Cheval de troie : ZAccess / Sirefef - 80000032.@

jonekas -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
Depuis hier mon avast n'arrête pas de s'affoler à cause d'un cheval de troie Win32:DNSChanger-VJ [Trj], lorsque je met en quarantaine il réapparait et lorsque je fais supprimer il réapparait aussi... Que dois-je faire?
Merci d'avance

7 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Dans quel fichier ?
    0
  2. jonekas55 Messages postés 19 Statut Membre
     
    Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\U\80000032.@
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok

    [*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
    [*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    [*] Copie/colle le contenu du rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!
    0
  4. jonekas55 Messages postés 19 Statut Membre
     
    Merci,
    voilà le rapport:
    RogueKiller V8.6.3 [Jul 17 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : jodeka [Droits d'admin]
    Mode : Suppression -- Date : 07/18/2013 12:54:02
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SERVICE] IBUpdaterService -- "C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE [x] -> STOPPÉ

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [SERVICE][BLVALUE] HKLM\[...]\CCSet\[...]\Services : IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE [x]) -> SUPPRIMÉ
    [SERVICE][BLVALUE] HKLM\[...]\CS001\[...]\Services : IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE [x]) -> [0x2] Le fichier spécifié est introuvable.
    [SERVICE][BLVALUE] HKLM\[...]\CS002\[...]\Services : IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE [x]) -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Tâches planifiées : 1 ¤¤¤
    [V2][SUSP PATH] Updater3491.exe : C:\Users\jodeka\AppData\Local\Updater3491\Updater3491.exe - /extensionid=3491 /extensionname="Vid-Saver" /chromeid=pgmfkblbflahhponhjmkcnpjinenhlnc [-][x] -> SUPPRIMÉ

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][Fichier] @ : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\@ [-] --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][Repertoire] U : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\U [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] L : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\L [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Windows Defender\MpCommu.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Fichier] 00000004.@ : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\U\00000004.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 00000008.@ : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\U\00000008.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 000000cb.@ : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\U\000000cb.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 80000000.@ : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\U\80000000.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 80000064.@ : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\U\80000064.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 00000004.@ : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\L\00000004.@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] 76603ac3 : C:\Windows\Installer\{bf9c770e-27b7-edb5-8de4-e038ba1195ec}\L\76603ac3 [-] --> SUPPRIMÉ

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 activate.adobe.com
    127.0.0.1 practivate.adobe.com
    127.0.0.1 ereg.adobe.com
    127.0.0.1 activate.wip3.adobe.com
    127.0.0.1 wip3.adobe.com
    127.0.0.1 3dns-3.adobe.com
    127.0.0.1 3dns-2.adobe.com
    127.0.0.1 adobe-dns.adobe.com
    127.0.0.1 adobe-dns-2.adobe.com
    127.0.0.1 adobe-dns-3.adobe.com
    127.0.0.1 ereg.wip3.adobe.com
    127.0.0.1 activate-sea.adobe.com
    127.0.0.1 wwis-dubc1-vip60.adobe.com
    127.0.0.1 activate-sjc0.adobe.com
    127.0.0.1 adobeereg.com
    127.0.0.1 Registration
    127.0.0.1 3dns.adobe.com
    127.0.0.1 3dns-1.adobe.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD6400BEVT-60A0RT0 +++++
    --- User ---
    [MBR] 62085220de03ccc503ff45b29d20c731
    [BSP] d55ef4a4bf542e566d10dee1e072d5fc : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 593051 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1214978048 | Size: 17125 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1250050048 | Size: 103 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_D_07182013_125402.txt >>
    RKreport[0]_S_07182013_125341.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    Enregistre le rapport sur http://pjjoint.malekal.com
    Donne le lien pjjoint ici.

    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    pas l'air d'avoir été restauré le services.exe

    ~~

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis:

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0