Sujet Précédent Sujet Suivant

ZeroAccess : Impossible de télécharger (merkury80)

Fermé
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 sept. 2013 à 23:57
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 sept. 2013 à 14:26
Salut,


A transférer par clef USB :

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!





3 réponses

Réponse 1 / 3
merkury80
12 sept. 2013 à 00:01
je vais paraitre nulle mais comment je fais pour le telecharger direct sur le bureau
0
Réponse 2 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
12 sept. 2013 à 11:39
Il faut transférer par clef USB vu que le téléchargement sur le PC infecté est impossible.
0
merkury80
Modifié par merkury80 le 12/09/2013 à 14:07
bonjour ,
j avais repondu de l autre cote , voici le rapport du scan d hier soir via roguekiller , ensuite j ai telecharger malwarebytes et executer il m avais trouver pas mal de virus et autres je les aient supprimés . ensuite j en ai refais un scan et plus que 2 . ce matin j ai effectuer un reformatage complet niveau usine j ai refais un scan qui n a rien trouver du tout donc je pense en etre debarrasser mais depuis que je l ai remis au niveau usine il rame beaucoup trop ,y a t il autre chose d infecté? comment puis je gagner en performance pour ne plus qu il rame ? en tous cas merci beaucoup car sans vous je n y serais pas parvenue vous conseillez tres tres bien



RogueKiller V8.6.11 [Sep 11 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Admin Parents [Droits d'admin]
Mode : Recherche -- Date : 09/12/2013 01:04:40
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 2 ¤¤¤
[BLPATH] cacaoweb.exe -- C:\Users\Admin Parents\AppData\Roaming\cacaoweb\cacaoweb.exe [-] -> TUÉ [TermProc]
[ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files\Google\Desktop\Install\{049a4979-83fd-5763-3b60-34333dbfb34d}\ \...\?????\{049a4979-83fd-5763-3b60-34333dbfb34d}\GoogleUpdate.exe" < [x] -> STOPPÉ

¤¤¤ Entrees de registre : 20 ¤¤¤
[RUN][BLPATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Admin Parents\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : AS2014 (C:\ProgramData\hVrng7x7\hVrng7x7.exe [x]) -> TROUVÉ
[RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\Admin Parents\AppData\Local\Google\Desktop\Install\{049a4979-83fd-5763-3b60-34333dbfb34d}\?????????\?????????\?????\{049a4979-83fd-5763-3b60-34333dbfb34d}\GoogleUpdate.exe" >) -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\Run : AS2014 (C:\ProgramData\hVrng7x7\hVrng7x7.exe [x]) -> TROUVÉ
[RUN][BLPATH] HKUS\S-1-5-21-178952513-42012403-1243552947-1000\[...]\Run : cacaoweb ("C:\Users\Admin Parents\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-178952513-42012403-1243552947-1000\[...]\Run : AS2014 (C:\ProgramData\hVrng7x7\hVrng7x7.exe [x]) -> TROUVÉ
[RUN][ZeroAccess] HKUS\S-1-5-21-178952513-42012403-1243552947-1000\[...]\Run : Google Update ("C:\Users\Admin Parents\AppData\Local\Google\Desktop\Install\{049a4979-83fd-5763-3b60-34333dbfb34d}\?????????\?????????\?????\{049a4979-83fd-5763-3b60-34333dbfb34d}\GoogleUpdate.exe" >) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-178952513-42012403-1243552947-1001\[...]\Run : AS2014 (C:\ProgramData\hVrng7x7\hVrng7x7.exe [x]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files\Google\Desktop\Install\{049a4979-83fd-5763-3b60-34333dbfb34d}\ \...\?????\{049a4979-83fd-5763-3b60-34333dbfb34d}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files\Google\Desktop\Install\{049a4979-83fd-5763-3b60-34333dbfb34d}\ \...\?????\{049a4979-83fd-5763-3b60-34333dbfb34d}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS002\[...]\Services : ???etadpug ("C:\Program Files\Google\Desktop\Install\{049a4979-83fd-5763-3b60-34333dbfb34d}\ \...\?????\{049a4979-83fd-5763-3b60-34333dbfb34d}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[HJ SECU] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ SECU] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ SECU] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> TROUVÉ
[HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> TROUVÉ
[HID SVC][Masqué de l'API] HKLM\[...]\CS002\[...]\Services : . e () -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 4 ¤¤¤
[Admin Parents][SUSP PATH] Ordi60.lnk : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ordi60.lnk @C:\Windows\Logon.bat [-][-] -> TROUVÉ
[Collégien][SUSP PATH] Ordi60.lnk : C:\Users\Collégien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ordi60.lnk @C:\Windows\Logon.bat [-][-] -> TROUVÉ
[Default][SUSP PATH] Ordi60.lnk : C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ordi60.lnk @C:\Windows\Logon.bat [-][-] -> TROUVÉ
[Default User][SUSP PATH] Ordi60.lnk : C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ordi60.lnk @C:\Windows\Logon.bat [-][-] -> TROUVÉ

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Windows Defender\MpCommu.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] Backup : C:\Program Files\Microsoft Security Client\Backup >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] DbgHelp.dll : C:\Program Files\Microsoft Security Client\DbgHelp.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] Drivers : C:\Program Files\Microsoft Security Client\Drivers >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] en-us : C:\Program Files\Microsoft Security Client\en-us >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] EppManifest.dll : C:\Program Files\Microsoft Security Client\EppManifest.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] fr-fr : C:\Program Files\Microsoft Security Client\fr-fr >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Microsoft Security Client\MpAsDesc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Microsoft Security Client\MpClient.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Microsoft Security Client\MpCmdRun.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Microsoft Security Client\MpCommu.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] mpevmsg.dll : C:\Program Files\Microsoft Security Client\mpevmsg.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpOAv.dll : C:\Program Files\Microsoft Security Client\MpOAv.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Microsoft Security Client\MpRTP.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Microsoft Security Client\MpSvc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MSESysprep.dll : C:\Program Files\Microsoft Security Client\MSESysprep.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Microsoft Security Client\MsMpCom.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpEng.exe : C:\Program Files\Microsoft Security Client\MsMpEng.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Microsoft Security Client\MsMpLics.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Microsoft Security Client\MsMpRes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] msseces.exe : C:\Program Files\Microsoft Security Client\msseces.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] msseoobe.exe : C:\Program Files\Microsoft Security Client\msseoobe.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] msseooberes.dll : C:\Program Files\Microsoft Security Client\msseooberes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsseWat.dll : C:\Program Files\Microsoft Security Client\MsseWat.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] NisIpsPlugin.dll : C:\Program Files\Microsoft Security Client\NisIpsPlugin.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] NisLog.dll : C:\Program Files\Microsoft Security Client\NisLog.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] NisSrv.exe : C:\Program Files\Microsoft Security Client\NisSrv.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] NisWFP.dll : C:\Program Files\Microsoft Security Client\NisWFP.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] Setup.exe : C:\Program Files\Microsoft Security Client\Setup.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] SetupRes.dll : C:\Program Files\Microsoft Security Client\SetupRes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] shellext.dll : C:\Program Files\Microsoft Security Client\shellext.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] SqmApi.dll : C:\Program Files\Microsoft Security Client\SqmApi.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] SymSrv.dll : C:\Program Files\Microsoft Security Client\SymSrv.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] SymSrv.yes : C:\Program Files\Microsoft Security Client\SymSrv.yes >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Repertoire] Install : C:\Users\Admin Parents\AppData\Local\Google\Desktop\Install [-] --> TROUVÉ
[ZeroAccess][Repertoire] Install : C:\Program Files\Google\Desktop\Install [-] --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] IRP[IRP_MJ_CREATE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F488CC)
[Address] IRP[IRP_MJ_CLOSE] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F488CC)
[Address] IRP[IRP_MJ_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F3447C)
[Address] IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F3444E)
[Address] IRP[IRP_MJ_POWER] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F344AA)
[Address] IRP[IRP_MJ_SYSTEM_CONTROL] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F43DB2)
[Address] IRP[IRP_MJ_PNP] : C:\Windows\System32\drivers\mountmgr.sys -> HOOKED ([Address] C:\Windows\system32\drivers\ataport.SYS @ 0x87F43D7E)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543232A7A384 ATA Device +++++
--- User ---
[MBR] 9f152777cce0244afcafc77308a6116b
[BSP] 03ed98e1165aea449c1a8cd16369526f : KIWI Image system MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 115712 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 237185024 | Size: 169990 Mo
3 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 585324544 | Size: 19441 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Hitachi HTS543232A7A384 ATA Device +++++
--- User ---
[MBR] a29a2842766cc47a2e01355bbae7690a
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 30540 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_S_09122013_010440.txt >>
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
12 sept. 2013 à 14:06
C'est un scan RogueKiller de recherche.
Faut faire suppression à droite.
0
merkury80
12 sept. 2013 à 14:20
je l ai deja supprimé ,hier soir , la apparemment tout va bien je ne les aient plus mais le pc rame depuis que je l ai remis au niveau usine
0
Réponse 3 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
12 sept. 2013 à 14:26
Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

Attention ce n'est pas Malwarebyte "normal" - Lire le contenu de la page donnée ci-dessus.

0