Virus qui m'empêche de télécharger
The_odd Messages postés 32 Statut Membre -
Rkill 2.6.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2013 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html
Program started at: 08/20/2013 09:52:48 PM in x64 mode.
Windows Version: Windows 7 Home Premium Service Pack 1
Checking for Windows services to stop:
* No malware services found to stop.
Checking for processes to terminate:
* No malware processes found to kill.
Checking Registry for malware related settings:
* No issues found in the Registry.
Resetting .EXE, .COM, & .BAT associations in the Windows Registry.
Performing miscellaneous checks:
* ALERT: ZEROACCESS rootkit symptoms found!
* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ [ZA Dir]
* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ \ [ZA Dir]
* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ \...\ [ZA Dir]
* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ \...\??\ [ZA Dir]
* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ \...\??\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\???\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\???\???\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\???\???\??\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\???\???\??\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ [ZA Dir]
* C:\Windows\assembly\GAC_32\Desktop.ini [ZA File]
* C:\Windows\assembly\GAC_64\Desktop.ini [ZA File]
* ALERT: ZEROACCESS Reparse Point/Junction found!
* C:\Program Files\Microsoft Security Client\Antimalware => c:\windows\system32\config\ [Dir]
* C:\Program Files\Microsoft Security Client\Backup => c:\windows\system32\config\ [Dir]
* C:\Program Files\Microsoft Security Client\CleanUpPolicy.xml => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy.exe => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\en-us => c:\windows\system32\config\ [Dir]
* C:\Program Files\Microsoft Security Client\eppmanifest.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\fr-fr => c:\windows\system32\config\ [Dir]
* C:\Program Files\Microsoft Security Client\MSESysprep.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\MsMpRes.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\msseces.exe => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\msseoobe.exe => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\msseooberes.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\MsseWat.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\setup.exe => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\setupres.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\shellext.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\sqmapi.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\fr-FR => c:\windows\system32\config\ [Dir]
* C:\Program Files\Windows Defender\MpAsDesc.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpClient.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpCmdRun.exe => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpCommu.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpEvMsg.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpOAV.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpRTP.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpSvc.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MSASCui.exe => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MsMpCom.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MsMpLics.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MsMpRes.dll => c:\windows\system32\config [File]
Checking Windows Service Integrity:
* Pilote d'autorisation du Pare-feu Windows (mpsdrv) is not Running.
Startup Type set to: Manual
* BFE [Missing Service]
* BITS [Missing Service]
* MpsSvc [Missing Service]
* PcaSvc [Missing Service]
* WinDefend [Missing Service]
* wscsvc [Missing Service]
* wuauserv [Missing Service]
* iphlpsvc [Missing ImagePath]
* SharedAccess [Missing ImagePath]
Searching for Missing Digital Signatures:
* No issues found.
Checking HOSTS File:
* HOSTS file entries found:
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100sexlinks.com
20 out of 15269 HOSTS entries shown.
Please review HOSTS file for further entries.
Program finished at: 08/20/2013 09:53:03 PM
Execution time: 0 hours(s), 0 minute(s), and 14 seconds(s)
20 réponses
Un rootkit ZeroAccess est signalé après l’exécution de RKill, même si aucun service ni processus malveillant n’est détecté et que le système présente des symptômes et des entrées HOSTS suspectes. Pour désinfecter, plusieurs outils sont proposés, notamment RogueKiller et Malwarebytes Anti-Malware, et la procédure insiste sur l’exécution sur bureau, pré-scan puis scan, puis vérification des rapports sans suppression immédiate. Des précautions seront demandées, comme éviter la désinfection si l’on ne maîtrise pas l’outil, utiliser un autre PC pour télécharger les outils et récupérer des rapports via des services d’hébergement de liens. En parallèle, les échanges évoquent des rapports détaillés et leur nécessité de vérification avant toute suppression, afin d’éviter les dégâts et de valider les résultats obtenus par les outils.
-
Bonjour The_odd,
Ne t'inquiète pas, je m'occupe de toi. Juste un petit conseil avant de commencer: Ne pas utiliser des outils de désinfection si on ne les connait pas car ils sont puissants et peuvent occasionner des dégats sur le pc :)
As-tu un autre pc à disposition pour télécharger ?
Cordialement Bridget. -
1) Télécharge Roguekiller ici :
https://www.luanagames.com/index.fr.html
Descends vers le milieu de la page au niveau des petits boutons striés bleu et noir. Ce sont les liens de téléchargement. Choisis la version adaptée à ton pc : 64 bits.
---> Enregistre-le directement sur le Bureau
[NB : Les outils de désinfection doivent obligatoirement être placés sur le bureau]
--> Exceptée cette page web, ferme tout.
2) Pour l'examen :
- Lance RogueKiller.exe par clic-droit sur l'icône et choisis "Exécuter en tant qu'administrateur"
- Attends la fin du Prescan ...
- Une fois le pré scan terminé, clique sur "Scan".
Durant le scan, l'outil peut s'attarder longuement sur une ligne puis repartir, c'est normal. Ne le relance pas.
- A la fin du scan, clique sur "Rapport".
---> Attention : L'outil va te demander de supprimer ce qui a été trouvé, ne supprime surtout pas. Le contenu doit être vérifié. Ferme le logiciel par le X (et non pas en cliquant sur ok).
3) Pour le rapport :
Rends-toi sur https://www.cjoint.com/
Clique sur "Parcourir"
Le rapport se trouve sur ton bureau.
Puis clique sur "Créér le lien cjoint".
Copie et colle le lien dans ta réponse.
Si tu as des questions, n'hésite pas à demander :) -
Bonjour The_odd,
Tu as une infection sévère par un rootkit. La désinfection devra être suivie jusqu'à ce que je te dise que c'est ok. D'ici là, ne te sers du pc malade que pour la désinfection.
Relance Roguekiller par clic droit et choisis "Exécuter en tant qu'administrateur".
Comme la 1ère fois : pré-scan, puis scan
En fin de scan, clique sur "Suppression".
Héberge le rapport sur http://pjjoint.malekal.com et colle le lien dans ta réponse.
En cas de souci, je ne suis pas loin. Hier après-midi, je n'étais pas disponible mais aujourd'hui, je vais repasser à plusieurs reprises sur le site vu le temps pluvieux :) -
Bonsoir The_odd,
Suis exactement les instructions car c'est une infection sérieuse.
Pourquoi as-tu repassé deux fois en suppression ? parce qu'il en restait ?
C'était justement une indication précieuse. J'aimerais le rapport en gras,stp.
RKreport[0]_D_08242013_153530.txt
RKreport[0]_D_08242013_152201.txt
RKreport[0]_S_08232013_082744.txt
RKreport[0]_S_08242013_152137.txt
RKreport[0]_S_08242013_153434.txt -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Pour vérification : Relance-le comme la 1ère fois : pré-scan puis scan sans supprimer.
-
Tout d'abord, tu ne dois pas avoir redémarré entre les deux scans (RKill et MBAM)
car le premier a endormi la bête, le second va l'achever.
1) Télécharge Malwarebytes Anti malware (MBAM)
Attention : Si tu as la version payante ou une version Trial installée sur le pc, ne l'utilise pas, désinstalle-la ou désactive-la et télécharge la version gratuite ici :
http://fr.malwarebytes.org/products/malwarebytes_free.
2) La mise à jour de MBAM :
[NB : Avant chaque examen, il faut mettre les bases virales à jour]
Là, c'est spécial, tu vas devoir installer le logiciel d'abord sur l'autre pc, mettre les bases virales à jour en cliquant sur l'onglet "mise à jour", puis "rechercher une mise à jour" avant de le transporter avec ses bases à jour sur ta clé jusqu'au pc malade.
3) L'examen : --> A faire en mode normal.
- Tout doit être fermé et antivirus désactivé.
- Clique sur "Recherche" et choisis "Examen rapide".
- Laisse MBAM travailler sans toucher à rien.
- En fin de scan, clique sur "Afficher les résultats".
4) La suppression des menaces :
--> Attention : Si MBAM a trouvé des menaces, vérifie que toutes les lignes sont bien cochées car l'infection peut décocher certaines lignes.
- Puis supprime-les en cliquant sur "Supprimer la sélection".
- Redémarre le pc car certains éléments sont supprimés au redémarrage.
5) Le rapport :
- Pour le récupérer : Ouvre MBAM et clique sur l'onglet "Rapports et logs".
- Clique droit sur la ligne du rapport, il s'ouvrira dans le bloc-note.
- Héberge-le et transmets-moi le lien. -
bonjour, je pense que le mieux à faire pour toi, c'est de faire une restauration de ton système à partir d'un date où tu penses que tout fonctionné correctement, puis si tu as un anti virus, un seul et non plusieurs, je te recommande * microsoft sécurity essentiels * de windows, d'effectuer un nettoyage minutieux de ton ordinateur, et le problème sera du moins régler. A plus..
-
Comment faire une restauration??? Et puis le virus (si c'est le même) bloque aussi mon antivirus microsfot security essentials! Je suis désespéré -_-... Je ne peut même plus accéder a mon hotmail et le virus me redirige toujours vers d'autres pages. Je ne m'y connais vraiment pas en ordinateur X)
-
Oui j'ai un autre ordinateur a ma disposition qui peut telecharger!
Merci beaucoup de ton aide! -
Voici le rapport que cela m'a donné. http://cjoint.com/?CHxoE0quUx5
Merci beaucoup de m'aider! -
Voici le lien pour le rapport: https://pjjoint.malekal.com/files.php?id=20130824_w8p10n11b7j12
-
Désolé, je ne sais pas pourquoi je suis passé 2 fois en suppression, voici le rapport que vous m'avez demandé : https://pjjoint.malekal.com/files.php?id=20130824_m6u11d15u6f14
-
-
-
Relance le : Prescan, scan et clique sur HostRaz puis donne-moi le rapport.
-
-
-
-
voila le rapport https://pjjoint.malekal.com/files.php?id=20130825_n12y7h7v11y13
-
-
As-tu toujours RKill ?
-
Relance Rkill, fais le scan et transmets-moi le lien.
Ne redémarre surtout pas. J'aimerais être sûre avant que l'infection est bien éradiquée car elle peut se régénérer au rédémarrage.
Réponds-moi rapidement car je voudrais aller dormir. On doit être en horaire décalé, tu es au Canada ? Chez moi, il est 3h30 du matin.-
-
-
-
Quand le rapport s'ouvre, clique droit dessus et choisis copier
Rends-toi sur http://pjjoint.malekal.com et là clique droit dans le cadre de dépôt et choisis coller
Puis clique sur "Envoyer"
Autrement pour fransformer le rapport en fichier.txt, tu le colles dans le bloc-note et tu l'enregistres comme tout fichier. -
-
-
Retélécharge RKill ici et de cette façon :
Rends-toi sur cette page :https://www.bleepingcomputer.com/download/rkill/
Descends vers le milieu. Il ya toute une série de liens.
Télécharge une version "masquée" : Essaie par ex avec WiNlOgOn.exe
*iExplore.exe Download Link
*uSeRiNiT.exe Download Link
*WiNlOgOn.exe Download Link
Pour le scan, désactive ton antivirus. De toutes façons , il est dans les vaps.
Clique juste sur "Exécuter"
Ensuite, tu ne touches plus à rien durant le scan qui peut s'arrêter longuement.
Le rapport doit s'ouvrir de lui-même.-
https://pjjoint.malekal.com/files.php?id=20130825_r10b13p6b9p5 cest deja fait voici le lien
-
-
-
-
-
-
Ton problème a débuté à quelle date exactement ? Là, on voit qu'ils ont été modifiés le 14 Août. A cette date ?
-
-
-
-
-
As-tu CCleaner ? Sinon, tu peux le télécharger ici :
https://www.ccleaner.com/ccleaner/download/standard
Ensuite, pour savoir la liste de tes points de restauration, ouvre-le, une fois installé.
Clique sur "Options", puis sur "Restauration du système"
Et là, tu devrais voir s'afficher toute la liste de tes points de restauration avec la date.
Comme ceci : https://www.cjoint.com/c/CHzg6OZqwBR
N'y touche pas bien entendu.
-
-
Je suis vraiment fatiguée, je vais arrêter un peu. Avant de te quitter, fais ces deux choses :
1) Repasse Roguekiller en mode sans échec : Comment faire ?
Eteins-le pc et rallume-le.
Dès le démarrage et avant l'apparition du logo windows, mets-toi à tapoter la touche F8, située sur la 1ère ligne en haut du clavier.
Continue à tapoter jusqu'à l'apparition de la fenêtre noire des "Options de démarrage avancées"
A l'aide des flêches situées en bas du clavier à droite, sélectionne "Mode sans échec".
Puis clique sur "Entrée".
Tu arriveras sur ton bureau changé car les fonctions sont économisées.
Confirme que tu veux rester en mode sans échec.
Relance alors Roguekiller par clic droit et choisis "Exécuter en tant qu'administrateur"
Laisse faire le prescan, puis clique sur scan.
En fin de scan. si des éléments ont été trouvés, clique sur "Suppression", bien que je ne pourrai pas vérifier. Héberge le rapport et transmets-moi le lien.-
Voila c'est fait, voici le rapport: https://pjjoint.malekal.com/files.php?id=20130825_g14z5x10u15k6
-
-
-