TRojan TR/Rootkit.Gen2 internet instable Résolu

Question

Bonjour, 
je souhaite nettoyer ce trojan TR/Rootkit.Gen2 car mon internet est instable suite à l'installation non désiré de torn tv que j'ai réussi à désinstaller, j'ai un probleme pour activer les cookies et une fenetre netsk.exe point d'entrée introuvable qui s'affiche au demarrage, voici le lien ZHPDIAG 	https://www.cjoint.com/?0FpikUSDCra


Configuration: Windows XP / Firefox 21.0

lilidurhone · Answer

Hello



* Télécharge sur le bureau RogueKiller

* Quitte tous tes programmes en cours.

* Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, puis clique sur le bouton Scan

* Un rapport RKreport.txt a du se créer sur le bureau, poste-le.

Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

phk30 · Answer

bonjour merci pour la rapidité c'est en cours à bientot

phk30 · Answer

RogueKiller V8.6.0 [Jun 15 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP Demarrage : Mode normal Utilisateur : LOT [Droits d'admin] Mode : Recherche -- Date : 06/15/2013 08:47:25 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 11 ¤¤¤ [HJ POL] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ POL] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ [WALLPAPER] HKCU\[...]\Desktop : Wallpaper (C:\Documents and Settings\LOT\Local Settings\Application Data\Microsoft\Wallpaper1.bmp) -> TROUVÉ ¤¤¤ Tâches planifiées : 2 ¤¤¤ [V1][ROGUE ST] Plus-HD-2.2-firefoxinstaller.job : C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-2.2' /extensionfilepath='C:\Program Files\Plus-HD-2.2\33036.xpi' /appid=33036 /srcid='000124' /subid='0' /zdata='0' /bic=53B43D33092447F281F3B0CE1DD6C77FIE /verifier=70b972997287ca401ec2f1333bad0fd7 /installerversion=1_27_153 /installerfullversion=1.27.153.6 /installationtime=1371158413 /statsdomain=hxxp://stats.myserverstat.com /errorsdomain=hxxp://errors.myserverstat.com /waitforbrowser=300 /extensionid=4fdacf00-e9c4-4ad5-b4cf-bf9800f184f6@36857116-74e0-4973-936f-860cd2a102a9.com /extensionversion=0.91 /prefsbranch=a4fdacf00e9c44ad5b4cfbf9800f184f63685711674e04973936f860cd2a102a9com33036 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/33036.rdf /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x] -> TROUVÉ [V1][SUSP PATH] FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job : C:\Documents and Settings\LOT\Application Data\igdhbblpcellaljokkpfhcjlagemhgjl\MinibarChrome.exe - "" /now /imbar /chrome /cmd='--app=hxxp://www.iminent.com/front/activation?refid=1 --app-window=640,480' /extid=igdhbblpcellaljokkpfhcjlagemhgjl /delay [x][x][x][x][x][x][x][x][x] -> TROUVÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][Jonction] $NtUninstallKB23544$ : C:\WINDOWS\$NtUninstallKB23544$ >> \systemroot\system32\config [-] --> TROUVÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7EC98DC) [Address] SSDT[41] : NtCreateKey @ 0x80578AB4 -> HOOKED (Unknown @ 0xF7EC9896) [Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7EC98E6) [Address] SSDT[53] : NtCreateThread @ 0x80584D39 -> HOOKED (Unknown @ 0xF7EC988C) [Address] SSDT[63] : NtDeleteKey @ 0x8059A5C9 -> HOOKED (Unknown @ 0xF7EC989B) [Address] SSDT[65] : NtDeleteValueKey @ 0x805991E8 -> HOOKED (Unknown @ 0xF7EC98A5) [Address] SSDT[68] : NtDuplicateObject @ 0x8057F18D -> HOOKED (Unknown @ 0xF7EC98D7) [Address] SSDT[98] : NtLoadKey @ 0x805B8287 -> HOOKED (Unknown @ 0xF7EC98AA) [Address] SSDT[122] : NtOpenProcess @ 0x8057F93A -> HOOKED (Unknown @ 0xF7EC9878) [Address] SSDT[128] : NtOpenThread @ 0x80596743 -> HOOKED (Unknown @ 0xF7EC987D) [Address] SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7EC98FF) [Address] SSDT[193] : NtReplaceKey @ 0x806571A8 -> HOOKED (Unknown @ 0xF7EC98B4) [Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D13B -> HOOKED (Unknown @ 0xF7EC98F0) [Address] SSDT[204] : NtRestoreKey @ 0x80656D3D -> HOOKED (Unknown @ 0xF7EC98AF) [Address] SSDT[213] : NtSetContextThread @ 0x80635EFB -> HOOKED (Unknown @ 0xF7EC98EB) [Address] SSDT[237] : NtSetSecurityObject @ 0x805E8694 -> HOOKED (Unknown @ 0xF7EC98F5) [Address] SSDT[247] : NtSetValueKey @ 0x80580088 -> HOOKED (Unknown @ 0xF7EC98A0) [Address] SSDT[255] : NtSystemDebugControl @ 0x80651A75 -> HOOKED (Unknown @ 0xF7EC98FA) [Address] SSDT[257] : NtTerminateProcess @ 0x8058E8B1 -> HOOKED (Unknown @ 0xF7EC9887) [Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7EC990E) [Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7EC9913) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST380013AS +++++ --- User --- [MBR] 2039fc7d8765ef586735e57be1c4414c [BSP] 8d58b6fd6afc295062c863c4544df3d0 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76324 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_06152013_084725.txt >>

lilidurhone · Answer

Hello

* Quitte tous tes programmes en cours

* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, clique sur Scan

* Vérifie que tous les éléments sont cochés puis clique sur Suppression

* Poste le rapport RKreport.txt présent sur le bureau.

phk30 · Answer

RogueKiller V8.6.0 [Jun 15 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP Demarrage : Mode normal Utilisateur : LOT [Droits d'admin] Mode : Recherche -- Date : 06/15/2013 08:58:19 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 11 ¤¤¤ [HJ POL] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ POL] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ [WALLPAPER] HKCU\[...]\Desktop : Wallpaper (C:\Documents and Settings\LOT\Local Settings\Application Data\Microsoft\Wallpaper1.bmp) -> TROUVÉ ¤¤¤ Tâches planifiées : 2 ¤¤¤ [V1][ROGUE ST] Plus-HD-2.2-firefoxinstaller.job : C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-2.2' /extensionfilepath='C:\Program Files\Plus-HD-2.2\33036.xpi' /appid=33036 /srcid='000124' /subid='0' /zdata='0' /bic=53B43D33092447F281F3B0CE1DD6C77FIE /verifier=70b972997287ca401ec2f1333bad0fd7 /installerversion=1_27_153 /installerfullversion=1.27.153.6 /installationtime=1371158413 /statsdomain=hxxp://stats.myserverstat.com /errorsdomain=hxxp://errors.myserverstat.com /waitforbrowser=300 /extensionid=4fdacf00-e9c4-4ad5-b4cf-bf9800f184f6@36857116-74e0-4973-936f-860cd2a102a9.com /extensionversion=0.91 /prefsbranch=a4fdacf00e9c44ad5b4cfbf9800f184f63685711674e04973936f860cd2a102a9com33036 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/33036.rdf /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x] -> TROUVÉ [V1][SUSP PATH] FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job : C:\Documents and Settings\LOT\Application Data\igdhbblpcellaljokkpfhcjlagemhgjl\MinibarChrome.exe - "" /now /imbar /chrome /cmd='--app=hxxp://www.iminent.com/front/activation?refid=1 --app-window=640,480' /extid=igdhbblpcellaljokkpfhcjlagemhgjl /delay [x][x][x][x][x][x][x][x][x] -> TROUVÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][Jonction] $NtUninstallKB23544$ : C:\WINDOWS\$NtUninstallKB23544$ >> \systemroot\system32\config [-] --> TROUVÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7EC98DC) [Address] SSDT[41] : NtCreateKey @ 0x80578AB4 -> HOOKED (Unknown @ 0xF7EC9896) [Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7EC98E6) [Address] SSDT[53] : NtCreateThread @ 0x80584D39 -> HOOKED (Unknown @ 0xF7EC988C) [Address] SSDT[63] : NtDeleteKey @ 0x8059A5C9 -> HOOKED (Unknown @ 0xF7EC989B) [Address] SSDT[65] : NtDeleteValueKey @ 0x805991E8 -> HOOKED (Unknown @ 0xF7EC98A5) [Address] SSDT[68] : NtDuplicateObject @ 0x8057F18D -> HOOKED (Unknown @ 0xF7EC98D7) [Address] SSDT[98] : NtLoadKey @ 0x805B8287 -> HOOKED (Unknown @ 0xF7EC98AA) [Address] SSDT[122] : NtOpenProcess @ 0x8057F93A -> HOOKED (Unknown @ 0xF7EC9878) [Address] SSDT[128] : NtOpenThread @ 0x80596743 -> HOOKED (Unknown @ 0xF7EC987D) [Address] SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7EC98FF) [Address] SSDT[193] : NtReplaceKey @ 0x806571A8 -> HOOKED (Unknown @ 0xF7EC98B4) [Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D13B -> HOOKED (Unknown @ 0xF7EC98F0) [Address] SSDT[204] : NtRestoreKey @ 0x80656D3D -> HOOKED (Unknown @ 0xF7EC98AF) [Address] SSDT[213] : NtSetContextThread @ 0x80635EFB -> HOOKED (Unknown @ 0xF7EC98EB) [Address] SSDT[237] : NtSetSecurityObject @ 0x805E8694 -> HOOKED (Unknown @ 0xF7EC98F5) [Address] SSDT[247] : NtSetValueKey @ 0x80580088 -> HOOKED (Unknown @ 0xF7EC98A0) [Address] SSDT[255] : NtSystemDebugControl @ 0x80651A75 -> HOOKED (Unknown @ 0xF7EC98FA) [Address] SSDT[257] : NtTerminateProcess @ 0x8058E8B1 -> HOOKED (Unknown @ 0xF7EC9887) [Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7EC990E) [Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7EC9913) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST380013AS +++++ --- User --- [MBR] 2039fc7d8765ef586735e57be1c4414c [BSP] 8d58b6fd6afc295062c863c4544df3d0 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76324 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_06152013_085819.txt >> RKreport[0]_S_06152013_084725.txt

phk30 · Answer

RogueKiller V8.6.0 [Jun 15 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP Demarrage : Mode normal Utilisateur : LOT [Droits d'admin] Mode : Suppression -- Date : 06/15/2013 09:00:34 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 11 ¤¤¤ [HJ POL] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ POL] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1) [WALLPAPER] HKCU\[...]\Desktop : Wallpaper (C:\Documents and Settings\LOT\Local Settings\Application Data\Microsoft\Wallpaper1.bmp) -> REMPLACÉ (C:\Documents and Settings\LOT\Application Data\Mozilla\Firefox\Fond d'écran.bmp) ¤¤¤ Tâches planifiées : 2 ¤¤¤ [V1][ROGUE ST] Plus-HD-2.2-firefoxinstaller.job : C:\Program Files\Plus-HD-2.2\Plus-HD-2.2-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-2.2' /extensionfilepath='C:\Program Files\Plus-HD-2.2\33036.xpi' /appid=33036 /srcid='000124' /subid='0' /zdata='0' /bic=53B43D33092447F281F3B0CE1DD6C77FIE /verifier=70b972997287ca401ec2f1333bad0fd7 /installerversion=1_27_153 /installerfullversion=1.27.153.6 /installationtime=1371158413 /statsdomain=hxxp://stats.myserverstat.com /errorsdomain=hxxp://errors.myserverstat.com /waitforbrowser=300 /extensionid=4fdacf00-e9c4-4ad5-b4cf-bf9800f184f6@36857116-74e0-4973-936f-860cd2a102a9.com /extensionversion=0.91 /prefsbranch=a4fdacf00e9c44ad5b4cfbf9800f184f63685711674e04973936f860cd2a102a9com33036 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/33036.rdf /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x][x] -> SUPPRIMÉ [V1][SUSP PATH] FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job : C:\Documents and Settings\LOT\Application Data\igdhbblpcellaljokkpfhcjlagemhgjl\MinibarChrome.exe - "" /now /imbar /chrome /cmd='--app=hxxp://www.iminent.com/front/activation?refid=1 --app-window=640,480' /extid=igdhbblpcellaljokkpfhcjlagemhgjl /delay [x][x][x][x][x][x][x][x][x] -> SUPPRIMÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][Jonction] $NtUninstallKB23544$ : C:\WINDOWS\$NtUninstallKB23544$ >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ [ZeroAccess][Jonction] 1462292589 : C:\WINDOWS\$NtUninstallKB23544$\1462292589 >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ [ZeroAccess][Fichier] 1462292589 : C:\WINDOWS\$NtUninstallKB23544$\1462292589 [-] --> SUPPRIMÉ [ZeroAccess][Fichier] @ : C:\WINDOWS\$NtUninstallKB23544$\525092020\@ [-] --> SUPPRIMÉ [ZeroAccess][Fichier] Desktop.ini : C:\WINDOWS\$NtUninstallKB23544$\525092020\Desktop.ini [-] --> SUPPRIMÉ [ZeroAccess][Fichier] 00000004.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\00000004.@ [-] --> SUPPRIMÉ [ZeroAccess][Fichier] 201d3dde : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\201d3dde [-] --> SUPPRIMÉ [ZeroAccess][Fichier] 6715e287 : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\6715e287 [-] --> SUPPRIMÉ [ZeroAccess][Fichier] 76603ac3 : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\76603ac3 [-] --> SUPPRIMÉ [ZeroAccess][Fichier] owtwwoom : C:\WINDOWS\$NtUninstallKB23544$\525092020\L\owtwwoom [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] L : C:\WINDOWS\$NtUninstallKB23544$\525092020\L [-] --> SUPPRIMÉ [ZeroAccess][Fichier] 00000004.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\00000004.@ [-] --> SUPPRIMÉ [ZeroAccess][Fichier] 00000008.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\00000008.@ [-] --> SUPPRIMÉ [ZeroAccess][Fichier] 000000cb.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\000000cb.@ [-] --> SUPPRIMÉ [ZeroAccess][Fichier] 80000000.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\80000000.@ [-] --> SUPPRIMÉ [ZeroAccess][Fichier] 80000032.@ : C:\WINDOWS\$NtUninstallKB23544$\525092020\U\80000032.@ [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] U : C:\WINDOWS\$NtUninstallKB23544$\525092020\U [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] 525092020 : C:\WINDOWS\$NtUninstallKB23544$\525092020 [-] --> SUPPRIMÉ AU REBOOT [ZeroAccess][Repertoire] $NtUninstallKB23544$ : C:\WINDOWS\$NtUninstallKB23544$ [-] --> SUPPRIMÉ AU REBOOT ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7EC98DC) [Address] SSDT[41] : NtCreateKey @ 0x80578AB4 -> HOOKED (Unknown @ 0xF7EC9896) [Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7EC98E6) [Address] SSDT[53] : NtCreateThread @ 0x80584D39 -> HOOKED (Unknown @ 0xF7EC988C) [Address] SSDT[63] : NtDeleteKey @ 0x8059A5C9 -> HOOKED (Unknown @ 0xF7EC989B) [Address] SSDT[65] : NtDeleteValueKey @ 0x805991E8 -> HOOKED (Unknown @ 0xF7EC98A5) [Address] SSDT[68] : NtDuplicateObject @ 0x8057F18D -> HOOKED (Unknown @ 0xF7EC98D7) [Address] SSDT[98] : NtLoadKey @ 0x805B8287 -> HOOKED (Unknown @ 0xF7EC98AA) [Address] SSDT[122] : NtOpenProcess @ 0x8057F93A -> HOOKED (Unknown @ 0xF7EC9878) [Address] SSDT[128] : NtOpenThread @ 0x80596743 -> HOOKED (Unknown @ 0xF7EC987D) [Address] SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7EC98FF) [Address] SSDT[193] : NtReplaceKey @ 0x806571A8 -> HOOKED (Unknown @ 0xF7EC98B4) [Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D13B -> HOOKED (Unknown @ 0xF7EC98F0) [Address] SSDT[204] : NtRestoreKey @ 0x80656D3D -> HOOKED (Unknown @ 0xF7EC98AF) [Address] SSDT[213] : NtSetContextThread @ 0x80635EFB -> HOOKED (Unknown @ 0xF7EC98EB) [Address] SSDT[237] : NtSetSecurityObject @ 0x805E8694 -> HOOKED (Unknown @ 0xF7EC98F5) [Address] SSDT[247] : NtSetValueKey @ 0x80580088 -> HOOKED (Unknown @ 0xF7EC98A0) [Address] SSDT[255] : NtSystemDebugControl @ 0x80651A75 -> HOOKED (Unknown @ 0xF7EC98FA) [Address] SSDT[257] : NtTerminateProcess @ 0x8058E8B1 -> HOOKED (Unknown @ 0xF7EC9887) [Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7EC990E) [Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7EC9913) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST380013AS +++++ --- User --- [MBR] 2039fc7d8765ef586735e57be1c4414c [BSP] 8d58b6fd6afc295062c863c4544df3d0 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76324 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_06152013_090034.txt >> RKreport[0]_S_06152013_084725.txt;RKreport[1]_S_06152013_085819.txt

phk30 · Answer

parefeuu ok windows ok mais mise a jour automatique impossible de l'activé ?

lilidurhone · Answer

Hello phk

Tu as chopé une grosse infection appelé rootkit zacces qui neutralise certains services 

Dans ton cas c'est windows update qui a pris un coup

Quelqu'un risque de prendre le relais

En attendant tu peux mettre à jour Mbam et lancer un scan complet 
 
Si problème il y a il existe toujours une solution 
N'oubliez pas de mettre votre sujet en résolu :)

phk30 · Answer

ok merci mbam est un peu long a+ merci

phk30 · Answer

j'ai avira qui réagi a tr/rootkit et lance des verification systeme, déjà 3 verif en cours et MBAM mais je ne peux pas arreter les verif avira, et avira bip et ouvre une fenetre sur la droite concernant rootkit, dois laisser tourner tous cela svp merci à bientot.

lilidurhone · Answer

Re phk

La priorité est Mbam :)

Courage sois patient :)

phk30 · Answer

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.15.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
LOT :: LOT-83FA1B7908C [administrateur]

15/06/2013 09:16:32
mbam-log-2013-06-15 (09-16-32).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 325951
Temps écoulé: 1 heure(s), 21 minute(s), 9 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
J'ai désactivé AVIRA pour continuer mbam voici le rapport

lilidurhone · Answer

Hello

Bon c'est plutôt une bonne nouvelle

As tu essayé de remettre en automatique windows update?

phk30 · Answer

Et bien je n'arrive pas à l'activer elle est sur automatique je fais appliquer et ok mais le logo windows securité est toujours  croix rouge ? merci

lilidurhone · Answer

Hello phk


Avira couine toujours sur les alertes?

phk30 · Answer

non ca va je l'ai activer, et il ne me demande plus d'activer les cookies

lilidurhone · Answer

Attends

Tu as réussi à activer windows update?

Avira couine toujours sur les alertes rootkit?

phk30 · Answer

je viens de redemarrer toujours le pare feu est désactivé et les mise a jour aussi ? impossible de les réactiver ?

lilidurhone · Answer

Hello

C'est bien ce que je craignais 

Le rootkit a désactivé certains services et c'est pour cela que tu ne peux pas les réactiver

phk30 · Answer

la connexion internet est désactiver aussi ?

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

phk30 · Answer

j'ai tous essayer une fenetre souvre a chaque fois "autolt error allocating memory ? ok puis bureau vide ?

g3n-h@ckm@n · Answer

t'as un bout de rapport dans C:\ ?

phk30 · Answer

https://www.cjoint.com/?0Fpm65udm3s

phk30 · Answer

désolé je dois m'absenter retour 16h00 je ferais le prochain post ensuite merci beaucoup à bientot

g3n-h@ckm@n · Answer

sélectionne ce texte puis CTRL + C

search::
afd.sys 
 
Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

phk30 · Answer

https://www.cjoint.com/?0FptZpkSVAe

phk30 · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0615 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

LOT : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 19:41:00

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



¤¤¤¤¤¤¤¤¤¤ | File search

[MD5.8D499B1276012EB907E7A9E0F4D8FDA4] - [16/06/2011 18:46:00] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys -> (5.1.2600.6081)
[MD5.38D7B715504DA4741DF35E3594FE2099] - [16/10/2008 17:07:58] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys -> (5.1.2600.5695)
[MD5.F6B7B1ECD7B41736BDB6FF4B092BCB79] - [12/10/2011 18:31:47] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys -> (5.1.2600.6142)
[MD5.D6EE6014241D034E63C49A50CB2B442A] - [20/06/2008 13:48:03] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\afd.sys -> (5.1.2600.5625)
[MD5.4D43E74F2A1239D53929B82600F1971C] - [07/12/2010 23:33:40] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB956803\SP3QFE\afd.sys -> (5.1.2600.5657)
[MD5.5AC495F4CB807B2B98AD2AD591E6D92E] - [07/12/2010 20:53:24] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtServicePackUninstall$\afd.sys -> (5.1.2600.2180)
[MD5.7618D5218F2A614672EC61A80D854A37] - [16/06/2011 19:10:16] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtUninstallKB2503665$\afd.sys -> (5.1.2600.5695)
[MD5.7E775010EF291DA96AD17CA4B17137D7] - [16/06/2011 19:08:14] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtUninstallKB2509553$\afd.sys -> (5.1.2600.5657)
[MD5.355556D9E580915118CD7EF736653A89] - [12/10/2011 23:32:20] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtUninstallKB2592799$\afd.sys -> (5.1.2600.6081)
[MD5.322D0E36693D6E24A2398BEE62A268CD] - [07/12/2010 23:39:40] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [134.88 Ko] - C:\WINDOWS\$NtUninstallKB951748$\afd.sys -> (5.1.2600.5512)
[MD5.E3049B90FE06F3F740B7CFDA44995E2C] - [07/12/2010 23:40:49] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtUninstallKB956803$\afd.sys -> (5.1.2600.5625)
[MD5.322D0E36693D6E24A2398BEE62A268CD] - [07/12/2010 20:58:11] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [134.88 Ko] - C:\WINDOWS\ServicePackFiles\i386\afd.sys -> (5.1.2600.5512)
[MD5.1E44BC1E83D8FD2305F8D452DB109CF9] - [20/06/2008 13:40:08] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\system32\dllcache\afd.sys -> (5.1.2600.6142)
[MD5.D41D8CD98F00B204E9800998ECF8427E] - [03/08/2004 23:14:16] - (. - .) - [135.25 Ko] - C:\WINDOWS\system32\drivers\afd.sys -> (0.0.0.0)

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 19:45:11

g3n-h@ckm@n · Answer

bein copie ce fichier dans C:\

C:\WINDOWS\$NtUninstallKB951748$\afd.sys
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

phk30 · Answer

je l'ai copier dans c/ cela devient un fichier bribes document wordpad, je passe par cle usb car internet ne fonctionne toujours pas ?

g3n-h@ckm@n · Answer

formate ton ordinateur

phk30 · Answer

je n'ai jamais entendu ce mot sur CCM ?

g3n-h@ckm@n · Answer

tu peux me faire une capture de ca ?

cela devient un fichier bribes document wordpad,

phk30 · Answer

je n'arrive pas a capturer, ou mettre ce fichier dans c via usb svp merci

g3n-h@ckm@n · Answer

j'ai pas compris

phk30 · Answer

https://www.cjoint.com/?0FpvV6uOMHy

g3n-h@ckm@n · Answer

j'obtiens ca en ouvrant ton lien :

http://cjoint.com/13jn/CFpvZyezYBG.htm

phk30 · Answer

c'est ce fichier copie_de_bribes_document_wordpad___c__windows__ntun...__.shs 
oui ok dans le fichier j'ai mis la phrase demandé C:\WINDOWS\$NtUninstallKB951748$\afd.sys

g3n-h@ckm@n · Answer

???????????????????????????????????????????????????????????????????????

lol !

je te demande de faire une capture d'écran du fichier transformé en "word"

https://www.google.fr/search?q=comment+faire+une+capture+d%27%C3%A9cran+%3F&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:fr:official&client=firefox-a

phk30 · Answer

la c bon désolé merci beaucoup lol	https://www.cjoint.com/?3FpwtGMtZk0

g3n-h@ckm@n · Answer

je crois que tu n'as pas du tout compris ce que je te demande mdr !!!!!

 on va y aller par étape :

tu fais :

demarrer/poste de travail

rentre dans ton disque local C:\ via un double clic dessus

rentre dans WINDOWS

ensuite

rentre dans $NtUninstallKB951748$

il y a pleins de fichiers à l'interieur

clique gauche une seule fois sur afd.sys , une fois qu'il est sélectionné , tu cliques droit une fois dessus , puis tu selectionnes "copier"

ensuite tu fais :

 demarrer/poste de travail

rentre dans ton disque local C:\

et clic droit => coller

phk30 · Answer

search::
afd.sys 
jai refait ça en desactivant avira
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0615 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

LOT : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 22:36:13

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



¤¤¤¤¤¤¤¤¤¤ | File search

[MD5.8D499B1276012EB907E7A9E0F4D8FDA4] - [16/06/2011 18:46:00] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys -> (5.1.2600.6081)
[MD5.38D7B715504DA4741DF35E3594FE2099] - [16/10/2008 17:07:58] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys -> (5.1.2600.5695)
[MD5.F6B7B1ECD7B41736BDB6FF4B092BCB79] - [12/10/2011 18:31:47] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys -> (5.1.2600.6142)
[MD5.D6EE6014241D034E63C49A50CB2B442A] - [20/06/2008 13:48:03] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\afd.sys -> (5.1.2600.5625)
[MD5.4D43E74F2A1239D53929B82600F1971C] - [07/12/2010 23:33:40] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$hf_mig$\KB956803\SP3QFE\afd.sys -> (5.1.2600.5657)
[MD5.5AC495F4CB807B2B98AD2AD591E6D92E] - [07/12/2010 20:53:24] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtServicePackUninstall$\afd.sys -> (5.1.2600.2180)
[MD5.7618D5218F2A614672EC61A80D854A37] - [16/06/2011 19:10:16] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtUninstallKB2503665$\afd.sys -> (5.1.2600.5695)
[MD5.7E775010EF291DA96AD17CA4B17137D7] - [16/06/2011 19:08:14] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtUninstallKB2509553$\afd.sys -> (5.1.2600.5657)
[MD5.355556D9E580915118CD7EF736653A89] - [12/10/2011 23:32:20] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtUninstallKB2592799$\afd.sys -> (5.1.2600.6081)
[MD5.322D0E36693D6E24A2398BEE62A268CD] - [07/12/2010 23:39:40] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [134.88 Ko] - C:\WINDOWS\$NtUninstallKB951748$\afd.sys -> (5.1.2600.5512)
[MD5.E3049B90FE06F3F740B7CFDA44995E2C] - [07/12/2010 23:40:49] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\$NtUninstallKB956803$\afd.sys -> (5.1.2600.5625)
[MD5.322D0E36693D6E24A2398BEE62A268CD] - [07/12/2010 20:58:11] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [134.88 Ko] - C:\WINDOWS\ServicePackFiles\i386\afd.sys -> (5.1.2600.5512)
[MD5.1E44BC1E83D8FD2305F8D452DB109CF9] - [03/08/2004 23:14:16] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\system32\dllcache\afd.sys -> (5.1.2600.6142)
[MD5.1E44BC1E83D8FD2305F8D452DB109CF9] - [03/08/2004 23:14:16] - (.© Microsoft Corporation. All rights reserved. - Ancillary Function Driver for WinSock.) - [135.25 Ko] - C:\WINDOWS\system32\drivers\afd.sys -> (5.1.2600.6142)

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 22:40:19

phk30 · Answer

ok c fait LOL merci

g3n-h@ckm@n · Answer

ca sert plus à rien !!!! si tu avais desactivé avira pendant les scans on aurait pas eu à faire tout ca.... !! tu n'écoutes pas , tu cliques betement sans lire ni réfléchir je ne vois pas à quoi je sers vu que tu ne m'écoutes pas !

phk30 · Answer

désolé sur le dernier scan c vrai j'ai pas désactiver avira, donc après avoir collé afd.sys dans C/: ? svp merci.

g3n-h@ckm@n · Answer

et pour ca : autolt error allocating memory

il etait desactivé ?

phk30 · Answer

oui il était désactivé svp merci

g3n-h@ckm@n · Answer

il est bizarre ton windows ......vu le numéro de version de certains des fichiers..... 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

phk30 · Answer

pourquoi bizarre ? c'est pas une copie il est officiel.

g3n-h@ckm@n · Answer

ok

relance pre_scan, normalement il est sur ton bureau , clique sur diag et heberge le rapport Pre_Diag puis donne le lien

phk30 · Answer

https://www.cjoint.com/?0FqaRqWqBko

g3n-h@ckm@n · Answer

desisntalle Webcake c'est un ramasse-ordures

====

 Télécharge et enregistre ADWCleaner sur ton bureau :

ne clique pas sur Download , attends que la fenetre de telechargement arrive pour confirmation

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

phk30 · Answer

j'ai supprimé webcake dans le C/: fichier vide, car introuvable via ccleaner ou ajout/suppression

je cherche le rapport adwcleaner mais il est dans documents settings/lot/bureau mais il apparait vide comment le retrouver svp merci

phk30 · Answer

c a dire documents settings est vide

g3n-h@ckm@n · Answer

C:\Adwcleaner[S1].txt

phk30 · Answer

# AdwCleaner v1.700 - Rapport créé le 16/06/2013 à 01:36:31
# Mis à jour le 26/06/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : LOT - LOT-83FA1B7908C
# Exécuté depuis : C:\Documents and Settings\LOT\Bureau\adwcleaner.exe
# Option [Suppression]

g3n-h@ckm@n · Answer

je  peux avoir l'autre bout ? lol ^^ 

edit::

il sort d'où cet adwcleaner ?
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

phk30 · Answer

il est fait mais le pc rame je suis au 2 ème redemarrage pour avoir un bureau qui s'ouvre !!!! et le mettre sur la clé usb LOL

phk30 · Answer

# AdwCleaner v1.700 - Rapport créé le 16/06/2013 à 01:50:48
# Mis à jour le 26/06/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : LOT - LOT-83FA1B7908C
# Exécuté depuis : C:\Documents and Settings\LOT\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Registre - GUID] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v21.0 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\LOT\Application Data\Mozilla\Firefox\Profiles\gglor97h.default\prefs.js

C:\Documents and Settings\LOT\Application Data\Mozilla\Firefox\Profiles\gglor97h.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S7].txt - [317 octets] - [16/06/2013 01:36:31]
AdwCleaner[S8].txt - [1008 octets] - [16/06/2013 01:50:48]

########## EOF - C:\AdwCleaner[S8].txt - [1136 octets] ##########

g3n-h@ckm@n · Answer

il sort d'où cet adwcleaner ?

phk30 · Answer

ok je le met à jour LOL,

phk30 · Answer

je redemarre encore plusieurs fois le bureau se bloque le scan est fait avec la dernière version de adwcleaner, je le poste des que le bureau s'ouvre désolé merci

g3n-h@ckm@n · Answer

tu vas voir la difference des suppressions dans le rapport ^^

phk30 · Answer

je fais un mode sans échec pour mettre sur la clé le rapport adwcleaner

phk30 · Answer

# AdwCleaner v2.303 - Rapport créé le 16/06/2013 à 02:06:38
# Mis à jour le 08/06/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : LOT - LOT-83FA1B7908C
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\LOT\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\LOT\Application Data\Mozilla\Firefox\Profiles\gglor97h.default\extensions\plugin@getwebcake.com
Dossier Supprimé : C:\Documents and Settings\LOT\Application Data\WebCake
Dossier Supprimé : C:\Program Files\Plus-HD-2.2
Dossier Supprimé : C:\Program Files\TornTV.com
Fichier Supprimé : C:\WINDOWS\Tasks\Plus-HD-2.2-codedownloader.job
Fichier Supprimé : C:\WINDOWS\Tasks\Plus-HD-2.2-enabler.job

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C9A6357B-25CC-4BCF-96C1-78736985D412}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\100000135271027&type=3&l=bd6cb77d0e_auto_file
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C9A6357B-25CC-4BCF-96C1-78736985D412}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{C9A6357B-25CC-4BCF-96C1-78736985D412}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v21.0 (fr)

Fichier : C:\Documents and Settings\LOT\Application Data\Mozilla\Firefox\Profiles\gglor97h.default\prefs.js

C:\Documents and Settings\LOT\Application Data\Mozilla\Firefox\Profiles\gglor97h.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.a4fdacf00e9c44ad5b4cfbf9800f184f63685711674e04973936f860cd2a102a9com33036.3303[...]
Supprimée : user_pref("extensions.a4fdacf00e9c44ad5b4cfbf9800f184f63685711674e04973936f860cd2a102a9com33036.3303[...]

*************************

AdwCleaner[S7].txt - [317 octets] - [16/06/2013 01:36:31]
AdwCleaner[S8].txt - [1137 octets] - [16/06/2013 01:50:48]
AdwCleaner[S9].txt - [2543 octets] - [16/06/2013 02:06:38]

########## EOF - C:\AdwCleaner[S9].txt - [2603 octets] ##########

g3n-h@ckm@n · Answer

bien refais un diag avec pre_scan heberge le nouveau rapport pre_diag et donne le lien
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

phk30 · Answer

https://www.cjoint.com/?3FqcO2LYcbz

phk30 · Answer

bon un peu de repos a tout a l'heure merci

g3n-h@ckm@n · Answer

re

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Documents and Settings\LOT\Application Data\QASCXDE\QASXDE.exe 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

phk30 · Answer

bonjour et merci, internet ne fonctionne pas sur mon thinkcenter infecté, je peut mettre virus total via usb et faire cette action ?

g3n-h@ckm@n · Answer

heu le fichier tu veux dire car virustotal je vois pas comment tu vas le mettre sur usb ^^

phk30 · Answer

oui je peux le trouver sur C/: en suivant et le mettre sur usb

phk30 · Answer

bon en plus comme dit hier dans le c/: documents and settings il est vide ? est ce que je peux le trouver via rechercher la loupe ?

g3n-h@ckm@n · Answer

c/: documents and settings il est vide ?

impossible tu pourrais meme pas demarrer ta session

phk30 · Answer

il apparait vide ? quand je met le pointeur il taille plus de 400mo donc il n'est pas vide, mais quand je louvre 1 seule dossiers de 55ko ?

phk30 · Answer

c'est un fichier nommé SET 100000135271027&type=3&l=bd6cb77d0e_auto_file

g3n-h@ckm@n · Answer

fais une capture

phk30 · Answer

https://www.cjoint.com/?3FqqMSSHctD

g3n-h@ckm@n · Answer

poubelle

phk30 · Answer

supprimer le fichier set ?

phk30 · Answer

comme quoi LOL

g3n-h@ckm@n · Answer

tu peux l ouvrir avec le bloc notes ?

phk30 · Answer

cfait merci

phk30 · Answer

c mon fb

g3n-h@ckm@n · Answer

j'en reviens quand même à dire que c'est pas normal que ce fichier soit là....je me renseigne

phk30 · Answer

ok merci

g3n-h@ckm@n · Answer

si dans 24h j'ai pas donné signe de vie , ^^ fais un up , c'est que je t'ai oublié

phk30 · Answer

ok merci à bientot

phk30 · Answer

très bien merci à demain bonsoir

g3n-h@ckm@n · Answer

fais ceci :

touche windows + R puis tape :

%UserProfile%

fais une capture de ce qui s'ouvre

phk30 · Answer

https://www.cjoint.com/?3FqwUAFPmvk
bonsoir pour info a CHAQUE démarrage a chaque fois le boot s'arrete donC f1 f10 ET YES

g3n-h@ckm@n · Answer

je comprends pas pourquoi F10....

phk30 · Answer

f10 POUR QUITTER

g3n-h@ckm@n · Answer

https://www.youtube.com/watch?v=oewRadlyrHo

phk30 · Answer

Bonjour avez vous eu des infos svp merci à bientot

g3n-h@ckm@n · Answer

NTUSER.dat est un fichier caché c'est pas normal que tu le voies

phk30 · Answer

bonsoir as tu pu avoir d'autres infos ?

g3n-h@ckm@n · Answer

oui il est pas dangereux, mais pas utile donc => poubelle

phk30 · Answer

comment le supprimer car il ne veux pas le mettre a la poubelle

g3n-h@ckm@n · Answer

en mode sans echec ?

phk30 · Answer

pareil la fenetre dit que cette ressource est utilisé, fermez les programmes susceptible d'utiliser le fichier

g3n-h@ckm@n · Answer

mmmm.... alors là ca coince...

tu te mets bien en mode sans echec tout court ? pas avec prise en charge réseau ?

phk30 · Answer

oui bien sur

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

phk30 · Answer

combofix dit que que avira est actif alors que leparapluie est fermé

phk30 · Answer

est ce que je peux forcer le demarrage de combofix du fait que avira est désactivé

g3n-h@ckm@n · Answer

oui

phk30 · Answer

déjà 30mn qu'il est sur l'analyse d'une machine peut doubler ?

g3n-h@ckm@n · Answer

laisse tourner , pas le choix

phk30 · Answer

bonjour apres une nuit combo est bloqué au meme endroit, redemarrage en mode sans echec idem ?

g3n-h@ckm@n · Answer

hello

bizarre ca....

phk30 · Answer

En regardant sur le net combofix bloqué j'ai trouvé ce post sur un forum qu'en pense tu ? merci à bientot 
Re: rootkit TDSS -- MBAM ok-- Combofix ss echec bloque le pc

Messagepar Malekal_morte » 23 Fév 2011 14:48
Salut,

Oublie Combofix.

Passe un coup de TDSSKiller : tdsskiller-kaspersky-t28637.html
Poste le rapport ici.

~~

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge OTL sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL

* Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.exe /s
    %SYSTEMDRIVE%*.exe
    %systemroot%*. /mp /s
    %systemroot%system32*.dll /lockedfiles
    %systemroot%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%System32config*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT


* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

StopPublicités : Nettoyeur son ordinateurs des adwares et PUPs
Marre des adwares et PUPs ? - Empêcher leurs installation avec HOSTS Anti-PUPs/Adwares

Pjjoint : Evaluer ses rapports HijackThis, OTL et ZPHDiag
Projet-Antimalwares : Lutter contre les infections

Soutenez malekal.com en effectuant un don!

Avatar de l'utilisateur
Malekal_morte
    Site Admin
    Site Admin
     
    Messages: 60976
    Inscription: 10 Sep 2005 13:57

g3n-h@ckm@n · Answer

re

sélectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\XSZDEC]
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\XSZQWA]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}]     
[HKU\S-1-5-21-299502267-1450960922-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}]     
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}]     
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}]     
[HKLM\Software\wow6432Node\mozilla\Firefox\Extensions]|[{336D0C35-8A85-403a-B9D2-65C292C39087}]     
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}] 
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKU\S-1-5-21-299502267-1450960922-725345543-1003\Software\rtCjGpUed] 
[HKLM\Software\BrowserChoice]     
[HKLM\Software\PCTools]     
[HKLM\Software\Wow6432Node\Web Assistant] 

File|Fold::
C:\Documents and Settings\LOT\Application Data\Mozilla\Firefox\Profiles\gglor97h.default\extensions\4fdacf00-e9c4-4ad5-b4cf-bf9800f184f6@36857116-74e0-4973-936f-860cd2a102a9.com 
C:\afd.sys 
C:\5cc6f5f14fa3b79cb792dff6a2 
C:\WINDOWS\System\jfjhrjge.bqa 
C:\Documents and Settings\LOT\Application Data\TT111 
C:\Documents and Settings\All Users\Application Data\innbfrij.xis 
C:\Documents and Settings\All Users\Application Data\rfyearrd.gkz 

Driver::
18363141 
24929032 
30438824 
34532334 
68285530 
85112525 
MpKsl0e275325 
MpKsl38b85a81 
MpKsl55fd1d40 
MpKsl67ab12d2 
MpKsl9b215fce 
MpKslae02ed02 
MpKslc94387ef 
MpKsld0b96f41 
MpKsle9294f50 

Clean::

MBR::

Reboot::
 
Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

phk30 · Answer

bonsoir c'est en cours bonne nouvelle je n'avais pas vérifié après combofix mais internet refonctionne sur mon Pc donc c'est en cours.

g3n-h@ckm@n · Answer

ok :)

phk30 · Answer

il y a une fenetre c:/windows/system32/cmd.exe ouverte avec dedans noté user & kernel mbr ok c'est pre scan qui travaille il faut attendre ?

g3n-h@ckm@n · Answer

oui en espérant que tu aies desactivé tes protections

phk30 · Answer

oui j'ai pas oublié lol

phk30 · Answer

peut tu me dire le temps moyen au cas ou il bloque ?

g3n-h@ckm@n · Answer

ca devrait etre fini normalement

phk30 · Answer

le curseur clignote toujours, dernière ligne user & kernel MBR OK et la fenetre prescan en haut il y  a marqué done!

phk30 · Answer

mais la ligne avec les pointillé vert n'est pas arrivé au bout de la ligne ?

g3n-h@ckm@n · Answer

alors y a un truc qui l'a bloqué au niveau de la lecture du MBR....

phk30 · Answer

j'essaie de redemarré ?

g3n-h@ckm@n · Answer

fais ctrl + Alt + supp

dans le gestionnaire des tâches , onglet fichier , nouvelle tache , puis tape :

shutdown -r  

ca va faire rebooter la machine
la suite demain je suis fatigué ce soir

phk30 · Answer

ok bonne nuit mais demain je pars pour 3 jours le travail donc je pense à Samedi si possible j'envoie un message merci à bientot.

g3n-h@ckm@n · Answer

ok fais remonter le sujet à ton retour

phk30 · Answer

Bonjour et bon WE, la dernière fois j'avais refait un combo fix et pre scan sans succès et le post virus total impossible de trouver le fichier dans documents settings, je peux donc surfer sur le net de nouveau avec le Pc mais est il toujours infecté ? merci à bientot.

g3n-h@ckm@n · Answer

bonjour

je peux avoir le pre_script.txt qui est dans c:\ ?

phk30 · Answer

bonjour je peux pas car pre scan bloque et ne fini pas le script donc il n'y a pas de rapport ?

phk30 · Answer

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.22.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
LOT :: LOT-83FA1B7908C [administrateur]

22/06/2013 13:16:16
mbam-log-2013-06-22 (13-16-16).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 328405
Temps écoulé: 1 heure(s), 3 minute(s), 50 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

meme s'il finit pas y a un rapport dans c:\

phk30 · Answer

tout a l'heure il etait vide, j'ai fait un autre script voila le rapport,
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0615 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

LOT : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 17:08:18

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(1524) -- spoolsv.exe
(1568) -- sched.exe
(1660) -- explorer.exe
(2036) -- avgnt.exe
(156) -- OrangeInstaller.exe
(172) -- OrangeInside.exe
(184) -- ctfmon.exe
(1024) -- ACService.exe
(1036) -- avguard.exe
(1276) -- FsUsbExService.Exe
(1320) -- jqs.exe
(1356) -- MsgPlusForSkypeService.exe
(2516) -- avshadow.exe
(3336) -- alg.exe
(2820) -- msdtc.exe
(3040) -- wuauclt.exe
(3436) -- wscntfy.exe

¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

Service : 18363141 Not actif
Service : 24929032 Not actif
Service : 30438824 Not actif
Service : 34532334 Not actif
Service : 68285530 Not actif
Service : 85112525 Not actif
Service : MpKsl0e275325 Not actif
Service : MpKsl38b85a81 Not actif
Service : MpKsl55fd1d40 Not actif
Service : MpKsl67ab12d2 Not actif
Service : MpKsl9b215fce Not actif
Service : MpKslae02ed02 Not actif
Service : MpKslc94387ef Not actif
Service : MpKsld0b96f41 Not actif
Service : MpKsle9294f50 Not actif

Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_18363141]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_18363141]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_24929032]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_24929032]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_30438824]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_30438824]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_34532334]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_34532334]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_68285530]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_68285530]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_85112525]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_85112525]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MpKsl0e275325]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_MpKsl0e275325]
Deleted : [HKLM\..\ControlSet001\Services\MpKsl38b85a81]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MpKsl38b85a81]
Deleted : [HKLM\..\ControlSet003\Services\MpKsl38b85a81]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_MpKsl38b85a81]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MpKsl55fd1d40]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_MpKsl55fd1d40]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MpKsl67ab12d2]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_MpKsl67ab12d2]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MpKsl9b215fce]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_MpKsl9b215fce]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MpKslae02ed02]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_MpKslae02ed02]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MpKslc94387ef]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_MpKslc94387ef]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MpKsld0b96f41]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_MpKsld0b96f41]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MpKsle9294f50]
Deleted : [HKLM\..\ControlSet003\..\Root\LEGACY_MpKsle9294f50]


¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\XSZDEC
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\XSZQWA
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Key Deleted : HKU\S-1-5-21-299502267-1450960922-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
Value Deleted : [HKLM\Software\wow6432Node\mozilla\Firefox\Extensions]:{336D0C35-8A85-403a-B9D2-65C292C39087}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Key Deleted : HKCR\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-299502267-1450960922-725345543-1003\Software\rtCjGpUed
Key Deleted : HKLM\Software\BrowserChoice
Key Deleted : HKLM\Software\PCTools
Key Deleted : HKLM\Software\Wow6432Node\Web Assistant

¤

C:\Documents and Settings\LOT\Application Data\Mozilla\Firefox\Profiles\gglor97h.default\extensions\4fdacf00-e9c4-4ad5-b4cf-bf9800f184f6@36857116-74e0-4973-936f-860cd2a102a9.com : Not Found !
C:\afd.sys : Not Found !
C:\5cc6f5f14fa3b79cb792dff6a2 : Not Found !
C:\WINDOWS\System\jfjhrjge.bqa : Not Found !
C:\Documents and Settings\LOT\Application Data\TT111 : Not Found !
C:\Documents and Settings\All Users\Application Data\innbfrij.xis : Not Found !
C:\Documents and Settings\All Users\Application Data\rfyearrd.gkz : Not Found !

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000000d

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected

g3n-h@ckm@n · Answer

bien je pense que tu dois plus avoir de soucis là , on fait le ménage final ?

phk30 · Answer

d'accord je pense aussi merci

g3n-h@ckm@n · Answer

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

phk30 · Answer

# DelFix v10.3 - Rapport créé le 22/06/2013 à 19:03:46
# Mis à jour le 08/06/2013 par Xplode
# Nom d'utilisateur : LOT - LOT-83FA1B7908C
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\LOT\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\LOT\Bureau	mort2.exe
Supprimé : C:\AdwCleaner[S7].txt
Supprimé : C:\AdwCleaner[S8].txt
Supprimé : C:\AdwCleaner[S9].txt
Supprimé : C:\Pre_Diag_16_06_2013_02_39_26.txt
Supprimé : C:\Pre_script.txt
Supprimé : C:\Documents and Settings\LOT\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\LOT\Bureau\Defogger.exe
Supprimé : C:\Documents and Settings\LOT\Bureau\defogger_disable.log
Supprimé : C:\Documents and Settings\LOT\Bureau\Pre_Scan.pif
Supprimé : C:\Documents and Settings\LOT\Bureau\RKreport[0]_S_06152013_084725.txt
Supprimé : C:\Documents and Settings\LOT\Bureau\RKreport[1]_S_06152013_085819.txt
Supprimé : C:\Documents and Settings\LOT\Bureau\RKreport[2]_D_06152013_090034.txt
Supprimé : C:\Documents and Settings\LOT\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\LOT\Mes documents\Téléchargements\adwcleaner(1).exe
Supprimé : C:\Documents and Settings\LOT\Mes documents\Téléchargements\adwcleaner(2).exe
Supprimé : C:\Documents and Settings\LOT\Mes documents\Téléchargements\adwcleaner.exe
Supprimé : C:\Documents and Settings\LOT\Mes documents\Téléchargements\RogueKiller.exe
Supprimé : C:\Documents and Settings\LOT\Mes documents\Téléchargements\ZHPDiag2.exe
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe
Supprimée : HKCU\console_combofixbackup
Supprimée : HKCU\Software\g3n-h@ckm@n
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\g3n-h@ckm@n
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #203 [Opération de restauration | 05/17/2013 05:13:14]
Supprimé : RP #204 [Supprimé Java 7 Update 7 | 05/17/2013 10:52:19]
Supprimé : RP #205 [Supprimé Java(TM) 6 Update 22 | 05/17/2013 10:53:05]
Supprimé : RP #206 [Supprimé Java(TM) 6 Update 22 | 05/17/2013 10:53:16]
Supprimé : RP #207 [Supprimé Java(TM) 6 Update 32 | 05/17/2013 10:53:31]
Supprimé : RP #208 [Supprimé JavaFX 2.1.1 | 05/17/2013 10:54:07]
Supprimé : RP #209 [Supprimé Java(TM) 6 Update 22 | 05/17/2013 10:54:24]
Supprimé : RP #210 [Supprimé Java(TM) 6 Update 22 | 05/17/2013 10:55:00]
Supprimé : RP #211 [Installé Java 7 Update 13 | 05/17/2013 10:56:29]
Supprimé : RP #212 [Configuré QuickTime | 05/17/2013 10:57:17]
Supprimé : RP #213 [Installé QuickTime | 05/17/2013 11:01:15]
Supprimé : RP #214 [Software Distribution Service 3.0 | 05/17/2013 12:56:26]
Supprimé : RP #215 [point fevrier | 02/17/2013 16:24:16]
Supprimé : RP #216 [Point de vérification système | 02/18/2013 18:38:09]
Supprimé : RP #217 [Point de vérification système | 02/19/2013 20:07:20]
Supprimé : RP #218 [Point de vérification système | 02/21/2013 20:39:34]
Supprimé : RP #219 [Point de vérification système | 02/23/2013 19:12:04]
Supprimé : RP #220 [Point de vérification système | 02/24/2013 19:33:27]
Supprimé : RP #221 [Point de vérification système | 02/25/2013 19:39:10]
Supprimé : RP #222 [Point de vérification système | 02/26/2013 20:02:29]
Supprimé : RP #223 [Point de vérification système | 02/28/2013 11:33:55]
Supprimé : RP #224 [Point de vérification système | 03/01/2013 20:10:45]
Supprimé : RP #225 [Point de vérification système | 03/03/2013 14:28:49]
Supprimé : RP #226 [Point de vérification système | 03/04/2013 14:43:44]
Supprimé : RP #227 [Point de vérification système | 03/05/2013 19:41:28]
Supprimé : RP #228 [Point de vérification système | 03/07/2013 19:32:05]
Supprimé : RP #229 [Point de vérification système | 03/10/2013 20:10:29]
Supprimé : RP #230 [Point de vérification système | 03/11/2013 20:56:13]
Supprimé : RP #231 [Point de vérification système | 03/13/2013 19:58:39]
Supprimé : RP #232 [Point de vérification système | 03/17/2013 10:53:11]
Supprimé : RP #233 [Point de vérification système | 03/18/2013 19:17:20]
Supprimé : RP #234 [Point de vérification système | 03/20/2013 19:46:34]
Supprimé : RP #235 [Point de vérification système | 05/24/2013 10:15:52]
Supprimé : RP #236 [Point de vérification système | 03/24/2013 17:45:32]
Supprimé : RP #237 [Point de vérification système | 03/27/2013 18:49:27]
Supprimé : RP #238 [Point de vérification système | 04/01/2013 07:38:19]
Supprimé : RP #239 [Point de vérification système | 04/02/2013 15:09:26]
Supprimé : RP #240 [Point de vérification système | 04/03/2013 17:09:34]
Supprimé : RP #241 [Point de vérification système | 04/06/2013 08:08:41]
Supprimé : RP #242 [Point de vérification système | 04/09/2013 18:38:48]
Supprimé : RP #243 [Point de vérification système | 04/10/2013 19:01:32]
Supprimé : RP #244 [Point de vérification système | 05/20/2013 15:28:10]
Supprimé : RP #245 [Point de vérification système | 05/21/2013 16:01:43]
Supprimé : RP #246 [Point de vérification système | 05/22/2013 16:12:46]
Supprimé : RP #247 [Point de vérification système | 05/23/2013 18:14:03]
Supprimé : RP #248 [Point de vérification système | 05/27/2013 16:52:21]
Supprimé : RP #249 [Point de vérification système | 05/28/2013 18:30:19]
Supprimé : RP #250 [Point de vérification système | 05/30/2013 19:27:29]
Supprimé : RP #251 [Point de vérification système | 06/02/2013 17:10:31]
Supprimé : RP #252 [point12 | 06/05/2013 17:29:37]
Supprimé : RP #253 [Removed Badoo Desktop | 06/05/2013 18:50:41]
Supprimé : RP #254 [Point de vérification système | 06/07/2013 16:18:52]
Supprimé : RP #255 [Installed Rosetta Stone Version 3 | 06/08/2013 15:52:59]
Supprimé : RP #256 [SPTD setup V1.83 | 06/08/2013 16:04:57]
Supprimé : RP #257 [SPTD setup V1.83 | 06/08/2013 16:09:00]
Supprimé : RP #258 [Point de vérification système | 06/10/2013 18:32:28]
Supprimé : RP #259 [Point de vérification système | 06/12/2013 12:57:25]
Supprimé : RP #260 [Point de vérification système | 06/13/2013 15:10:39]
Supprimé : RP #261 [Removed Iminent Toolbar For Internet Explorer | 06/13/2013 21:24:29]
Supprimé : RP #262 [Opération de restauration | 06/14/2013 16:07:21]
Supprimé : RP #263 [Point de vérification système | 06/15/2013 18:24:57]
Supprimé : RP #264 [ComboFix created restore point | 06/17/2013 21:08:48]
Supprimé : RP #265 [Supprimé Java 7 Update 13 | 06/22/2013 16:48:08]
Supprimé : RP #266 [Installé Java 7 Update 25 | 06/22/2013 16:49:09]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

g3n-h@ckm@n · Answer

:)

lilidurhone · Answer

Hello :D

Bah voilà on y est arrivé :)

Merci Gen :)

phk30 · Answer

bonsoir merci beaucoup je vous dis pas à bientot, un grand merci encore. je met le post sur résolu.

g3n-h@ckm@n · Answer

bonne route :)

TRojan TR/Rootkit.Gen2 internet instable

141 réponses

Votre réponse

Discussions similaires

Newsletters