Infectée par Generic34.bqeh / ZeroAccess / Sirefef

Résolu
Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention   -  
Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
Pour la première fois mon ordi est infecté par un cheval de troie : generic 34.bqeh
Je ne trouve rien sur cette version ".bqeh" sur internet.
Il a été détecté par AVG qui ne peut me l'enlever.
J'ai essayé des outils comme iSafe YAC, PCSafeDoctor, et là, la version gratuite de Kaspersky (virus removal tool)...
Mais rien y fait...
J'ai essayé de trouver les processus de generic 34 dans mon gestionnaire des tâches mais je ne les vois pas.
Quelqu'un aurait-il une solution pour éliminer ce troyen belliqueux de mon outils de travail?
Merci d'avance.

11 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Détecté dans quel fichier ?
    iSafe = arnaque.
    => https://www.malekal.com/qvo6-en-v9-com-isafe-et-trojan-win32-staser/
    Pareil pour PCSafeDoctor
    Désinstalle les.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Heeuu je ne suis absolument pas à l'aise en informatique donc je ne te garanti pas la pertinance de mes reponses...

    Je viens de désinstaller iSafe et PCSafeDoctor et de redemarer l'ordi pour qu'il me re-affiche la détection.
    Dans quel fichier... je ne sais pas.
    Je n'arrive pas a te coller l'imprim ecran de ce que AVG me detecte mais ca donne ça:

    Nom de l'objet: c:/Users/Manon/AppData/Local/Google/Desktop/Install/
    { et apres c'est des tas de chiffres lettre et signes...}/googleUpdate.exe
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      [*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
      [*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
      [*] Quitter tous les programmes
      [*] Lancer RogueKiller.exe.
      [*] Attendre que le Prescan ait fini ...
      [*] Lance un scan afin de débloquer le bouton Suppression à droite.
      [*] Clic sur Suppression.
      [*] Copie/colle le contenu du rapport ici.

      !!! Je répète bien faire Suppression à droite et poster le rapport. !!!
      0
  3. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Ok, je sais absolument pas ce que j'ai fais, mais le rapport est le suivant:

    RogueKiller V8.6.11 _x64_ [Sep 11 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Manon [Droits d'admin]
    Mode : Suppression -- Date : 09/14/2013 13:32:12
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" < [x] -> STOPPÉ

    ¤¤¤ Entrees de registre : 18 ¤¤¤
    [RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" >) -> SUPPRIMÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : Internet Security (C:\ProgramData\bsprotection.exe [x]) -> SUPPRIMÉ
    [RUN][ZeroAccess] HKUS\S-1-5-21-2009863554-1640311959-148278237-1002\[...]\Run : Google Update ("C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" >) -> [0xc0000034] Unknown error
    [RUN][SUSP PATH] HKUS\S-1-5-21-2009863554-1640311959-148278237-1002\[...]\Run : Internet Security (C:\ProgramData\bsprotection.exe [x]) -> [0x2] Le fichier spécifié est introuvable.
    [SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ
    [SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" < [x]) -> [0x57] Paramètre incorrect.
    [SERVICE][ROGUE ST] HKLM\[...]\CS002\[...]\Services : 85718656 (C:\Windows\system32\DRIVERS\85718656.sys [x]) -> SUPPRIMÉ
    [SERVICE][ZeroAccess] HKLM\[...]\CS002\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ
    [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
    [HJ POL] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
    [HJ POL] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
    [HJ POL] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable.
    [HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable.
    [HID SVC][Masqué de l'API] HKLM\[...]\CS002\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable.

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 1 ¤¤¤
    [Manon][SUSP PATH] _uninst_85718656.lnk : C:\Users\Manon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_85718656.lnk @C:\Users\Manon\AppData\Local\Temp\_uninst_85718656.bat [-][-] -> SUPPRIMÉ

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Windows Defender\MpCommu.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] Antimalware : C:\Program Files\Microsoft Security Client\Antimalware >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] Backup : C:\Program Files\Microsoft Security Client\Backup >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] CleanUpPolicy.xml : C:\Program Files\Microsoft Security Client\CleanUpPolicy.xml >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] ConfigSecurityPolicy.exe : C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] en-us : C:\Program Files\Microsoft Security Client\en-us >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] eppmanifest.dll : C:\Program Files\Microsoft Security Client\eppmanifest.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] fr-fr : C:\Program Files\Microsoft Security Client\fr-fr >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MSESysprep.dll : C:\Program Files\Microsoft Security Client\MSESysprep.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Microsoft Security Client\MsMpRes.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] msseces.exe : C:\Program Files\Microsoft Security Client\msseces.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] msseoobe.exe : C:\Program Files\Microsoft Security Client\msseoobe.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] msseooberes.dll : C:\Program Files\Microsoft Security Client\msseooberes.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] MsseWat.dll : C:\Program Files\Microsoft Security Client\MsseWat.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] setup.exe : C:\Program Files\Microsoft Security Client\setup.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] setupres.dll : C:\Program Files\Microsoft Security Client\setupres.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] shellext.dll : C:\Program Files\Microsoft Security Client\shellext.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Jonction] sqmapi.dll : C:\Program Files\Microsoft Security Client\sqmapi.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
    [ZeroAccess][Repertoire] Install : C:\Users\Manon\AppData\Local\Google\Desktop\Install [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] @ : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\@ [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] GoogleUpdate.exe : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] L : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\L [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] U : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] {134d0dca-cd89-0afe-ddd1-77f2d6495758} : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758} [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] ????? : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\????? [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] ????????? : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\????????? [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] ????????? : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\????????? [-] --> SUPPRIMÉ
    [ZeroAccess][Repertoire] {134d0dca-cd89-0afe-ddd1-77f2d6495758} : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758} [-] --> SUPPRIMÉ

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: TOSHIBA MK7575GSX +++++
    --- User ---
    [MBR] 27f705ee5a629a539561236ac11c2209
    [BSP] 8ce531b8c9f5b0fabdc1e4c6c16a03e7 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 357702 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 733394944 | Size: 357301 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_D_09142013_133212.txt >>
    RKreport[0]_S_09142013_133135.txt
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    Enregistre le rapport sur http://pjjoint.malekal.com
    Donne le lien pjjoint ici.

    Attention ce n'est pas Malwarebyte "normal" - Lire le contenu de la page donnée ci-dessus.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Je suis en train de telecharger Malwarebytes Anti-Rootkit et ce msg apparait:

    Probable rootkit activity detected:
    Registry value "AppInit_Dlls" has been found, which may be caused by rootkit activity.
    Note: Press "No" button is you're not sure. If the tool craches or terminates unexpectedly duringa system scan, restart the tool and press "yes" should this msg apear again.
    Do you want to remove this value and restart the tool?

    Je dois dire oui ou non la?
    0
  7. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Ok voici le rapport:

    ---------------------------------------
    Malwarebytes Anti-Rootkit BETA 1.07.0.1005

    (c) Malwarebytes Corporation 2011-2012

    OS version: 6.1.7601 Windows 7 Service Pack 1 x64

    Account is Administrative

    Internet Explorer version: 9.0.8112.16421

    Java version: 1.6.0_20

    File system is: NTFS
    Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
    CPU speed: 2.394000 GHz
    Memory total: 4146774016, free: 1549348864

    ---------------------------------------
    Malwarebytes Anti-Rootkit BETA 1.07.0.1005

    (c) Malwarebytes Corporation 2011-2012

    OS version: 6.1.7601 Windows 7 Service Pack 1 x64

    Account is Administrative

    Internet Explorer version: 9.0.8112.16421

    Java version: 1.6.0_20

    File system is: NTFS
    Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
    CPU speed: 2.394000 GHz
    Memory total: 4146774016, free: 1583472640

    Downloaded database version: v2013.09.14.04
    Downloaded database version: v2013.08.06.01
    Initializing...
    ======================
    ------------ Kernel report ------------
    09/14/2013 13:54:57
    ------------ Loaded modules -----------
    \SystemRoot\system32\ntoskrnl.exe
    \SystemRoot\system32\hal.dll
    \SystemRoot\system32\kdcom.dll
    \SystemRoot\system32\mcupdate_GenuineIntel.dll
    \SystemRoot\system32\PSHED.dll
    \SystemRoot\system32\CLFS.SYS
    \SystemRoot\system32\CI.dll
    \SystemRoot\system32\drivers\Wdf01000.sys
    \SystemRoot\system32\drivers\WDFLDR.SYS
    \SystemRoot\system32\drivers\ACPI.sys
    \SystemRoot\system32\drivers\WMILIB.SYS
    \SystemRoot\system32\drivers\msisadrv.sys
    \SystemRoot\system32\drivers\pci.sys
    \SystemRoot\system32\drivers\vdrvroot.sys
    \SystemRoot\system32\DRIVERS\LPCFilter.sys
    \SystemRoot\system32\DRIVERS\85718656.sys
    \SystemRoot\System32\drivers\partmgr.sys
    \SystemRoot\system32\drivers\compbatt.sys
    \SystemRoot\system32\drivers\BATTC.SYS
    \SystemRoot\system32\drivers\volmgr.sys
    \SystemRoot\System32\drivers\volmgrx.sys
    \SystemRoot\System32\drivers\mountmgr.sys
    \SystemRoot\system32\DRIVERS\pciide.sys
    \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
    \SystemRoot\system32\DRIVERS\iaStor.sys
    \SystemRoot\system32\drivers\atapi.sys
    \SystemRoot\system32\drivers\ataport.SYS
    \SystemRoot\system32\drivers\msahci.sys
    \SystemRoot\system32\drivers\amdxata.sys
    \SystemRoot\system32\drivers\fltmgr.sys
    \SystemRoot\system32\drivers\fileinfo.sys
    \SystemRoot\System32\Drivers\Ntfs.sys
    \SystemRoot\System32\Drivers\msrpc.sys
    \SystemRoot\System32\Drivers\ksecdd.sys
    \SystemRoot\System32\Drivers\cng.sys
    \SystemRoot\System32\drivers\pcw.sys
    \SystemRoot\System32\Drivers\Fs_Rec.sys
    \SystemRoot\system32\drivers\ndis.sys
    \SystemRoot\system32\drivers\NETIO.SYS
    \SystemRoot\System32\Drivers\ksecpkg.sys
    \SystemRoot\System32\drivers\tcpip.sys
    \SystemRoot\System32\drivers\fwpkclnt.sys
    \SystemRoot\system32\drivers\volsnap.sys
    \SystemRoot\system32\DRIVERS\TVALZ_O.SYS
    \SystemRoot\System32\Drivers\spldr.sys
    \SystemRoot\System32\drivers\rdyboost.sys
    \SystemRoot\System32\Drivers\mup.sys
    \SystemRoot\System32\drivers\hwpolicy.sys
    \SystemRoot\System32\DRIVERS\fvevol.sys
    \SystemRoot\system32\drivers\disk.sys
    \SystemRoot\system32\drivers\CLASSPNP.SYS
    \SystemRoot\system32\DRIVERS\avgrkx64.sys
    \SystemRoot\system32\DRIVERS\avgloga.sys
    \SystemRoot\system32\DRIVERS\avgmfx64.sys
    \SystemRoot\system32\DRIVERS\avgidsha.sys
    \SystemRoot\system32\DRIVERS\cdrom.sys
    \SystemRoot\system32\DRIVERS\MpFilter.sys
    \SystemRoot\System32\Drivers\Null.SYS
    \SystemRoot\System32\Drivers\Beep.SYS
    \SystemRoot\System32\drivers\vga.sys
    \SystemRoot\System32\drivers\VIDEOPRT.SYS
    \SystemRoot\System32\drivers\watchdog.sys
    \SystemRoot\System32\DRIVERS\RDPCDD.sys
    \SystemRoot\system32\drivers\rdpencdd.sys
    \SystemRoot\system32\drivers\rdprefmp.sys
    \SystemRoot\System32\Drivers\Msfs.SYS
    \SystemRoot\System32\Drivers\Npfs.SYS
    \SystemRoot\system32\DRIVERS\tdx.sys
    \SystemRoot\system32\DRIVERS\TDI.SYS
    \SystemRoot\system32\DRIVERS\avgtdia.sys
    \SystemRoot\System32\DRIVERS\netbt.sys
    \SystemRoot\system32\drivers\afd.sys
    \SystemRoot\system32\DRIVERS\wfplwf.sys
    \SystemRoot\system32\DRIVERS\pacer.sys
    \SystemRoot\system32\DRIVERS\vwififlt.sys
    \SystemRoot\system32\DRIVERS\netbios.sys
    \SystemRoot\system32\DRIVERS\wanarp.sys
    \SystemRoot\system32\drivers\termdd.sys
    \SystemRoot\system32\DRIVERS\rdbss.sys
    \SystemRoot\system32\drivers\nsiproxy.sys
    \SystemRoot\system32\drivers\mssmbios.sys
    \SystemRoot\System32\drivers\discache.sys
    \SystemRoot\System32\Drivers\dfsc.sys
    \SystemRoot\system32\drivers\blbdrive.sys
    \SystemRoot\system32\DRIVERS\avgldx64.sys
    \SystemRoot\system32\DRIVERS\avgidsdrivera.sys
    \SystemRoot\system32\DRIVERS\tunnel.sys
    \SystemRoot\system32\DRIVERS\atikmpag.sys
    \SystemRoot\system32\DRIVERS\atikmdag.sys
    \SystemRoot\System32\drivers\dxgkrnl.sys
    \SystemRoot\System32\drivers\dxgmms1.sys
    \SystemRoot\system32\DRIVERS\HECIx64.sys
    \SystemRoot\system32\DRIVERS\usbehci.sys
    \SystemRoot\system32\DRIVERS\USBPORT.SYS
    \SystemRoot\system32\drivers\HDAudBus.sys
    \SystemRoot\system32\DRIVERS\Rt64win7.sys
    \SystemRoot\system32\DRIVERS\rtl8192Ce.sys
    \SystemRoot\system32\DRIVERS\vwifibus.sys
    \SystemRoot\system32\drivers\CmBatt.sys
    \SystemRoot\system32\DRIVERS\i8042prt.sys
    \SystemRoot\system32\DRIVERS\CeKbFilter.sys
    \SystemRoot\system32\DRIVERS\kbdclass.sys
    \SystemRoot\system32\DRIVERS\SynTP.sys
    \SystemRoot\system32\DRIVERS\USBD.SYS
    \SystemRoot\system32\DRIVERS\mouclass.sys
    \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
    \SystemRoot\system32\DRIVERS\intelppm.sys
    \SystemRoot\system32\drivers\CompositeBus.sys
    \SystemRoot\system32\DRIVERS\AgileVpn.sys
    \SystemRoot\system32\DRIVERS\rasl2tp.sys
    \SystemRoot\system32\DRIVERS\ndistapi.sys
    \SystemRoot\system32\DRIVERS\ndiswan.sys
    \SystemRoot\system32\DRIVERS\raspppoe.sys
    \SystemRoot\system32\DRIVERS\raspptp.sys
    \SystemRoot\system32\DRIVERS\rassstp.sys
    \SystemRoot\system32\drivers\swenum.sys
    \SystemRoot\system32\drivers\ks.sys
    \SystemRoot\system32\DRIVERS\umbus.sys
    \SystemRoot\system32\DRIVERS\usbhub.sys
    \SystemRoot\System32\Drivers\NDProxy.SYS
    \SystemRoot\system32\drivers\RTKVHD64.sys
    \SystemRoot\system32\drivers\portcls.sys
    \SystemRoot\system32\drivers\drmk.sys
    \SystemRoot\system32\drivers\ksthunk.sys
    \SystemRoot\system32\DRIVERS\usbccgp.sys
    \SystemRoot\System32\Drivers\usbvideo.sys
    \SystemRoot\system32\DRIVERS\pgeffect.sys
    \SystemRoot\System32\Drivers\crashdmp.sys
    \SystemRoot\System32\Drivers\dump_iaStor.sys
    \SystemRoot\System32\Drivers\dump_dumpfve.sys
    \SystemRoot\System32\win32k.sys
    \SystemRoot\System32\drivers\Dxapi.sys
    \SystemRoot\system32\DRIVERS\monitor.sys
    \SystemRoot\System32\TSDDD.dll
    \SystemRoot\System32\cdd.dll
    \SystemRoot\system32\drivers\luafv.sys
    \SystemRoot\system32\drivers\WudfPf.sys
    \SystemRoot\system32\DRIVERS\lltdio.sys
    \SystemRoot\system32\DRIVERS\nwifi.sys
    \SystemRoot\system32\DRIVERS\ndisuio.sys
    \SystemRoot\system32\DRIVERS\rspndr.sys
    \SystemRoot\system32\drivers\HTTP.sys
    \SystemRoot\System32\DRIVERS\srvnet.sys
    \SystemRoot\system32\DRIVERS\bowser.sys
    \SystemRoot\system32\DRIVERS\mrxsmb.sys
    \SystemRoot\system32\DRIVERS\mrxsmb10.sys
    \SystemRoot\system32\DRIVERS\mrxsmb20.sys
    \SystemRoot\System32\DRIVERS\srv2.sys
    \SystemRoot\System32\DRIVERS\srv.sys
    \SystemRoot\system32\drivers\peauth.sys
    \SystemRoot\System32\Drivers\secdrv.SYS
    \SystemRoot\System32\drivers\tcpipreg.sys
    \SystemRoot\system32\DRIVERS\0286425drv.sys
    \??\C:\Windows\system32\drivers\mbamchameleon.sys
    \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys
    \Windows\System32\ntdll.dll
    \Windows\System32\smss.exe
    \Windows\System32\apisetschema.dll
    ----------- End -----------
    Done!
    <<<1>>>
    Upper Device Name: \Device\Harddisk0\DR0
    Upper Device Object: 0xfffffa8004ce1060
    Upper Device Driver Name: \Driver\Disk\
    Lower Device Name: \Device\Ide\IAAStorageDevice-1\
    Lower Device Object: 0xfffffa80049db050
    Lower Device Driver Name: \Driver\iaStor\
    <<<2>>>
    Physical Sector Size: 512
    Drive: 0, DevicePointer: 0xfffffa8004ce1060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
    --------- Disk Stack ------
    DevicePointer: 0xfffffa8004ce1b90, DeviceName: Unknown, DriverName: \Driver\partmgr\
    DevicePointer: 0xfffffa8004ce1060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
    DevicePointer: 0xfffffa80049db050, DeviceName: \Device\Ide\IAAStorageDevice-1\, DriverName: \Driver\iaStor\
    ------------ End ----------
    Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
    Upper DeviceData: 0x0, 0x0, 0x0
    Lower DeviceData: 0x0, 0x0, 0x0
    <<<3>>>
    Volume: C:
    File system type: NTFS
    SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
    <<<2>>>
    <<<3>>>
    Volume: C:
    File system type: NTFS
    SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
    Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
    <<<2>>>
    <<<3>>>
    Volume: C:
    File system type: NTFS
    SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
    Done!
    Drive 0
    Scanning MBR on drive 0...
    Inspecting partition table:
    MBR Signature: 55AA
    Disk Signature: 1905EFC6

    Partition information:

    Partition 0 type is Other (0x27)
    Partition is ACTIVE.
    Partition starts at LBA: 2048 Numsec = 819200
    Partition file system is NTFS
    Partition is bootable

    Partition 1 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 821248 Numsec = 732573696

    Partition 2 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 733394944 Numsec = 731752448

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0 Numsec = 0

    Disk Size: 750156374016 bytes
    Sector size: 512 bytes

    Scanning physical sectors of unpartitioned space on drive 0 (1-2047-1465129168-1465149168)...
    Done!
    Read File: File "c:\programdata\avg2013\chjw\46ec1ef5ec1edecd.dat:fc301107-07b1-4758-8df5-0e19cacacd68" is sparse (flags = 32768)
    Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ --> [Trojan.0Access]
    Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \... --> [Trojan.0Access]
    Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\??? --> [Trojan.0Access]
    Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758} --> [Trojan.0Access]
    Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\@ --> [Trojan.0Access]
    Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\l --> [Trojan.0Access]
    Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\u --> [Trojan.0Access]
    Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U\00000002.@ --> [Trojan.0Access]
    Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U\80000000.@ --> [Trojan.0Access]
    Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U\80000001.@ --> [Trojan.0Access]
    Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U\800000cb.@ --> [Trojan.0Access]
    Infected: C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758} --> [Trojan.0Access]
    Scan finished
    Creating System Restore point...
    Cleaning up...
    Executing an action fixdamage.exe...
    Success!
    Queuing an action fixdamage.exe
    Removal scheduling successful. System shutdown needed.
    System shutdown occurred
    =======================================

    Removal queue found; removal started
    Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR_0_i.mbam...
    Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\Bootstrap_0_0_2048_i.mbam...
    Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR_0_r.mbam...
    Removal finished
    ---------------------------------------
    Malwarebytes Anti-Rootkit BETA 1.07.0.1005

    (c) Malwarebytes Corporation 2011-2012

    OS version: 6.1.7601 Windows 7 Service Pack 1 x64

    Account is Administrative

    Internet Explorer version: 9.0.8112.16421

    Java version: 1.6.0_20

    File system is: NTFS
    Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
    CPU speed: 2.394000 GHz
    Memory total: 4146774016, free: 2937950208

    =======================================
    0
  8. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Et le lien :
    https://pjjoint.malekal.com/files.php?id=20130914_13o8m11y7x15

    Du coup je suppose que ça a marché!
    Je te remercie pour toutes ces manips que j'aurai jms trouvé toute seule!

    Dernières questions:
    - Que dois-je faire des fichiers RK quarantine et mbar sur mon bureau?
    (Je dois supprimer les fichier en quantaine?)
    - Est ce que ce rapport nous donne la raison de la contamination?
    - Et comment eviter de me refaire infecter? (quel anti-virus ou autre?) ->Est ce que ces systèmes qu'on a utilisé me protègent toujours ou est-ce une procédure a appliquer qu'en cas d'infection?

    Merci bcp pour ton aide.
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux supprimer.

    Passe Eset Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=

    Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
    Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
    Lance AdwCleaner, clique sur [Scanner] puis patiente (PAS besoin de copier/coller le rapport ici).
    Quand cela est terminé, clic sur [Nettoyage].
    !!! je répète faire [Nettoyage] !!!

    ~~

    Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Fais des scans réguliers avec, il est efficace.

    Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    Passe le mot à tes amis !

    ~~

    Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0
  10. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Salut,

    Je viens de passer Eset Repair.
    Par contre, pour lancer AdwCleaner, AVG me reporte une menace de sa part, et me supprime l'application quand je mets supprimer la menace...

    Aussi hier, croyant que les manips étaient finies je suis retournée sur internet et mon ordi a été repris d'assaut par des trucs qui se sont installés tous seuls lorsque j'ai voulu mettre à jour mon adobe flash player... AVG a tilté et a "supprimé les menaces" et je suis allée desinstaller les programmes qui se sont installés tous seuls ...

    Est ce que je dois donc tout recommancer depuis le debut?
    Ou je continue?
    Dans ce cas la je dois ignorer la menace de AdwCleaner détectée par AGV?

    (dsl.... et merci encore!!!
    Promis maintenant je touche plus rien tant que tu me dit pas que c'est completement fini)
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      qui se sont installés tous seuls lorsque j'ai voulu mettre à jour mon adobe flash player.

      Tu es sûr que c'est le vrai Adobe Flash ?
      Regarde là, y a des faux : https://www.malekal.com/adwares-pup-protection/

      Pour AVG, oui tu peux désactiver le temps d'utiliser AVG.
      0
  11. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Heeuu non je suis pas sure...
    Dans les programmes et fonctionnalités j'ai :
    Adobe AIR
    Adobe flash player 11 ActiveX
    Adobe flash player 11 Plugin
    Adobe Reader X (10.1.8) - français

    Je dois faire quoi? les garder ou desinstaller?

    Et est ce que tu crois que je dois recommancer les manip d'hier (peut etre que j'ai recontaminé mon ordi avec ma connerie....)
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      non c'est bon :)
      0
    2. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      ok j'ai passé AdwCleaner !
      0
    3. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      Je suis en train de faire un "examen rapide" av le malwarebytes
      0
    4. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      Dans la vidéo tutorel, j'ai pas bien compris l'étape ou tu cliques sur "propriété" de malwarebytes et "rechercher la cible" et copier collé nommé 'coincoin'.. lol

      Sinon il vient de me trouver 12 éléments qui sont tous des PUP !!lol
      Je les selectionne et les suprime.
      0
  12. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Ok donc là, il me reste à :

    - mettre à jour Java et Adobe, selon tes liens & conseils
    - retirer Java des navigateurs web (mais ca ne m'empechera pas de voir certaine page? ou mal?)
    - installer HOST anti PUP en désactivant le client DNS (je ne sais meme pas ce que c'est.. :o) )

    Et.... ça devrait aller?

    Qu'en est-il de AVG? En gros ça arrete le plus gros mais malwarebytes est bien plus performant?

    Dernière question... si j'ai choppé ces trucs c'est que je me suis mise à regarder des séries en streaming en passant par un débrideur (par g.chrome)...
    Avant j'utilisais torrent.
    Il y a t-il une manière de regarder une série sans se faire chopper par HADOPI ni mettre son ordi en danger? ou faut-il acheter un Mac?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu es allé sur quel site ?
      0
    2. Manonls Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      Je ne peux plus te répondre mes reponses n'apparaissent jamais...
      0