TRojan TR/Rootkit.Gen2 internet instable

Résolu
phk30 Messages postés 1066 Statut Membre -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,
je souhaite nettoyer ce trojan TR/Rootkit.Gen2 car mon internet est instable suite à l'installation non désiré de torn tv que j'ai réussi à désinstaller, j'ai un probleme pour activer les cookies et une fenetre netsk.exe point d'entrée introuvable qui s'affiche au demarrage, voici le lien ZHPDIAG https://www.cjoint.com/?0FpikUSDCra

141 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
Résumé de la discussion

Le problème central porte sur le nettoyage d'un Trojan TR/Rootkit.Gen2 et l'instabilité Internet après l'installation indésirable de torn tv, avec des cookies inactifs et netsk.exe au démarrage.
Plusieurs réponses proposent des étapes manuelles et des pré-scan; on conseille d'explorer C:\ Windows, de localiser le fichier $NtUninstallKB951748$, puis de copier afd.sys vers le système.
Des échanges évoquent des pré-scan liés à Windows 8 et Vista et des vérifications du curseur ou des messages « done », sans aboutir à une résolution immédiate.
En cas de doute, certaines mentions soulignent des difficultés à activer les mises à jour automatiques et la persistance d'un symbole d'erreur, apportant une nuance utile sur l'état potentiel du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    je crois que tu n'as pas du tout compris ce que je te demande mdr !!!!!

    on va y aller par étape :

    tu fais :

    demarrer/poste de travail

    rentre dans ton disque local C:\ via un double clic dessus

    rentre dans WINDOWS

    ensuite

    rentre dans $NtUninstallKB951748$

    il y a pleins de fichiers à l'interieur

    clique gauche une seule fois sur afd.sys , une fois qu'il est sélectionné , tu cliques droit une fois dessus , puis tu selectionnes "copier"

    ensuite tu fais :

    demarrer/poste de travail

    rentre dans ton disque local C:\

    et clic droit => coller
    1
  2. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    * Télécharge sur le bureau RogueKiller

    * Quitte tous tes programmes en cours.

    * Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur

    * Sinon lance simplement RogueKiller.exe

    * Patiente pendant le pre-scan, puis clique sur le bouton Scan

    * Un rapport RKreport.txt a du se créer sur le bureau, poste-le.

    Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

    0
  3. phk30
     
    bonjour merci pour la rapidité c'est en cours à bientot
    0
  4. phk30 Messages postés 1066 Statut Membre 75
     
    RogueKiller V8.6.0 [Jun 15 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP
    Demarrage : Mode normal
    Utilisateur : LOT [Droits d'admin]
    Mode : Recherche -- Date : 06/15/2013 08:47:25
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 11 ¤¤¤
    [HJ POL] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
    [HJ POL] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
    [WALLPAPER] HKCU\[...]\Desktop : Wallpaper (C:\Documents and Settings\LOT\Local Settings\Application Data\Microsoft\Wallpaper1.bmp) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 2 ¤¤¤
    [V1][ROGUE ST] Plus-HD-2.2-firefoxinstaller.job : C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-2.2' /extensionfilepath='C:\Program Files\Plus-HD-2.2\33036.xpi' /appid=33036 /srcid='000124' /subid='0' /zdata='0' /bic=53B43D33092447F281F3B0CE1DD6C77FIE /verifier=70b972997287ca401ec2f1333bad0fd7 /installerversion=1_27_153 /installerfullversion=1.27.153.6 /installationtime=1371158413 /statsdomain=hxxp://stats.myserverstat.com /errorsdomain=hxxp://errors.myserverstat.com /waitforbrowser=300 /extensionid=4fdacf00-e9c4-4ad5-b4cf-bf9800f184f6@36857116-74e0-4973-936f-860cd2a102a9.com /extensionversion=0.91 /prefsbranch=a4fdacf00e9c44ad5b4cfbf9800f184f63685711674e04973936f860cd2a102a9com33036 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/33036.rdf /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x] -> TROUVÉ
    [V1][SUSP PATH] FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job : C:\Documents and Settings\LOT\Application Data\igdhbblpcellaljokkpfhcjlagemhgjl\MinibarChrome.exe - "" /now /imbar /chrome /cmd='--app=hxxp://www.iminent.com/front/activation?refid=1 --app-window=640,480' /extid=igdhbblpcellaljokkpfhcjlagemhgjl /delay [x][x][x][x][x][x][x][x][x] -> TROUVÉ

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][Jonction] $NtUninstallKB23544$ : C:\WINDOWS\$NtUninstallKB23544$ >> \systemroot\system32\config [-] --> TROUVÉ

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    [Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7EC98DC)
    [Address] SSDT[41] : NtCreateKey @ 0x80578AB4 -> HOOKED (Unknown @ 0xF7EC9896)
    [Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7EC98E6)
    [Address] SSDT[53] : NtCreateThread @ 0x80584D39 -> HOOKED (Unknown @ 0xF7EC988C)
    [Address] SSDT[63] : NtDeleteKey @ 0x8059A5C9 -> HOOKED (Unknown @ 0xF7EC989B)
    [Address] SSDT[65] : NtDeleteValueKey @ 0x805991E8 -> HOOKED (Unknown @ 0xF7EC98A5)
    [Address] SSDT[68] : NtDuplicateObject @ 0x8057F18D -> HOOKED (Unknown @ 0xF7EC98D7)
    [Address] SSDT[98] : NtLoadKey @ 0x805B8287 -> HOOKED (Unknown @ 0xF7EC98AA)
    [Address] SSDT[122] : NtOpenProcess @ 0x8057F93A -> HOOKED (Unknown @ 0xF7EC9878)
    [Address] SSDT[128] : NtOpenThread @ 0x80596743 -> HOOKED (Unknown @ 0xF7EC987D)
    [Address] SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7EC98FF)
    [Address] SSDT[193] : NtReplaceKey @ 0x806571A8 -> HOOKED (Unknown @ 0xF7EC98B4)
    [Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D13B -> HOOKED (Unknown @ 0xF7EC98F0)
    [Address] SSDT[204] : NtRestoreKey @ 0x80656D3D -> HOOKED (Unknown @ 0xF7EC98AF)
    [Address] SSDT[213] : NtSetContextThread @ 0x80635EFB -> HOOKED (Unknown @ 0xF7EC98EB)
    [Address] SSDT[237] : NtSetSecurityObject @ 0x805E8694 -> HOOKED (Unknown @ 0xF7EC98F5)
    [Address] SSDT[247] : NtSetValueKey @ 0x80580088 -> HOOKED (Unknown @ 0xF7EC98A0)
    [Address] SSDT[255] : NtSystemDebugControl @ 0x80651A75 -> HOOKED (Unknown @ 0xF7EC98FA)
    [Address] SSDT[257] : NtTerminateProcess @ 0x8058E8B1 -> HOOKED (Unknown @ 0xF7EC9887)
    [Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7EC990E)
    [Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7EC9913)

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST380013AS +++++
    --- User ---
    [MBR] 2039fc7d8765ef586735e57be1c4414c
    [BSP] 8d58b6fd6afc295062c863c4544df3d0 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76324 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_S_06152013_084725.txt >>
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    * Quitte tous tes programmes en cours

    * Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur

    * Sinon lance simplement RogueKiller.exe

    * Patiente pendant le pre-scan, clique sur Scan

    * Vérifie que tous les éléments sont cochés puis clique sur Suppression

    * Poste le rapport RKreport.txt présent sur le bureau.

    0
  7. phk30 Messages postés 1066 Statut Membre 75
     
    RogueKiller V8.6.0 [Jun 15 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP
    Demarrage : Mode normal
    Utilisateur : LOT [Droits d'admin]
    Mode : Recherche -- Date : 06/15/2013 08:58:19
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 11 ¤¤¤
    [HJ POL] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
    [HJ POL] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
    [WALLPAPER] HKCU\[...]\Desktop : Wallpaper (C:\Documents and Settings\LOT\Local Settings\Application Data\Microsoft\Wallpaper1.bmp) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 2 ¤¤¤
    [V1][ROGUE ST] Plus-HD-2.2-firefoxinstaller.job : C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-2.2' /extensionfilepath='C:\Program Files\Plus-HD-2.2\33036.xpi' /appid=33036 /srcid='000124' /subid='0' /zdata='0' /bic=53B43D33092447F281F3B0CE1DD6C77FIE /verifier=70b972997287ca401ec2f1333bad0fd7 /installerversion=1_27_153 /installerfullversion=1.27.153.6 /installationtime=1371158413 /statsdomain=hxxp://stats.myserverstat.com /errorsdomain=hxxp://errors.myserverstat.com /waitforbrowser=300 /extensionid=4fdacf00-e9c4-4ad5-b4cf-bf9800f184f6@36857116-74e0-4973-936f-860cd2a102a9.com /extensionversion=0.91 /prefsbranch=a4fdacf00e9c44ad5b4cfbf9800f184f63685711674e04973936f860cd2a102a9com33036 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/33036.rdf /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x] -> TROUVÉ
    [V1][SUSP PATH] FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job : C:\Documents and Settings\LOT\Application Data\igdhbblpcellaljokkpfhcjlagemhgjl\MinibarChrome.exe - "" /now /imbar /chrome /cmd='--app=hxxp://www.iminent.com/front/activation?refid=1 --app-window=640,480' /extid=igdhbblpcellaljokkpfhcjlagemhgjl /delay [x][x][x][x][x][x][x][x][x] -> TROUVÉ

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][Jonction] $NtUninstallKB23544$ : C:\WINDOWS\$NtUninstallKB23544$ >> \systemroot\system32\config [-] --> TROUVÉ

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    [Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7EC98DC)
    [Address] SSDT[41] : NtCreateKey @ 0x80578AB4 -> HOOKED (Unknown @ 0xF7EC9896)
    [Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7EC98E6)
    [Address] SSDT[53] : NtCreateThread @ 0x80584D39 -> HOOKED (Unknown @ 0xF7EC988C)
    [Address] SSDT[63] : NtDeleteKey @ 0x8059A5C9 -> HOOKED (Unknown @ 0xF7EC989B)
    [Address] SSDT[65] : NtDeleteValueKey @ 0x805991E8 -> HOOKED (Unknown @ 0xF7EC98A5)
    [Address] SSDT[68] : NtDuplicateObject @ 0x8057F18D -> HOOKED (Unknown @ 0xF7EC98D7)
    [Address] SSDT[98] : NtLoadKey @ 0x805B8287 -> HOOKED (Unknown @ 0xF7EC98AA)
    [Address] SSDT[122] : NtOpenProcess @ 0x8057F93A -> HOOKED (Unknown @ 0xF7EC9878)
    [Address] SSDT[128] : NtOpenThread @ 0x80596743 -> HOOKED (Unknown @ 0xF7EC987D)
    [Address] SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7EC98FF)
    [Address] SSDT[193] : NtReplaceKey @ 0x806571A8 -> HOOKED (Unknown @ 0xF7EC98B4)
    [Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D13B -> HOOKED (Unknown @ 0xF7EC98F0)
    [Address] SSDT[204] : NtRestoreKey @ 0x80656D3D -> HOOKED (Unknown @ 0xF7EC98AF)
    [Address] SSDT[213] : NtSetContextThread @ 0x80635EFB -> HOOKED (Unknown @ 0xF7EC98EB)
    [Address] SSDT[237] : NtSetSecurityObject @ 0x805E8694 -> HOOKED (Unknown @ 0xF7EC98F5)
    [Address] SSDT[247] : NtSetValueKey @ 0x80580088 -> HOOKED (Unknown @ 0xF7EC98A0)
    [Address] SSDT[255] : NtSystemDebugControl @ 0x80651A75 -> HOOKED (Unknown @ 0xF7EC98FA)
    [Address] SSDT[257] : NtTerminateProcess @ 0x8058E8B1 -> HOOKED (Unknown @ 0xF7EC9887)
    [Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7EC990E)
    [Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7EC9913)

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST380013AS +++++
    --- User ---
    [MBR] 2039fc7d8765ef586735e57be1c4414c
    [BSP] 8d58b6fd6afc295062c863c4544df3d0 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76324 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_06152013_085819.txt >>
    RKreport[0]_S_06152013_084725.txt
    0
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      * Vérifie que tous les éléments sont cochés puis clique sur Suppression

      J'attends donc le rapport de suppression

      Peux tu me dire si le parefeu fonctionne ainsi que windows update?
      0
  8. phk30 Messages postés 1066 Statut Membre 75
     
    RogueKiller V8.6.0 [Jun 15 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP
    Demarrage : Mode normal
    Utilisateur : LOT [Droits d'admin]
    Mode : Suppression -- Date : 06/15/2013 09:00:34
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 11 ¤¤¤
    [HJ POL] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
    [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
    [HJ POL] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
    [WALLPAPER] HKCU\[...]\Desktop : Wallpaper (C:\Documents and Settings\LOT\Local Settings\Application Data\Microsoft\Wallpaper1.bmp) -> REMPLACÉ (C:\Documents and Settings\LOT\Application Data\Mozilla\Firefox\Fond d'écran.bmp)

    ¤¤¤ Tâches planifiées : 2 ¤¤¤
    [V1][ROGUE ST] Plus-HD-2.2-firefoxinstaller.job : C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-2.2' /extensionfilepath='C:\Program Files\Plus-HD-2.2\33036.xpi' /appid=33036 /srcid='000124' /subid='0' /zdata='0' /bic=53B43D33092447F281F3B0CE1DD6C77FIE /verifier=70b972997287ca401ec2f1333bad0fd7 /installerversion=1_27_153 /installerfullversion=1.27.153.6 /installationtime=1371158413 /statsdomain=hxxp://stats.myserverstat.com /errorsdomain=hxxp://errors.myserverstat.com /waitforbrowser=300 /extensionid=4fdacf00-e9c4-4ad5-b4cf-bf9800f184f6@36857116-74e0-4973-936f-860cd2a102a9.com /extensionversion=0.91 /prefsbranch=a4fdacf00e9c44ad5b4cfbf9800f184f63685711674e04973936f860cd2a102a9com33036 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/33036.rdf /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x] -> SUPPRIMÉ
    [V1][SUSP PATH] FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job : C:\Documents and Settings\LOT\Application Data\igdhbblpcellaljokkpfhcjlagemhgjl\MinibarChrome.exe - "" /now /imbar /chrome /cmd='--app=hxxp://www.iminent.com/front/activation?refid=1 --app-window=640,480' /extid=igdhbblpcellaljokkpfhcjlagemhgjl /delay [x][x][x][x][x][x][x][x][x] -> SUPPRIMÉ

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][Jonction] $NtUninstallKB23544$ : C:\WINDOWS\$NtUninstallKB23544$ >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] 1462292589 : C:\WINDOWS\$NtUninstallKB23544$\1462292589 >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Fichier] 1462292589 : C:\WINDOWS\$NtUninstallKB23544$\1462292589 [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] @ : C:\WINDOWS\$NtUninstallKB23544$\525092020\@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] Desktop.ini : C:\WINDOWS\$NtUninstallKB23544$\525092020\Desktop.ini [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 00000004.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\00000004.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 201d3dde : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\201d3dde [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 6715e287 : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\6715e287 [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 76603ac3 : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\76603ac3 [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] owtwwoom : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\owtwwoom [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] L : C:\WINDOWS\$NtUninstallKB23544$\525092020\L [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 00000004.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\00000004.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 00000008.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\00000008.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 000000cb.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\000000cb.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 80000000.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\80000000.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 80000032.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\80000032.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] U : C:\WINDOWS\$NtUninstallKB23544$\525092020\U [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] 525092020 : C:\WINDOWS\$NtUninstallKB23544$\525092020 [-] --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][Repertoire] $NtUninstallKB23544$ : C:\WINDOWS\$NtUninstallKB23544$ [-] --> SUPPRIMÉ AU REBOOT

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    [Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7EC98DC)
    [Address] SSDT[41] : NtCreateKey @ 0x80578AB4 -> HOOKED (Unknown @ 0xF7EC9896)
    [Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7EC98E6)
    [Address] SSDT[53] : NtCreateThread @ 0x80584D39 -> HOOKED (Unknown @ 0xF7EC988C)
    [Address] SSDT[63] : NtDeleteKey @ 0x8059A5C9 -> HOOKED (Unknown @ 0xF7EC989B)
    [Address] SSDT[65] : NtDeleteValueKey @ 0x805991E8 -> HOOKED (Unknown @ 0xF7EC98A5)
    [Address] SSDT[68] : NtDuplicateObject @ 0x8057F18D -> HOOKED (Unknown @ 0xF7EC98D7)
    [Address] SSDT[98] : NtLoadKey @ 0x805B8287 -> HOOKED (Unknown @ 0xF7EC98AA)
    [Address] SSDT[122] : NtOpenProcess @ 0x8057F93A -> HOOKED (Unknown @ 0xF7EC9878)
    [Address] SSDT[128] : NtOpenThread @ 0x80596743 -> HOOKED (Unknown @ 0xF7EC987D)
    [Address] SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7EC98FF)
    [Address] SSDT[193] : NtReplaceKey @ 0x806571A8 -> HOOKED (Unknown @ 0xF7EC98B4)
    [Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D13B -> HOOKED (Unknown @ 0xF7EC98F0)
    [Address] SSDT[204] : NtRestoreKey @ 0x80656D3D -> HOOKED (Unknown @ 0xF7EC98AF)
    [Address] SSDT[213] : NtSetContextThread @ 0x80635EFB -> HOOKED (Unknown @ 0xF7EC98EB)
    [Address] SSDT[237] : NtSetSecurityObject @ 0x805E8694 -> HOOKED (Unknown @ 0xF7EC98F5)
    [Address] SSDT[247] : NtSetValueKey @ 0x80580088 -> HOOKED (Unknown @ 0xF7EC98A0)
    [Address] SSDT[255] : NtSystemDebugControl @ 0x80651A75 -> HOOKED (Unknown @ 0xF7EC98FA)
    [Address] SSDT[257] : NtTerminateProcess @ 0x8058E8B1 -> HOOKED (Unknown @ 0xF7EC9887)
    [Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7EC990E)
    [Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7EC9913)

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST380013AS +++++
    --- User ---
    [MBR] 2039fc7d8765ef586735e57be1c4414c
    [BSP] 8d58b6fd6afc295062c863c4544df3d0 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76324 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2]_D_06152013_090034.txt >>
    RKreport[0]_S_06152013_084725.txt;RKreport[1]_S_06152013_085819.txt
    0
  9. phk30 Messages postés 1066 Statut Membre 75
     
    parefeuu ok windows ok mais mise a jour automatique impossible de l'activé ?
    0
  10. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello phk

    Tu as chopé une grosse infection appelé rootkit zacces qui neutralise certains services

    Dans ton cas c'est windows update qui a pris un coup

    Quelqu'un risque de prendre le relais

    En attendant tu peux mettre à jour Mbam et lancer un scan complet

    Si problème il y a il existe toujours une solution
    N'oubliez pas de mettre votre sujet en résolu :)
    0
  11. phk30 Messages postés 1066 Statut Membre 75
     
    ok merci mbam est un peu long a+ merci
    0
  12. phk30 Messages postés 1066 Statut Membre 75
     
    j'ai avira qui réagi a tr/rootkit et lance des verification systeme, déjà 3 verif en cours et MBAM mais je ne peux pas arreter les verif avira, et avira bip et ouvre une fenetre sur la droite concernant rootkit, dois laisser tourner tous cela svp merci à bientot.
    0
  13. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Re phk

    La priorité est Mbam :)

    Courage sois patient :)
    0
  14. phk30 Messages postés 1066 Statut Membre 75
     
    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.06.15.01

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    LOT :: LOT-83FA1B7908C [administrateur]

    15/06/2013 09:16:32
    mbam-log-2013-06-15 (09-16-32).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 325951
    Temps écoulé: 1 heure(s), 21 minute(s), 9 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    J'ai désactivé AVIRA pour continuer mbam voici le rapport
    0
  15. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Bon c'est plutôt une bonne nouvelle

    As tu essayé de remettre en automatique windows update?
    0
  16. phk30 Messages postés 1066 Statut Membre 75
     
    Et bien je n'arrive pas à l'activer elle est sur automatique je fais appliquer et ok mais le logo windows securité est toujours croix rouge ? merci
    0
  17. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello phk

    Avira couine toujours sur les alertes?
    0
  18. phk30 Messages postés 1066 Statut Membre 75
     
    non ca va je l'ai activer, et il ne me demande plus d'activer les cookies
    0
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      Ok donc avira ne fait plus d'alerte c'est bon signe
      0
  19. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Attends

    Tu as réussi à activer windows update?

    Avira couine toujours sur les alertes rootkit?
    0
  20. phk30 Messages postés 1066 Statut Membre 75
     
    je viens de redemarrer toujours le pare feu est désactivé et les mise a jour aussi ? impossible de les réactiver ?
    0
  21. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    C'est bien ce que je craignais

    Le rootkit a désactivé certains services et c'est pour cela que tu ne peux pas les réactiver

    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8