Infection Win32:Zacess-PB + win32 malware-gen

Shoobi Messages postés 14 Statut Membre -  
Shoobi Messages postés 14 Statut Membre -
Bonjour à toutes et tous,



C'est ma toute première fois sur le forum et de plus je demande de l'aide. Je me suis souvent inspiré des soluces postées ici pour résoudre mes problèmes, mais là :) pas moyen !!!

En résumé, je suis infecté depuis tout à l'heure par zacess et malware-gen me dit avast par le biais de son alarme toutes les 5 minutes.

Un pti coup de main serait le bienvenu. Une autre bizarrerie : je viens de faire un scan complet malwarebytes, il me dit : aucun élément infecté.

Merci pour vos réponses.

30 réponses

  • 1
  • 2
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    ▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
    ▶ Enregistre et ferme tous les programmes en cours
    ▶ Lance RogueKiller et attend que le Prescan ait fini
    ▶ Accepte l'EULA qui s'affiche puis clique sur Scan et enfin sur Suppression
    ▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

    A+
    0
  2. Shoobi Messages postés 14 Statut Membre
     
    Salut Juju,

    En fait mon ordi a redémarré après le premier scan, je viens d'un relancer 1, voici le rapport :

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Vince [Droits d'admin]
    Mode : Recherche -- Date : 09/06/2013 15:39:09
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{3D2C87D1-0497-48FF-B8D0-1DA063BE68D6} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{A250A30C-354B-40E2-A876-534311DA4170} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{CDD887B2-BA2D-4662-B61A-3B9069892A6D} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{3D2C87D1-0497-48FF-B8D0-1DA063BE68D6} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{A250A30C-354B-40E2-A876-534311DA4170} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{CDD887B2-BA2D-4662-B61A-3B9069892A6D} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FOLDER] U : C:\Windows\Installer\{78c267e7-ebc9-65ba-4cf3-d69b52d696d1}\U --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS545032B9A300 ATA Device +++++
    --- User ---
    [MBR] 24ccc10878cc18f03e7c950795a3d404
    [BSP] fb34d65bfbd70442b88a819191bf2fb8 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 24782848 | Size: 293143 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[3]_S_09062013_153909.txt >>
    RKreport[1]_S_09062013_151750.txt ; RKreport[2]_D_09062013_152342.txt ; RKreport[3]_S_09062013_153909.txt

    Merci pour ton aide
    @+s
    0
  3. Shoobi Messages postés 14 Statut Membre
     
    rapport après suppression :

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Vince [Droits d'admin]
    Mode : Suppression -- Date : 10/06/2013 01:24:29
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{3D2C87D1-0497-48FF-B8D0-1DA063BE68D6} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{A250A30C-354B-40E2-A876-534311DA4170} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{CDD887B2-BA2D-4662-B61A-3B9069892A6D} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{3D2C87D1-0497-48FF-B8D0-1DA063BE68D6} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{A250A30C-354B-40E2-A876-534311DA4170} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{CDD887B2-BA2D-4662-B61A-3B9069892A6D} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{78c267e7-ebc9-65ba-4cf3-d69b52d696d1}\U --> SUPPRIMÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS545032B9A300 ATA Device +++++
    --- User ---
    [MBR] 24ccc10878cc18f03e7c950795a3d404
    [BSP] fb34d65bfbd70442b88a819191bf2fb8 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 24782848 | Size: 293143 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[4]_D_10062013_012429.txt >>
    RKreport[1]_S_09062013_151750.txt ; RKreport[2]_D_09062013_152342.txt ; RKreport[3]_S_09062013_153909.txt ; RKreport[4]_D_10062013_012429.txt
    0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut ok relance roguekiller click sur DNS RAZ

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Shoobi Messages postés 14 Statut Membre
     
    Salut Juju,

    Ci-après le rapport après DNS RAZ :

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Vince [Droits d'admin]
    Mode : DNS RAZ -- Date : 10/06/2013 19:20:04
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{3D2C87D1-0497-48FF-B8D0-1DA063BE68D6} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{A250A30C-354B-40E2-A876-534311DA4170} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{CDD887B2-BA2D-4662-B61A-3B9069892A6D} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{3D2C87D1-0497-48FF-B8D0-1DA063BE68D6} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{A250A30C-354B-40E2-A876-534311DA4170} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
    [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{CDD887B2-BA2D-4662-B61A-3B9069892A6D} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    Termine : << RKreport[5]_DN_10062013_192004.txt >>
    RKreport[1]_S_09062013_151750.txt ; RKreport[2]_D_09062013_152342.txt ; RKreport[3]_S_09062013_153909.txt ; RKreport[4]_D_10062013_012429.txt ; RKreport[5]_DN_10062013_192004.txt
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    coucou :)

    super, vois si sur ta version de roguekiller il y a déjà le menu Outils -> Réparer le services ou non

    si ça n'est pas encore implanté, fais ça :

    ● Télécharge Service Repair (Eset) sur ton Bureau.

    ● Exécute le, clique sur Yes dans la boite de dialogue.
    ● A la fin, clique sur Yes pour autoriser le redémarrage.
    ● L'outil va créer un dossier CC Support dans le répertoire où l'outil a été exécuté.
    ● Héberge le rapport CC Support\Logs\SvcRepair.txt sur FEC Upload et poste le lien obtenu en échange

    A+
    0
  8. Shoobi Messages postés 14 Statut Membre
     
    Yepaaa Juju,

    Encore merci pour tes conseils :)

    Ci-après le lien du rapport service repair :

    https://forums-fec.be/upload/www/?a=d&i=5999116094
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Yop,

    On va vérifier si tout est bien réparé :)

    Télécharge Farbar Service Scanner sur ton Bureau.

    ● Coche les cases suivantes :
    Internet Services
    Windows Firewall
    System Restore
    Security Center
    Windows Update
    Windows Defender
    Others Services


    ● Clique sur "Scan".
    ● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

    Héberge le rapport sur FEC Upload et poste le lien obtenu en échange
    0
  10. Shoobi Messages postés 14 Statut Membre
     
    Yeppaa Juju,

    Ci-dessous le lien du fichier texte. Je n'y comprends pas grand chose je réalise juste que je me suis chopé une grosse m###e :)

    Merci pour ton aide

    @+s

    https://forums-fec.be/upload/www/?a=d&i=8304118745
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Oui effectivement :(

    Passe un coup de Pre_Scan : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan
    0
  12. Shoobi Messages postés 14 Statut Membre
     
    Yep Juju,

    J'ai effectué le prescan qui a pris 3 plombes hier, mon ordi a redémarré mais je ne sais pas où il m'a mis le txct, en tous cas pas sur le bureau où j'ai installé winlog, je cherche, j'essaie de poster.

    Premier constat : j'ai récupéré windows defender mais je n'arrive quand-même pas à le lancer.

    Je te tiens au courant

    @+s
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Regarde à C:\Pre_Scan_Date_Heure.txt
    0
  14. shoobi
     
    Yep Juju,

    Oui oui je viens de le trouver juste avant, du coup j'ai refait un scan, ci-joint le rapport.

    Merci pour ton aide :)

    @+s

    https://forums-fec.be/upload/www/?a=d&i=0173156477
    0
  15. shoobi
     
    https://forums-fec.be/upload/www/?a=d&i=0173156477

    Voilà :)
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hi :)

    Dis-moi, tu as encore des soucis ou le pare-feu windows fonctionne correctement ?
    0
  17. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    bonjour si tu ne suis pas les conseils inutile de demander de l'aide

    on demande de desactiver les protections et rien n'a été desactivé !

    et comment ca se fait que tu as un pre_script sur le bureau ? C:\Users\Vince\Desktop\Pre_script.txt

    alors que personne ne t'a demandé de scripter ?

    ¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
    Windows 8 => meme flop que Vista X 10
    0
  18. Shoobi Messages postés 14 Statut Membre
     
    En réponse à Juju, non windows defender ne veut toujours pas se lancer

    En réponse à g3n : c'est bien d'accepter les non initiés comme moi je fais ce que je peux.

    On me dit d'enlever les applications actives : quand je vais dans le gestionnaire de tâches APPLICATIONS je n'en ai aucune active

    Le script est une erreur de manip, je me suis trompé de bouton.

    Sur le principe, tu as certainement raison, sur la forme t'as l'air agacé, si tu veux m'aider fais le. Dans la cas contraire, je me passe de tes commentaires.

    @+s
    0
  19. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    j'ai récupéré windows defender mais je n'arrive quand-même pas à le lancer.

    précise
    0
  20. Shoobi Messages postés 14 Statut Membre
     
    Ok, je te remercie g3, c'est à dire que le centre des sécurité de windows ainsi que windows defender étaient inaccessibles avant le pre_scan

    Maintenant, WD est accessible mais quand je réponds à mon ordi WD doit analyser votre ordi , il me donne le message suivant après avoir patienter pour le lancer :

    le service s'est arrêté Un problème a provoqué l'arrêt du service de ce programme.Pour démarrer le service, cliquez sur démarrer maintenant ou redémarrez votre ordi

    Au final, message d'erreur suivant : cette opération s'est terminée car le délai d'attente a expiré code d'erreur 0x800705b4
    0
  21. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Il sert à rien de toute façon le WD ^^

    .::. Contributeur Sécurité .::.
    0
  • 1
  • 2