[ Avast! ] Rootkit trouve
Résolu
Pakitoleboss
Messages postés
178
Date d'inscription
Statut
Membre
Dernière intervention
-
yoann090 Messages postés 9181 Date d'inscription Statut Contributeur sécurité Dernière intervention -
yoann090 Messages postés 9181 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour à tous,
Je m'inquiète car je viens de recevoir ce message de la part d'avast! :
Screen : http://secuhost.fr/images/55469730068660231118.jpg
J'aimerais savoir si vous pouviez me donner des informations sur ce ... truc qui se fini en ".sys".
On me propose de le supprimer ( recommandé ), c'est ce que je veux faire mais j'aurais voulu avoir quelques infos si possible svp.
Merci d'avance,
Cordialement, Paxo.
Je m'inquiète car je viens de recevoir ce message de la part d'avast! :
Screen : http://secuhost.fr/images/55469730068660231118.jpg
J'aimerais savoir si vous pouviez me donner des informations sur ce ... truc qui se fini en ".sys".
On me propose de le supprimer ( recommandé ), c'est ce que je veux faire mais j'aurais voulu avoir quelques infos si possible svp.
Merci d'avance,
Cordialement, Paxo.
A voir également:
- [ Avast! ] Rootkit trouve
- Désinstaller avast - Télécharger - Antivirus & Antimalwares
- Avast gratuit - Télécharger - Antivirus & Antimalwares
- Ou se trouve le presse papier - Guide
- Pourquoi ma tv ne trouve pas toutes les chaînes - Guide
- Contacter avast par téléphone ✓ - Forum Antivirus
10 réponses
Fais le vite, malheureux !
plus d'infos ici:
https://www.commentcamarche.net/faq/14963-supprimer-les-rootkits
Toutefois, ce genre de processus sont la souvent pour masquer d'autres infections...
On vas regarder ça !
PS: Pas moi, je suis sur mon portable ;-)
Attends qu'un autre te prenne en charge...
plus d'infos ici:
https://www.commentcamarche.net/faq/14963-supprimer-les-rootkits
Toutefois, ce genre de processus sont la souvent pour masquer d'autres infections...
On vas regarder ça !
PS: Pas moi, je suis sur mon portable ;-)
Attends qu'un autre te prenne en charge...
On va verifier si il y a effectivement un rootkit ou pas.
Télécharge : Gmer (by Przemyslaw Gmerek) :
http://www.gmer.net/#files clique sur Download exe
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
ensuite :
fais bien attention que toutes les cases à droites soient cochées , puis clique sur scan
j'attends donc deux rapports hébergés sur https://www.cjoint.com/
Télécharge : Gmer (by Przemyslaw Gmerek) :
http://www.gmer.net/#files clique sur Download exe
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
ensuite :
fais bien attention que toutes les cases à droites soient cochées , puis clique sur scan
j'attends donc deux rapports hébergés sur https://www.cjoint.com/
Voici le lien : https://www.cjoint.com/c/CGmxwefHFql
Sans avoir coché 3rd Party.
En revanche, les traits rouge n'y sont pas il me semble..
Sans avoir coché 3rd Party.
En revanche, les traits rouge n'y sont pas il me semble..
Ok,
Fais un scan complet avec Malwarebytes
http://www.security-helpzone.com/Thread-MalwareBytes-Anti-Malware-MBAM-Scan-complet
Fais un scan complet avec Malwarebytes
http://www.security-helpzone.com/Thread-MalwareBytes-Anti-Malware-MBAM-Scan-complet
Normal que ton pc soit infecté, c est une poubelle.
Vire tous les cracks que tu possedes.
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau : http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
-Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Vire tous les cracks que tu possedes.
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau : http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
-Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Voici avant la suppression : https://www.cjoint.com/?3Grwf5GZdLh
( Je dois vous laissez, je reviens plus tard ce soir )
( Je dois vous laissez, je reviens plus tard ce soir )
Bonsoir,
Veuillez m'excuser, j'ai du m'absenter.
Voilà le scan : https://www.cjoint.com/?3Gxa1TrZAar
Peut-être que vous préféreriez avoir les zones de texte en couleur, comme par exemple, après un scan, j'ai remarqué que les choses infectées étaient en rouge ... Si il y a un moyen je vous le fait en couleur car les .txt n'ont pas de couleurs.
Veuillez m'excuser, j'ai du m'absenter.
Voilà le scan : https://www.cjoint.com/?3Gxa1TrZAar
Peut-être que vous préféreriez avoir les zones de texte en couleur, comme par exemple, après un scan, j'ai remarqué que les choses infectées étaient en rouge ... Si il y a un moyen je vous le fait en couleur car les .txt n'ont pas de couleurs.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
En fait j'aimerais faire encore une petite vérification sur un fichier.
Pourrais tu analyser ce fichier sur virustotal stp :
C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
Tutoriel : https://www.security-helpzone.com/2013/06/10/verifier-si-un-fichier-est-infecte-ou-non/
En fait j'aimerais faire encore une petite vérification sur un fichier.
Pourrais tu analyser ce fichier sur virustotal stp :
C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
Tutoriel : https://www.security-helpzone.com/2013/06/10/verifier-si-un-fichier-est-infecte-ou-non/
Lien de la nouvelle analyse :
https://www.virustotal.com/gui/file/e540e6c0daaea5fa624a0e14f3e093607945659f270a545bec85fa92661adf12
https://www.virustotal.com/gui/file/e540e6c0daaea5fa624a0e14f3e093607945659f270a545bec85fa92661adf12
Re,
Copie le texte en gras ci dessous :
SysRestore
G2 - GCE: Preference [User Data\Default] [pcidejejpblipcjpnkfkddlkmgndblch] General Crawler v.2.5 (Désactivé)
[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS\AutoKMS.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [Express FilesUpdate] (...) -- C:\Program Files (x86)\ExpressFiles\EFUpdater.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [YourFile DownloaderUpdate] (...) -- C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{1DF4CB05-039B-4C20-BF7F-838EDF58FBD5}] (...) -- C:\Program Files (x86)\sweetpacks bundle uninstaller\uninstaller.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{355CE1F2-C36D-4920-B8BD-EB6F95493629}] (...) -- C:\Users\boussin\Desktop\Paco\Jeux\Need For Speed Most Wanted (MULTI 9-LANGUAGE SELECTOR) (PC) (ALREADY CRACKED) (DIRECT PLAY) [blaze69]\Need For Speed Most Wanted\Need For Speed Most Wanted\makeDesktopIcon.exe (.not file.) [0]
O42 - Logiciel: BrowseToSave 1.74 - (...) [HKLM][64Bits] -- SP_f2a323db
O42 - Logiciel: ContinueToSave 1.74 - (...) [HKLM][64Bits] -- SP_e14dcdfa
O42 - Logiciel: PackBarre - (.BPMconcept.) [HKLM][64Bits] -- {D1C414B7-649B-4392-9CB2-001B34CAC13C}
O42 - Logiciel: Search Assistant WebSearch 1.74 - (...) [HKLM][64Bits] -- SP_4e24eecb
[HKCU\Software\AppDataLow\Software\SmartBar]
[HKCU\Software\SweetIM]
[HKCU\Software\System32]
[HKLM\Software\Wow6432Node\SweetIM]
O43 - CFD: 24/04/2013 - 15:31:58 - [1,473] ----D C:\Program Files (x86)\BrowseToSave
O43 - CFD: 09/02/2012 - 18:37:21 - [0,286] ----D C:\Program Files (x86)\PackBarre =>Adware.ADON
O43 - CFD: 13/07/2013 - 23:13:01 - [0] RSH-D C:\Users\boussin\AppData\Roaming\system32
O43 - CFD: 09/05/2013 - 12:48:54 - [0,198] ----D C:\Users\boussin\AppData\Local\WebPlayer
O43 - CFD: 09/02/2012 - 18:37:21 - [0,003] ----D C:\Users\boussin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PackBarre =>Adware.ADON
O87 - FAEL: "TCP Query User{5D3D38EF-A960-44A5-88E7-D67B66C16FCA}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Private - P6 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
O87 - FAEL: "UDP Query User{81D6EE9D-FF38-41E7-9F6A-DEAB0C920DEE}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Private - P17 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
O87 - FAEL: "TCP Query User{9527D98C-7573-4EB4-978D-6A66CA28F154}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Public - P6 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
O87 - FAEL: "UDP Query User{E37655AB-138F-4050-BDB2-D4CB3D14F55F}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Public - P17 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFile_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASMANCS]
[HKCU\Software\SweetIM]
[HKLM\Software\Wow6432Node\SweetIM]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\64A6E60055D801F4BB8AC269354B72B8]
[HKCU\Software\Classes\MF]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9BB106980C8CD3949921DAF7159A813A]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\mocblcnaofikinigmceddfghppkkjbog]
[HKLM\Software\Google\Chrome\Extensions\pcidejejpblipcjpnkfkddlkmgndblch]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SP_e14dcdfa]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D1C414B7-649B-4392-9CB2-001B34CAC13C}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]
C:\Program Files (x86)\BrowseToSave
C:\Program Files (x86)\PackBarre
C:\Users\boussin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PackBarre
C:\Users\boussin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcidejejpblipcjpnkfkddlkmgndblch
[HKCU\Software\AppDataLow\Software\SmartBar]
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{033B4844-E9C3-45D2-88D9-34DDF3F91100}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{0CC85DFF-E70A-4AB0-968A-F1F98F4D0C67}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{219191E6-6846-4329-889D-7956C487D9A6}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{4682E4CB-7209-4099-8AA1-580ABCCCE731}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{5EE4F9B1-7274-48A2-9C25-C287604C3058}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{662EAAEC-9E9A-4C69-A658-884E51E909BB}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{90B969FE-1F55-4E4F-B691-B09B2854D003}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{9F570B21-E27A-40BE-A508-292899A7D042}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{B7C85E99-2AC6-455D-B4D1-752A56403757}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{D2030082-F62A-402A-9456-8009276FD896}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{EB21323D-3F46-4EF0-B849-B096B7705C69}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{F2610326-6A40-4BBC-9FBC-7F05356A912A}
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job [268]
[HKCU\Software\Drivers]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95525BD9-6136-4A26-8263-9CEE295D442D}]
[HKLM\Software\Classes\CLSID\{95525BD9-6136-4A26-8263-9CEE295D442D}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95525BD9-6136-4A26-8263-9CEE295D442D}]
[HKLM\Software\Classes\CLSID\{95080B13-AA71-4EE8-B951-7E98221E1ED5}]
EmptyTemp
FirewallRaz
EmptyCLSID
Puis suis ce tutoriel : http://www.security-helpzone.com/Thread-ZHPFix-Script
Copie le texte en gras ci dessous :
SysRestore
G2 - GCE: Preference [User Data\Default] [pcidejejpblipcjpnkfkddlkmgndblch] General Crawler v.2.5 (Désactivé)
[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS\AutoKMS.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [Express FilesUpdate] (...) -- C:\Program Files (x86)\ExpressFiles\EFUpdater.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [YourFile DownloaderUpdate] (...) -- C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{1DF4CB05-039B-4C20-BF7F-838EDF58FBD5}] (...) -- C:\Program Files (x86)\sweetpacks bundle uninstaller\uninstaller.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{355CE1F2-C36D-4920-B8BD-EB6F95493629}] (...) -- C:\Users\boussin\Desktop\Paco\Jeux\Need For Speed Most Wanted (MULTI 9-LANGUAGE SELECTOR) (PC) (ALREADY CRACKED) (DIRECT PLAY) [blaze69]\Need For Speed Most Wanted\Need For Speed Most Wanted\makeDesktopIcon.exe (.not file.) [0]
O42 - Logiciel: BrowseToSave 1.74 - (...) [HKLM][64Bits] -- SP_f2a323db
O42 - Logiciel: ContinueToSave 1.74 - (...) [HKLM][64Bits] -- SP_e14dcdfa
O42 - Logiciel: PackBarre - (.BPMconcept.) [HKLM][64Bits] -- {D1C414B7-649B-4392-9CB2-001B34CAC13C}
O42 - Logiciel: Search Assistant WebSearch 1.74 - (...) [HKLM][64Bits] -- SP_4e24eecb
[HKCU\Software\AppDataLow\Software\SmartBar]
[HKCU\Software\SweetIM]
[HKCU\Software\System32]
[HKLM\Software\Wow6432Node\SweetIM]
O43 - CFD: 24/04/2013 - 15:31:58 - [1,473] ----D C:\Program Files (x86)\BrowseToSave
O43 - CFD: 09/02/2012 - 18:37:21 - [0,286] ----D C:\Program Files (x86)\PackBarre =>Adware.ADON
O43 - CFD: 13/07/2013 - 23:13:01 - [0] RSH-D C:\Users\boussin\AppData\Roaming\system32
O43 - CFD: 09/05/2013 - 12:48:54 - [0,198] ----D C:\Users\boussin\AppData\Local\WebPlayer
O43 - CFD: 09/02/2012 - 18:37:21 - [0,003] ----D C:\Users\boussin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PackBarre =>Adware.ADON
O87 - FAEL: "TCP Query User{5D3D38EF-A960-44A5-88E7-D67B66C16FCA}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Private - P6 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
O87 - FAEL: "UDP Query User{81D6EE9D-FF38-41E7-9F6A-DEAB0C920DEE}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Private - P17 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
O87 - FAEL: "TCP Query User{9527D98C-7573-4EB4-978D-6A66CA28F154}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Public - P6 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
O87 - FAEL: "UDP Query User{E37655AB-138F-4050-BDB2-D4CB3D14F55F}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Public - P17 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFile_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASMANCS]
[HKCU\Software\SweetIM]
[HKLM\Software\Wow6432Node\SweetIM]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\64A6E60055D801F4BB8AC269354B72B8]
[HKCU\Software\Classes\MF]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9BB106980C8CD3949921DAF7159A813A]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\mocblcnaofikinigmceddfghppkkjbog]
[HKLM\Software\Google\Chrome\Extensions\pcidejejpblipcjpnkfkddlkmgndblch]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SP_e14dcdfa]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D1C414B7-649B-4392-9CB2-001B34CAC13C}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]
C:\Program Files (x86)\BrowseToSave
C:\Program Files (x86)\PackBarre
C:\Users\boussin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PackBarre
C:\Users\boussin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcidejejpblipcjpnkfkddlkmgndblch
[HKCU\Software\AppDataLow\Software\SmartBar]
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{033B4844-E9C3-45D2-88D9-34DDF3F91100}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{0CC85DFF-E70A-4AB0-968A-F1F98F4D0C67}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{219191E6-6846-4329-889D-7956C487D9A6}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{4682E4CB-7209-4099-8AA1-580ABCCCE731}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{5EE4F9B1-7274-48A2-9C25-C287604C3058}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{662EAAEC-9E9A-4C69-A658-884E51E909BB}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{90B969FE-1F55-4E4F-B691-B09B2854D003}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{9F570B21-E27A-40BE-A508-292899A7D042}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{B7C85E99-2AC6-455D-B4D1-752A56403757}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{D2030082-F62A-402A-9456-8009276FD896}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{EB21323D-3F46-4EF0-B849-B096B7705C69}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{F2610326-6A40-4BBC-9FBC-7F05356A912A}
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job [268]
[HKCU\Software\Drivers]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95525BD9-6136-4A26-8263-9CEE295D442D}]
[HKLM\Software\Classes\CLSID\{95525BD9-6136-4A26-8263-9CEE295D442D}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95525BD9-6136-4A26-8263-9CEE295D442D}]
[HKLM\Software\Classes\CLSID\{95080B13-AA71-4EE8-B951-7E98221E1ED5}]
EmptyTemp
FirewallRaz
EmptyCLSID
Puis suis ce tutoriel : http://www.security-helpzone.com/Thread-ZHPFix-Script
Je vous écris de mon portable, en faite je ne vous dit pas à tout de suite ;). Le scan est en cours et ce n'est qu'à 8%. Je pense que je vais aller me baigner pendant ce temps ^^. Si vous voulez certaines informations, faites le moi savoir.
Cordialement, Paxo.
Cordialement, Paxo.
Scan effectué, ordi rallumé... Tout ce passe bien je pense. Je me demande juste comment j'ai pu choppé ça quand même O_o...
Si vous voulez certaines informations, faites le moi savoir. Est ce qu'un simple clic sur 'suppression' du toolkit suffit ?
Si vous voulez certaines informations, faites le moi savoir. Est ce qu'un simple clic sur 'suppression' du toolkit suffit ?
Oh ben il dit rien de particulier, c'est juste le compte rendu de ce qui a été supprimé par le script ^^
Bien, on a presque fini, on nettoie les outils,
▶ Nous allons utilisez l'utilitaire Delfix (Merci à Xplode).
- Télécharger Delfix, puis exécuter le.
- Lance le, laisse la case précochée
- Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
- Le rapport sera enregistré sous C:\DelFix.txt. Copie/Colle le dans ta prochaine réponse.
Bien, on a presque fini, on nettoie les outils,
▶ Nous allons utilisez l'utilitaire Delfix (Merci à Xplode).
- Télécharger Delfix, puis exécuter le.
- Lance le, laisse la case précochée
- Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
- Le rapport sera enregistré sous C:\DelFix.txt. Copie/Colle le dans ta prochaine réponse.
Je vous le met direct :
# DelFix v10.4 - Rapport créé le 23/07/2013 à 20:07:22
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : boussin - UTILISATEUR-HP
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\boussin\Downloads\ZHPDiag2 (1).exe
Supprimé : C:\Users\boussin\Downloads\ZHPDiag2 (2).exe
Supprimé : C:\Users\boussin\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\boussin\Downloads\ZHPFix.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
########## - EOF - ##########
# DelFix v10.4 - Rapport créé le 23/07/2013 à 20:07:22
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : boussin - UTILISATEUR-HP
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\boussin\Downloads\ZHPDiag2 (1).exe
Supprimé : C:\Users\boussin\Downloads\ZHPDiag2 (2).exe
Supprimé : C:\Users\boussin\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\boussin\Downloads\ZHPFix.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
########## - EOF - ##########
Un rootkit est la pour cacher quelque chose de gros, donc il faut voir ce qu'il y a derrière.