Sujet Précédent Sujet Suivant

Infectée par Generic34.bqeh / ZeroAccess / Sirefef

Résolu/Fermé
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013 - Modifié par Manonls le 14/09/2013 à 12:53
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013 - 15 sept. 2013 à 20:06
Bonjour,
Pour la première fois mon ordi est infecté par un cheval de troie : generic 34.bqeh
Je ne trouve rien sur cette version ".bqeh" sur internet.
Il a été détecté par AVG qui ne peut me l'enlever.
J'ai essayé des outils comme iSafe YAC, PCSafeDoctor, et là, la version gratuite de Kaspersky (virus removal tool)...
Mais rien y fait...
J'ai essayé de trouver les processus de generic 34 dans mon gestionnaire des tâches mais je ne les vois pas.
Quelqu'un aurait-il une solution pour éliminer ce troyen belliqueux de mon outils de travail?
Merci d'avance.

11 réponses

Réponse 1 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
Modifié par Malekal_morte- le 14/09/2013 à 12:53
Salut,

Détecté dans quel fichier ?
iSafe = arnaque.
=> https://www.malekal.com/qvo6-en-v9-com-isafe-et-trojan-win32-staser/
Pareil pour PCSafeDoctor
Désinstalle les.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 2 / 11
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
14 sept. 2013 à 13:13
Heeuu je ne suis absolument pas à l'aise en informatique donc je ne te garanti pas la pertinance de mes reponses...

Je viens de désinstaller iSafe et PCSafeDoctor et de redemarer l'ordi pour qu'il me re-affiche la détection.
Dans quel fichier... je ne sais pas.
Je n'arrive pas a te coller l'imprim ecran de ce que AVG me detecte mais ca donne ça:

Nom de l'objet: c:/Users/Manon/AppData/Local/Google/Desktop/Install/
{ et apres c'est des tas de chiffres lettre et signes...}/googleUpdate.exe
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
14 sept. 2013 à 13:15
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
0
Réponse 3 / 11
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
14 sept. 2013 à 13:33
Ok, je sais absolument pas ce que j'ai fais, mais le rapport est le suivant:

RogueKiller V8.6.11 _x64_ [Sep 11 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Manon [Droits d'admin]
Mode : Suppression -- Date : 09/14/2013 13:32:12
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" < [x] -> STOPPÉ

¤¤¤ Entrees de registre : 18 ¤¤¤
[RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" >) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : Internet Security (C:\ProgramData\bsprotection.exe [x]) -> SUPPRIMÉ
[RUN][ZeroAccess] HKUS\S-1-5-21-2009863554-1640311959-148278237-1002\[...]\Run : Google Update ("C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" >) -> [0xc0000034] Unknown error
[RUN][SUSP PATH] HKUS\S-1-5-21-2009863554-1640311959-148278237-1002\[...]\Run : Internet Security (C:\ProgramData\bsprotection.exe [x]) -> [0x2] Le fichier spécifié est introuvable.
[SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" < [x]) -> [0x57] Paramètre incorrect.
[SERVICE][ROGUE ST] HKLM\[...]\CS002\[...]\Services : 85718656 (C:\Windows\system32\DRIVERS\85718656.sys [x]) -> SUPPRIMÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS002\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ
[HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ POL] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ POL] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ POL] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable.
[HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable.
[HID SVC][Masqué de l'API] HKLM\[...]\CS002\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable.

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 1 ¤¤¤
[Manon][SUSP PATH] _uninst_85718656.lnk : C:\Users\Manon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_85718656.lnk @C:\Users\Manon\AppData\Local\Temp\_uninst_85718656.bat [-][-] -> SUPPRIMÉ

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Windows Defender\MpCommu.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] Antimalware : C:\Program Files\Microsoft Security Client\Antimalware >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] Backup : C:\Program Files\Microsoft Security Client\Backup >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] CleanUpPolicy.xml : C:\Program Files\Microsoft Security Client\CleanUpPolicy.xml >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] ConfigSecurityPolicy.exe : C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] en-us : C:\Program Files\Microsoft Security Client\en-us >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] eppmanifest.dll : C:\Program Files\Microsoft Security Client\eppmanifest.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] fr-fr : C:\Program Files\Microsoft Security Client\fr-fr >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MSESysprep.dll : C:\Program Files\Microsoft Security Client\MSESysprep.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Microsoft Security Client\MsMpRes.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] msseces.exe : C:\Program Files\Microsoft Security Client\msseces.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] msseoobe.exe : C:\Program Files\Microsoft Security Client\msseoobe.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] msseooberes.dll : C:\Program Files\Microsoft Security Client\msseooberes.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsseWat.dll : C:\Program Files\Microsoft Security Client\MsseWat.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] setup.exe : C:\Program Files\Microsoft Security Client\setup.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] setupres.dll : C:\Program Files\Microsoft Security Client\setupres.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] shellext.dll : C:\Program Files\Microsoft Security Client\shellext.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] sqmapi.dll : C:\Program Files\Microsoft Security Client\sqmapi.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Repertoire] Install : C:\Users\Manon\AppData\Local\Google\Desktop\Install [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] @ : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] GoogleUpdate.exe : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\GoogleUpdate.exe [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\L [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {134d0dca-cd89-0afe-ddd1-77f2d6495758} : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\?????\{134d0dca-cd89-0afe-ddd1-77f2d6495758} [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????? : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\?????????\????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????????? : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\?????????\????????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????????? : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\????????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {134d0dca-cd89-0afe-ddd1-77f2d6495758} : C:\Users\Manon\AppData\Local\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758} [-] --> SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK7575GSX +++++
--- User ---
[MBR] 27f705ee5a629a539561236ac11c2209
[BSP] 8ce531b8c9f5b0fabdc1e4c6c16a03e7 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 357702 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 733394944 | Size: 357301 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_09142013_133212.txt >>
RKreport[0]_S_09142013_133135.txt
0
Réponse 4 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
14 sept. 2013 à 13:35
Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

Attention ce n'est pas Malwarebyte "normal" - Lire le contenu de la page donnée ci-dessus.


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
14 sept. 2013 à 13:46
Je suis en train de telecharger Malwarebytes Anti-Rootkit et ce msg apparait:

Probable rootkit activity detected:
Registry value "AppInit_Dlls" has been found, which may be caused by rootkit activity.
Note: Press "No" button is you're not sure. If the tool craches or terminates unexpectedly duringa system scan, restart the tool and press "yes" should this msg apear again.
Do you want to remove this value and restart the tool?

Je dois dire oui ou non la?
0
Réponse 6 / 11
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
14 sept. 2013 à 16:05
Ok voici le rapport:

---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.07.0.1005

(c) Malwarebytes Corporation 2011-2012

OS version: 6.1.7601 Windows 7 Service Pack 1 x64

Account is Administrative

Internet Explorer version: 9.0.8112.16421

Java version: 1.6.0_20

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
CPU speed: 2.394000 GHz
Memory total: 4146774016, free: 1549348864

---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.07.0.1005

(c) Malwarebytes Corporation 2011-2012

OS version: 6.1.7601 Windows 7 Service Pack 1 x64

Account is Administrative

Internet Explorer version: 9.0.8112.16421

Java version: 1.6.0_20

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
CPU speed: 2.394000 GHz
Memory total: 4146774016, free: 1583472640

Downloaded database version: v2013.09.14.04
Downloaded database version: v2013.08.06.01
Initializing...
======================
------------ Kernel report ------------
09/14/2013 13:54:57
------------ Loaded modules -----------
\SystemRoot\system32\ntoskrnl.exe
\SystemRoot\system32\hal.dll
\SystemRoot\system32\kdcom.dll
\SystemRoot\system32\mcupdate_GenuineIntel.dll
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\CLFS.SYS
\SystemRoot\system32\CI.dll
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\ACPI.sys
\SystemRoot\system32\drivers\WMILIB.SYS
\SystemRoot\system32\drivers\msisadrv.sys
\SystemRoot\system32\drivers\pci.sys
\SystemRoot\system32\drivers\vdrvroot.sys
\SystemRoot\system32\DRIVERS\LPCFilter.sys
\SystemRoot\system32\DRIVERS\85718656.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\system32\drivers\compbatt.sys
\SystemRoot\system32\drivers\BATTC.SYS
\SystemRoot\system32\drivers\volmgr.sys
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\system32\DRIVERS\pciide.sys
\SystemRoot\system32\DRIVERS\PCIIDEX.SYS
\SystemRoot\system32\DRIVERS\iaStor.sys
\SystemRoot\system32\drivers\atapi.sys
\SystemRoot\system32\drivers\ataport.SYS
\SystemRoot\system32\drivers\msahci.sys
\SystemRoot\system32\drivers\amdxata.sys
\SystemRoot\system32\drivers\fltmgr.sys
\SystemRoot\system32\drivers\fileinfo.sys
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\msrpc.sys
\SystemRoot\System32\Drivers\ksecdd.sys
\SystemRoot\System32\Drivers\cng.sys
\SystemRoot\System32\drivers\pcw.sys
\SystemRoot\System32\Drivers\Fs_Rec.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\ksecpkg.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\system32\drivers\volsnap.sys
\SystemRoot\system32\DRIVERS\TVALZ_O.SYS
\SystemRoot\System32\Drivers\spldr.sys
\SystemRoot\System32\drivers\rdyboost.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\drivers\hwpolicy.sys
\SystemRoot\System32\DRIVERS\fvevol.sys
\SystemRoot\system32\drivers\disk.sys
\SystemRoot\system32\drivers\CLASSPNP.SYS
\SystemRoot\system32\DRIVERS\avgrkx64.sys
\SystemRoot\system32\DRIVERS\avgloga.sys
\SystemRoot\system32\DRIVERS\avgmfx64.sys
\SystemRoot\system32\DRIVERS\avgidsha.sys
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\MpFilter.sys
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\drivers\VIDEOPRT.SYS
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\system32\drivers\rdpencdd.sys
\SystemRoot\system32\drivers\rdprefmp.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\avgtdia.sys
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\wfplwf.sys
\SystemRoot\system32\DRIVERS\pacer.sys
\SystemRoot\system32\DRIVERS\vwififlt.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\drivers\termdd.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\system32\drivers\mssmbios.sys
\SystemRoot\System32\drivers\discache.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\drivers\blbdrive.sys
\SystemRoot\system32\DRIVERS\avgldx64.sys
\SystemRoot\system32\DRIVERS\avgidsdrivera.sys
\SystemRoot\system32\DRIVERS\tunnel.sys
\SystemRoot\system32\DRIVERS\atikmpag.sys
\SystemRoot\system32\DRIVERS\atikmdag.sys
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\dxgmms1.sys
\SystemRoot\system32\DRIVERS\HECIx64.sys
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\drivers\HDAudBus.sys
\SystemRoot\system32\DRIVERS\Rt64win7.sys
\SystemRoot\system32\DRIVERS\rtl8192Ce.sys
\SystemRoot\system32\DRIVERS\vwifibus.sys
\SystemRoot\system32\drivers\CmBatt.sys
\SystemRoot\system32\DRIVERS\i8042prt.sys
\SystemRoot\system32\DRIVERS\CeKbFilter.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\SynTP.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
\SystemRoot\system32\DRIVERS\intelppm.sys
\SystemRoot\system32\drivers\CompositeBus.sys
\SystemRoot\system32\DRIVERS\AgileVpn.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\rassstp.sys
\SystemRoot\system32\drivers\swenum.sys
\SystemRoot\system32\drivers\ks.sys
\SystemRoot\system32\DRIVERS\umbus.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\RTKVHD64.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\drivers\ksthunk.sys
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\System32\Drivers\usbvideo.sys
\SystemRoot\system32\DRIVERS\pgeffect.sys
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\Drivers\dump_iaStor.sys
\SystemRoot\System32\Drivers\dump_dumpfve.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\system32\DRIVERS\monitor.sys
\SystemRoot\System32\TSDDD.dll
\SystemRoot\System32\cdd.dll
\SystemRoot\system32\drivers\luafv.sys
\SystemRoot\system32\drivers\WudfPf.sys
\SystemRoot\system32\DRIVERS\lltdio.sys
\SystemRoot\system32\DRIVERS\nwifi.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\rspndr.sys
\SystemRoot\system32\drivers\HTTP.sys
\SystemRoot\System32\DRIVERS\srvnet.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb10.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\SystemRoot\System32\DRIVERS\srv2.sys
\SystemRoot\System32\DRIVERS\srv.sys
\SystemRoot\system32\drivers\peauth.sys
\SystemRoot\System32\Drivers\secdrv.SYS
\SystemRoot\System32\drivers\tcpipreg.sys
\SystemRoot\system32\DRIVERS\0286425drv.sys
\??\C:\Windows\system32\drivers\mbamchameleon.sys
\??\C:\Windows\system32\drivers\MBAMSwissArmy.sys
\Windows\System32\ntdll.dll
\Windows\System32\smss.exe
\Windows\System32\apisetschema.dll
----------- End -----------
Done!
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xfffffa8004ce1060
Upper Device Driver Name: \Driver\Disk\
Lower Device Name: \Device\Ide\IAAStorageDevice-1\
Lower Device Object: 0xfffffa80049db050
Lower Device Driver Name: \Driver\iaStor\
<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xfffffa8004ce1060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa8004ce1b90, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa8004ce1060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa80049db050, DeviceName: \Device\Ide\IAAStorageDevice-1\, DriverName: \Driver\iaStor\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 1905EFC6

Partition information:

Partition 0 type is Other (0x27)
Partition is ACTIVE.
Partition starts at LBA: 2048 Numsec = 819200
Partition file system is NTFS
Partition is bootable

Partition 1 type is Primary (0x7)
Partition is NOT ACTIVE.
Partition starts at LBA: 821248 Numsec = 732573696

Partition 2 type is Primary (0x7)
Partition is NOT ACTIVE.
Partition starts at LBA: 733394944 Numsec = 731752448

Partition 3 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0

Disk Size: 750156374016 bytes
Sector size: 512 bytes

Scanning physical sectors of unpartitioned space on drive 0 (1-2047-1465129168-1465149168)...
Done!
Read File: File "c:\programdata\avg2013\chjw\46ec1ef5ec1edecd.dat:fc301107-07b1-4758-8df5-0e19cacacd68" is sparse (flags = 32768)
Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ --> [Trojan.0Access]
Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \... --> [Trojan.0Access]
Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\??? --> [Trojan.0Access]
Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758} --> [Trojan.0Access]
Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\@ --> [Trojan.0Access]
Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\l --> [Trojan.0Access]
Infected: c:\program files (x86)\google\desktop\install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\u --> [Trojan.0Access]
Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U\00000002.@ --> [Trojan.0Access]
Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U\80000000.@ --> [Trojan.0Access]
Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U\80000001.@ --> [Trojan.0Access]
Infected: c:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\ \...\???\{134d0dca-cd89-0afe-ddd1-77f2d6495758}\U\800000cb.@ --> [Trojan.0Access]
Infected: C:\Program Files (x86)\Google\Desktop\Install\{134d0dca-cd89-0afe-ddd1-77f2d6495758} --> [Trojan.0Access]
Scan finished
Creating System Restore point...
Cleaning up...
Executing an action fixdamage.exe...
Success!
Queuing an action fixdamage.exe
Removal scheduling successful. System shutdown needed.
System shutdown occurred
=======================================


Removal queue found; removal started
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR_0_i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\Bootstrap_0_0_2048_i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR_0_r.mbam...
Removal finished
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.07.0.1005

(c) Malwarebytes Corporation 2011-2012

OS version: 6.1.7601 Windows 7 Service Pack 1 x64

Account is Administrative

Internet Explorer version: 9.0.8112.16421

Java version: 1.6.0_20

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
CPU speed: 2.394000 GHz
Memory total: 4146774016, free: 2937950208

=======================================
0
Réponse 7 / 11
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
14 sept. 2013 à 16:26
Et le lien :
https://pjjoint.malekal.com/files.php?id=20130914_13o8m11y7x15

Du coup je suppose que ça a marché!
Je te remercie pour toutes ces manips que j'aurai jms trouvé toute seule!

Dernières questions:
- Que dois-je faire des fichiers RK quarantine et mbar sur mon bureau?
(Je dois supprimer les fichier en quantaine?)
- Est ce que ce rapport nous donne la raison de la contamination?
- Et comment eviter de me refaire infecter? (quel anti-virus ou autre?) ->Est ce que ces systèmes qu'on a utilisé me protègent toujours ou est-ce une procédure a appliquer qu'en cas d'infection?


Merci bcp pour ton aide.
0
Réponse 8 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
15 sept. 2013 à 03:06
Tu peux supprimer.

Passe Eset Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner] puis patiente (PAS besoin de copier/coller le rapport ici).
Quand cela est terminé, clic sur [Nettoyage].
!!! je répète faire [Nettoyage] !!!


~~


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


0
Réponse 9 / 11
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
15 sept. 2013 à 15:28
Salut,

Je viens de passer Eset Repair.
Par contre, pour lancer AdwCleaner, AVG me reporte une menace de sa part, et me supprime l'application quand je mets supprimer la menace...

Aussi hier, croyant que les manips étaient finies je suis retournée sur internet et mon ordi a été repris d'assaut par des trucs qui se sont installés tous seuls lorsque j'ai voulu mettre à jour mon adobe flash player... AVG a tilté et a "supprimé les menaces" et je suis allée desinstaller les programmes qui se sont installés tous seuls ...

Est ce que je dois donc tout recommancer depuis le debut?
Ou je continue?
Dans ce cas la je dois ignorer la menace de AdwCleaner détectée par AGV?

(dsl.... et merci encore!!!
Promis maintenant je touche plus rien tant que tu me dit pas que c'est completement fini)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
15 sept. 2013 à 15:31
qui se sont installés tous seuls lorsque j'ai voulu mettre à jour mon adobe flash player.

Tu es sûr que c'est le vrai Adobe Flash ?
Regarde là, y a des faux : https://www.malekal.com/adwares-pup-protection/

Pour AVG, oui tu peux désactiver le temps d'utiliser AVG.
0
Réponse 10 / 11
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
15 sept. 2013 à 15:40
Heeuu non je suis pas sure...
Dans les programmes et fonctionnalités j'ai :
Adobe AIR
Adobe flash player 11 ActiveX
Adobe flash player 11 Plugin
Adobe Reader X (10.1.8) - français

Je dois faire quoi? les garder ou desinstaller?

Et est ce que tu crois que je dois recommancer les manip d'hier (peut etre que j'ai recontaminé mon ordi avec ma connerie....)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
15 sept. 2013 à 16:01
non c'est bon :)
0
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
15 sept. 2013 à 16:02
ok j'ai passé AdwCleaner !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
15 sept. 2013 à 16:02
ok retour aux conseils alors :)
=> https://forums.commentcamarche.net/forum/affich-28711936-infectee-par-generic34-bqeh-zeroaccess-sirefef#9
0
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
15 sept. 2013 à 16:16
Je suis en train de faire un "examen rapide" av le malwarebytes
0
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
15 sept. 2013 à 16:23
Dans la vidéo tutorel, j'ai pas bien compris l'étape ou tu cliques sur "propriété" de malwarebytes et "rechercher la cible" et copier collé nommé 'coincoin'.. lol

Sinon il vient de me trouver 12 éléments qui sont tous des PUP !!lol
Je les selectionne et les suprime.
0
Réponse 11 / 11
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
15 sept. 2013 à 16:53
Ok donc là, il me reste à :

- mettre à jour Java et Adobe, selon tes liens & conseils
- retirer Java des navigateurs web (mais ca ne m'empechera pas de voir certaine page? ou mal?)
- installer HOST anti PUP en désactivant le client DNS (je ne sais meme pas ce que c'est.. :o) )

Et.... ça devrait aller?

Qu'en est-il de AVG? En gros ça arrete le plus gros mais malwarebytes est bien plus performant?

Dernière question... si j'ai choppé ces trucs c'est que je me suis mise à regarder des séries en streaming en passant par un débrideur (par g.chrome)...
Avant j'utilisais torrent.
Il y a t-il une manière de regarder une série sans se faire chopper par HADOPI ni mettre son ordi en danger? ou faut-il acheter un Mac?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
15 sept. 2013 à 17:10
Tu es allé sur quel site ?
0
Manonls Messages postés 13 Date d'inscription samedi 14 septembre 2013 Statut Membre Dernière intervention 15 septembre 2013
15 sept. 2013 à 20:06
Je ne peux plus te répondre mes reponses n'apparaissent jamais...
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
TROJAN win32/Sirefef!cfg
septimus -
sawpas -

5 réponses
HELP! Comment supprimer le virus Trojan.Sirefef.YS ?!
Akram64 -
Malekal_morte- -

22 réponses
Infectée par Adware.Agent !
Leila -
Leila -

8 réponses
USB Infectée !
Kimia77 -
Pierrecastor -

8 réponses