724 | ---- | C] () -- C:\ProgramData\22cd857d
[2012/01/26 13:17:51 | 000,008,675 | ---- | C] () -- C:\Users\Julien\AppData\Local\2357064a
[2010/02/24 15:14:43 | 000,008,990 | -HS- | C] () -- C:\Users\Julien\AppData\Local\Xi7h20PI0
[2010/02/03 23:58:16 | 000,000,008 | ---- | C] () -- C:\ProgramData\sysReserve.ini
[2009/02/09 00:56:30 | 000,180,240 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.xpi1d1v
[2009/02/09 00:34:39 | 000,339,984 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.4q6ua
[2009/02/09 00:12:48 | 000,065,552 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.5lcgt4j
[2009/02/08 23:50:58 | 000,385,040 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.eh72am
[2009/02/08 23:29:07 | 000,249,872 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.7eqnkk
[2009/02/08 23:07:16 | 000,376,848 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.atk4j
[2009/02/08 22:45:26 | 000,376,848 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.akray2x
[2009/02/08 22:23:35 | 000,020,496 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.ap6ft
[2009/02/08 22:01:42 | 000,339,984 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.rv3isz
[2009/02/08 21:39:52 | 000,147,472 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.p0tfn
[2009/02/08 21:18:01 | 000,094,224 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.om1ip4
[2009/02/08 20:56:11 | 000,299,024 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.w9izg
[2009/02/08 20:34:20 | 000,360,464 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.pzxm90
[2009/02/08 20:12:30 | 000,176,144 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.vk1q6v
[2009/02/08 19:50:39 | 000,040,976 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.e0jqp
[2009/02/08 19:28:49 | 000,057,360 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.583kevu
[2009/02/08 19:06:58 | 000,008,208 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.xi926pu
[2009/02/08 18:45:07 | 000,004,112 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.2k2y8b
[2009/02/08 18:23:17 | 000,385,040 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.4srx0q
[2009/02/08 18:01:25 | 000,090,128 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.7kqncn
[2009/02/08 17:39:34 | 000,102,416 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.qo5fw
[2009/02/08 16:54:52 | 000,307,216 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.8tj7tky
[2009/02/08 16:33:01 | 000,045,072 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.js8hsar
[2009/02/08 16:11:10 | 000,368,656 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.9vo319
[2009/02/08 15:49:20 | 000,405,520 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.m0o2il
[2009/02/08 15:15:35 | 000,213,008 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.xbuyb57
[2009/02/08 14:53:44 | 000,303,120 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.i0h0d
[2009/02/08 14:31:54 | 000,290,832 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.tvmjybe
[2009/02/08 14:10:02 | 000,073,744 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.z6acm
[2009/02/08 13:48:11 | 000,294,928 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.xz79fd4
[2009/02/08 13:26:21 | 000,376,848 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.3z1vjj
[2009/02/08 13:04:30 | 000,356,368 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.loiul0
[2009/02/01 12:03:44 | 000,274,448 | ---- | C] () -- C:\ProgramData\skip blah move.qfxce3
[2009/02/01 12:03:26 | 000,364,560 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.gid7km
[2009/02/01 12:03:23 | 000,278,544 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.ofiyrby
[2009/01/02 21:18:24 | 000,380,944 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.em2sco6
[2008/12/28 12:59:35 | 000,073,744 | ---- | C] () -- C:\ProgramData\Sign Window Option.l5s9her
[2008/12/28 12:59:23 | 000,266,256 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.ftab5dw
[2008/11/18 18:58:59 | 000,221,200 | ---- | C] () -- C:\ProgramData\Gram atom draw.v5mx2d
[2008/11/18 18:58:31 | 000,352,272 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.1n1tp
[2008/11/02 12:41:47 | 000,237,584 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.vanwoqw
[2008/10/26 20:22:26 | 000,118,800 | ---- | C] () -- C:\ProgramData\Web sixth file.xgfzjb
[2008/10/26 20:21:29 | 000,016,400 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.vkz24f
[2008/10/01 10:01:34 | 000,360,464 | ---- | C] () -- C:\ProgramData\Upload Bags Bags.28csm9u
[2005/04/08 04:16:43 | 002,251,627 | -H-- | C] () -- C:\Users\Julien\AppData\Roaming\logs.dat
:files
C:\Windows\tasks\At*.job
* redemarre le pc sous windows et poste le rapport ici
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Agh je pensais pourtant avoir évité les doublons d'antivirus.
J'utilise Antivir.
Par pack sécurité tu dois sans doute parler de mon ancien antivirus de FAI SFR (F-secure)? J'avais tout désinstallé au maximum, mais il y a un fichier que je ne peux pas supprimer depuis plus d'un an et demi...
C'est d'ailleurs plutôt chiant car ça se lance à chaque démarrage. D'ailleurs je ne suis plus chez eux depuis longtemps et je ne paie donc pas cet antivirus. Il ne doit plus travailler sur mon pc mais il est toujours là :-(
J'utilise Antivir.
Par pack sécurité tu dois sans doute parler de mon ancien antivirus de FAI SFR (F-secure)? J'avais tout désinstallé au maximum, mais il y a un fichier que je ne peux pas supprimer depuis plus d'un an et demi...
C'est d'ailleurs plutôt chiant car ça se lance à chaque démarrage. D'ailleurs je ne suis plus chez eux depuis longtemps et je ne paie donc pas cet antivirus. Il ne doit plus travailler sur mon pc mais il est toujours là :-(
Pour infos le dossier F-secure est dans C:/ProgramData et si je veux le supprimer ça me dit que "le dossier est ouvert dans un autre programme".
Par contre ce pack sécurité n'apparait dans la liste des trucs installés quand je vais sur désinstallation de programmes.
Merci en tous cas pour le temps que tu passes à m'aider ;-)
Par contre ce pack sécurité n'apparait dans la liste des trucs installés quand je vais sur désinstallation de programmes.
Merci en tous cas pour le temps que tu passes à m'aider ;-)
Dans le doute je fais tout de même la suite de la procédure (bien que n'ayant pas pu supprimer totalement le pack sécurité):
http://pjjoint.malekal.com/files.php?id=20130607_s13u6s5d9j8
Et je relance pour la suite
http://pjjoint.malekal.com/files.php?id=20130607_s13u6s5d9j8
Et je relance pour la suite
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
7 juin 2013 à 16:04
7 juin 2013 à 16:04
heu les programmes ça se désinstalle pas en virant les répertoires.
Faut lancer le programme de désinstallation :
Vas dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle le Pack Sécurité
Faut lancer le programme de désinstallation :
Vas dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle le Pack Sécurité
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
7 juin 2013 à 17:02
7 juin 2013 à 17:02
y a un utilitaire de désinstallation là : http://assistance.sfr.fr/accueil_logitheque/telecharger/utils-pack-securite/fc-2394-61986
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
7 juin 2013 à 17:29
7 juin 2013 à 17:29
yep un 'tit scan histoire de :)
Voili voilou:
http://pjjoint.malekal.com/files.php?id=20130607_w10f13z6s13d14
Désolé du timing mais tennis + apéro du vendredi ;-)
http://pjjoint.malekal.com/files.php?id=20130607_w10f13z6s13d14
Désolé du timing mais tennis + apéro du vendredi ;-)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
7 juin 2013 à 22:59
7 juin 2013 à 22:59
ça c'est une correction :)
faut refaire un scan comme la première fois :)
faut refaire un scan comme la première fois :)
Et voilà:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Julien [Droits d'admin]
Mode : Suppression -- Date : 08/06/2013 15:55:02
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 1 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:5555) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x83031FA5 -> HOOKED (Unknown @ 0x89520E6E)
SSDT[276] : NtRequestWaitReplyPort @ 0x83044142 -> HOOKED (Unknown @ 0x89520E78)
SSDT[289] : NtSetContextThread @ 0x8309325F -> HOOKED (Unknown @ 0x89520E73)
SSDT[314] : NtSetSecurityObject @ 0x82FC0027 -> HOOKED (Unknown @ 0x89520E7D)
SSDT[332] : NtSystemDebugControl @ 0x82FF8EF1 -> HOOKED (Unknown @ 0x89520E82)
SSDT[334] : NtTerminateProcess @ 0x82FF1173 -> HOOKED (Unknown @ 0x89520E0F)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x89520E96)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x89520E9B)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDT725025VLA380 ATA Device +++++
--- User ---
[MBR] f9e2043f36fb53c2275db939a1b4acdd
[BSP] 888ffcc154f00c27bd7fdd5e1dd7b0cd : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20466810 | Size: 114376 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254710575 | Size: 114102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4]_D_08062013_155502.txt >>
RKreport[1]_S_06062013_193006.txt ; RKreport[2]_D_06062013_193132.txt ; RKreport[3]_S_08062013_155212.txt ; RKreport[4]_D_08062013_155502.txt
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Julien [Droits d'admin]
Mode : Suppression -- Date : 08/06/2013 15:55:02
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 1 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:5555) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e27ba742e347d086b5903df996879ebb\U --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x83031FA5 -> HOOKED (Unknown @ 0x89520E6E)
SSDT[276] : NtRequestWaitReplyPort @ 0x83044142 -> HOOKED (Unknown @ 0x89520E78)
SSDT[289] : NtSetContextThread @ 0x8309325F -> HOOKED (Unknown @ 0x89520E73)
SSDT[314] : NtSetSecurityObject @ 0x82FC0027 -> HOOKED (Unknown @ 0x89520E7D)
SSDT[332] : NtSystemDebugControl @ 0x82FF8EF1 -> HOOKED (Unknown @ 0x89520E82)
SSDT[334] : NtTerminateProcess @ 0x82FF1173 -> HOOKED (Unknown @ 0x89520E0F)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x89520E96)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x89520E9B)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDT725025VLA380 ATA Device +++++
--- User ---
[MBR] f9e2043f36fb53c2275db939a1b4acdd
[BSP] 888ffcc154f00c27bd7fdd5e1dd7b0cd : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20466810 | Size: 114376 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254710575 | Size: 114102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4]_D_08062013_155502.txt >>
RKreport[1]_S_06062013_193006.txt ; RKreport[2]_D_06062013_193132.txt ; RKreport[3]_S_08062013_155212.txt ; RKreport[4]_D_08062013_155502.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
8 juin 2013 à 17:02
8 juin 2013 à 17:02
Passe un coup d'ESET Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=
~~
Télécharge ce fichier sur ton bureau : https://www.malekal.com/download/ZeroAccess_ReparsePoint.cmd
(sur le lien - Clic droit / enregistrer la cible du lien sous et mets sur le ton bureau).
Tu dois donc avoir sur ton bureau ZeroAccess_ReparsePoint.cmd
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Mets toi sur ta session.
Sur ZeroAccess_ReparsePoint.cmd
Clic droit / executer en tant qu'administrateur.
Une fenêtre noire va s'ouvrir et se fermer.
Un fichier texte va s'ouvrir, enregistre le sur le bureau (Menu Fichier / Enregistrer sous).
Redémarre en mode normal.
Regarde ce que cela donne pour les téléchargements.
~~
Télécharge ce fichier sur ton bureau : https://www.malekal.com/download/ZeroAccess_ReparsePoint.cmd
(sur le lien - Clic droit / enregistrer la cible du lien sous et mets sur le ton bureau).
Tu dois donc avoir sur ton bureau ZeroAccess_ReparsePoint.cmd
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Mets toi sur ta session.
Sur ZeroAccess_ReparsePoint.cmd
Clic droit / executer en tant qu'administrateur.
Une fenêtre noire va s'ouvrir et se fermer.
Un fichier texte va s'ouvrir, enregistre le sur le bureau (Menu Fichier / Enregistrer sous).
Redémarre en mode normal.
Regarde ce que cela donne pour les téléchargements.
6 juin 2013 à 17:43
Le problème, comme je l'indiquais et que je ne peux absolument plus rien télécharger :-(
6 juin 2013 à 17:43
6 juin 2013 à 17:54
merci