Antivirus security pro
Résolu/Fermé
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
-
27 sept. 2013 à 09:15
alexqui1 - 3 nov. 2013 à 21:36
alexqui1 - 3 nov. 2013 à 21:36
A voir également:
- Malekal antivirus
- Comodo antivirus - Télécharger - Sécurité
- Panda antivirus - Télécharger - Antivirus & Antimalwares
- Desactiver antivirus windows 10 - Guide
- Bitdefender antivirus gratuit - Télécharger - Antivirus & Antimalwares
- Antivirus norton gratuit - Télécharger - Antivirus & Antimalwares
21 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 27/09/2013 à 09:25
Modifié par Malekal_morte- le 27/09/2013 à 09:25
Salut,
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger, notamment en utilisant la barre d'adresse du poste de travail / Mon ordinateur : https://forum.malekal.com/viewtopic.php?t=5472&start=
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger, notamment en utilisant la barre d'adresse du poste de travail / Mon ordinateur : https://forum.malekal.com/viewtopic.php?t=5472&start=
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 09:38
27 sept. 2013 à 09:38
bonjour je peux faire cela meme en mode sans echec
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
27 sept. 2013 à 09:44
27 sept. 2013 à 09:44
si tu veux mais sur la session infectée.
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 10:56
27 sept. 2013 à 10:56
j'ai fais comme tu ma dis mais apres supression sa ma ouvert une page adlice sofware et je n'ai pas trouver le rapport que faire?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
27 sept. 2013 à 11:00
27 sept. 2013 à 11:00
Le rapport est sur le bureau.
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 11:07
27 sept. 2013 à 11:07
RogueKiller V8.6.12 [Sep 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : florence [Droits d'admin]
Mode : Recherche -- Date : 09/27/2013 10:43:57
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 3 ¤¤¤
[SUSP PATH] temp5978989.exe -- C:\Users\florence\AppData\Local\Temp\temp5978989.exe [-] -> TUÉ [TermProc]
[SUSP PATH] RogueKiller.exe -- C:\Users\florence\Desktop\RogueKiller.exe [-] -> TUÉ [TermProc]
[SUSP PATH] RogueKiller.exe -- C:\Users\florence\Desktop\RogueKiller.exe [-] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 8 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Pokki ("%LOCALAPPDATA%\Pokki\Engine\pokki.exe" [7]) -> TROUVÉ
[RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\florence\AppData\Local\Google\Desktop\Install\{9b56abd0-60df-8fa6-dffe-585a12cd468b}\?????????\?????????\?????\{9b56abd0-60df-8fa6-dffe-585a12cd468b}\GoogleUpdate.exe" >) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : CrashReportNotifyer (C:\Users\florence\AppData\Local\Temp\temp5978989.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-575746974-1442816759-3356491121-1002\[...]\Run : Pokki ("%LOCALAPPDATA%\Pokki\Engine\pokki.exe" [7]) -> TROUVÉ
[RUN][ZeroAccess] HKUS\S-1-5-21-575746974-1442816759-3356491121-1002\[...]\Run : Google Update ("C:\Users\florence\AppData\Local\Google\Desktop\Install\{9b56abd0-60df-8fa6-dffe-585a12cd468b}\?????????\?????????\?????\{9b56abd0-60df-8fa6-dffe-585a12cd468b}\GoogleUpdate.exe" >) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-575746974-1442816759-3356491121-1002\[...]\Run : CrashReportNotifyer (C:\Users\florence\AppData\Local\Temp\temp5978989.exe [-]) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 3 ¤¤¤
[V2][SUSP PATH] Dealply : C:\Users\florence\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE - /Check [x] -> TROUVÉ
[V2][SUSP PATH] Updater12765.exe : C:\Users\florence\AppData\Local\Updater12765\Updater12765.exe - /extensionid=12765 /extensionname="Savings Wave" /chromeid=lglkfgcmohcdajpldlnhjjiojjgkbmhm [7][x] -> TROUVÉ
[V2][SUSP PATH] Updater19962.exe : C:\Users\florence\AppData\Local\Updater19962\Updater19962.exe - /extensionid=19962 /extensionname="Supreme Savings" /chromeid=ihkeoookbpemkdccdccdmacnidhooohk [x][x] -> TROUVÉ
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Users\florence\AppData\Local\Google\Desktop\Install [-] --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ST3250310AS ATA Device +++++
--- User ---
[MBR] 5e2a3604987bd70533fad492297f9410
[BSP] bafeaad5a74826470830d22e817dbce8 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8197 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16789504 | Size: 230276 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: \\.\PHYSICALDRIVE1 +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_S_09272013_104357.txt >>
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : florence [Droits d'admin]
Mode : Recherche -- Date : 09/27/2013 10:43:57
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 3 ¤¤¤
[SUSP PATH] temp5978989.exe -- C:\Users\florence\AppData\Local\Temp\temp5978989.exe [-] -> TUÉ [TermProc]
[SUSP PATH] RogueKiller.exe -- C:\Users\florence\Desktop\RogueKiller.exe [-] -> TUÉ [TermProc]
[SUSP PATH] RogueKiller.exe -- C:\Users\florence\Desktop\RogueKiller.exe [-] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 8 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Pokki ("%LOCALAPPDATA%\Pokki\Engine\pokki.exe" [7]) -> TROUVÉ
[RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\florence\AppData\Local\Google\Desktop\Install\{9b56abd0-60df-8fa6-dffe-585a12cd468b}\?????????\?????????\?????\{9b56abd0-60df-8fa6-dffe-585a12cd468b}\GoogleUpdate.exe" >) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : CrashReportNotifyer (C:\Users\florence\AppData\Local\Temp\temp5978989.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-575746974-1442816759-3356491121-1002\[...]\Run : Pokki ("%LOCALAPPDATA%\Pokki\Engine\pokki.exe" [7]) -> TROUVÉ
[RUN][ZeroAccess] HKUS\S-1-5-21-575746974-1442816759-3356491121-1002\[...]\Run : Google Update ("C:\Users\florence\AppData\Local\Google\Desktop\Install\{9b56abd0-60df-8fa6-dffe-585a12cd468b}\?????????\?????????\?????\{9b56abd0-60df-8fa6-dffe-585a12cd468b}\GoogleUpdate.exe" >) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-575746974-1442816759-3356491121-1002\[...]\Run : CrashReportNotifyer (C:\Users\florence\AppData\Local\Temp\temp5978989.exe [-]) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 3 ¤¤¤
[V2][SUSP PATH] Dealply : C:\Users\florence\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE - /Check [x] -> TROUVÉ
[V2][SUSP PATH] Updater12765.exe : C:\Users\florence\AppData\Local\Updater12765\Updater12765.exe - /extensionid=12765 /extensionname="Savings Wave" /chromeid=lglkfgcmohcdajpldlnhjjiojjgkbmhm [7][x] -> TROUVÉ
[V2][SUSP PATH] Updater19962.exe : C:\Users\florence\AppData\Local\Updater19962\Updater19962.exe - /extensionid=19962 /extensionname="Supreme Savings" /chromeid=ihkeoookbpemkdccdccdmacnidhooohk [x][x] -> TROUVÉ
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Users\florence\AppData\Local\Google\Desktop\Install [-] --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ST3250310AS ATA Device +++++
--- User ---
[MBR] 5e2a3604987bd70533fad492297f9410
[BSP] bafeaad5a74826470830d22e817dbce8 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8197 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16789504 | Size: 230276 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: \\.\PHYSICALDRIVE1 +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_S_09272013_104357.txt >>
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
27 sept. 2013 à 11:13
27 sept. 2013 à 11:13
Tu as fait suppression sur RogueKiller ?
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 11:17
27 sept. 2013 à 11:17
oui
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
27 sept. 2013 à 11:18
27 sept. 2013 à 11:18
Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 12:36
27 sept. 2013 à 12:36
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
27 sept. 2013 à 13:10
27 sept. 2013 à 13:10
ok zaccess doit être viré.
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 13:47
27 sept. 2013 à 13:47
a chaque fois sa me met otl ne repond pas
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 13:47
27 sept. 2013 à 13:47
a si c partie
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 14:37
27 sept. 2013 à 14:37
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 14:38
27 sept. 2013 à 14:38
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
27 sept. 2013 à 14:44
27 sept. 2013 à 14:44
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\lwoofer@lyricswoofer.co: C:\Program Files\LyricsWoofer\122.xpi
CHR - Extension: No name found = C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\hggpkhijoeadmdfmlbdepfbngmhaldci\3.5.0.0_0\
CHR - Extension: No name found = C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\hpcfclkhipmmhgnhlcpafgnemnclhefh\1.0_0\
CHR - Extension: No name found = C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.68_0\crossrider
CHR - Extension: No name found = C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.68_0\
[2011/11/10 22:02:08 | 000,000,000 | ---D | M] -- C:\Users\florence\AppData\Roaming\AirDownloaderMain.447DBE4B8352E60C6628BA362FFE0160304ED2DC.1
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]
* poste le rapport ici
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\lwoofer@lyricswoofer.co: C:\Program Files\LyricsWoofer\122.xpi
CHR - Extension: No name found = C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\hggpkhijoeadmdfmlbdepfbngmhaldci\3.5.0.0_0\
CHR - Extension: No name found = C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\hpcfclkhipmmhgnhlcpafgnemnclhefh\1.0_0\
CHR - Extension: No name found = C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.68_0\crossrider
CHR - Extension: No name found = C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.68_0\
[2011/11/10 22:02:08 | 000,000,000 | ---D | M] -- C:\Users\florence\AppData\Roaming\AirDownloaderMain.447DBE4B8352E60C6628BA362FFE0160304ED2DC.1
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]
* poste le rapport ici
flau73
Messages postés
176
Date d'inscription
samedi 13 octobre 2012
Statut
Membre
Dernière intervention
13 novembre 2023
27 sept. 2013 à 16:27
27 sept. 2013 à 16:27
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\lwoofer@lyricswoofer.co not found.
File C:\Program Files\LyricsWoofer\122.xpi not found.
File C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\hggpkhijoeadmdfmlbdepfbngmhaldci\3.5.0.0_0 not found.
File C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\hpcfclkhipmmhgnhlcpafgnemnclhefh\1.0_0 not found.
File C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.68_0\crossrider not found.
File C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.68_0 not found.
C:\Users\florence\AppData\Roaming\AirDownloaderMain.447DBE4B8352E60C6628BA362FFE0160304ED2DC.1 folder moved successfully.
File ptytemp] not found.
File ptyflash] not found.
File sethosts] not found.
File boot] not found.
OTL by OldTimer - Version 3.2.69.0 log created on 09272013_161336
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
========== OTL ==========
Registry value HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\lwoofer@lyricswoofer.co not found.
File C:\Program Files\LyricsWoofer\122.xpi not found.
File C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\hggpkhijoeadmdfmlbdepfbngmhaldci\3.5.0.0_0 not found.
File C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\hpcfclkhipmmhgnhlcpafgnemnclhefh\1.0_0 not found.
File C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.68_0\crossrider not found.
File C:\Users\florence\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.68_0 not found.
C:\Users\florence\AppData\Roaming\AirDownloaderMain.447DBE4B8352E60C6628BA362FFE0160304ED2DC.1 folder moved successfully.
File ptytemp] not found.
File ptyflash] not found.
File sethosts] not found.
File boot] not found.
OTL by OldTimer - Version 3.2.69.0 log created on 09272013_161336
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
27 sept. 2013 à 18:30
27 sept. 2013 à 18:30
Ca doit rouler :)
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bonjour,
J'ai eu le même problème avec l'antivirus security Pro qui bloque toute opération sur l'ordinateur.
J'ai suivi vos conseils et vous joins ci-dessous le rapport.
Merci d'avance pour votre aide,
Angélik
RogueKiller V8.7.1 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : utilisateur [Droits d'admin]
Mode : Recherche -- Date : 10/09/2013 16:36:58
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[Rogue.AntiSpy-ST] npDip9D3.exe -- C:\ProgramData\npDip9D3\npDip9D3.exe[-] -> TUÉ [TermProc]
[ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{555bc48d-66b1-6989-3d8c-bafb9c881e33}\ \...\?????\{555bc48d-66b1-6989-3d8c-bafb9c881e33}\GoogleUpdate.exe" < [x] -> STOPPÉ
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess|Rogue.AntiSpy-ST ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ATA WDC WD10EZEX-07Z SCSI Disk Device +++++
--- User ---
[MBR] b44d045e15d96fb2ac96192dd355daf3
[BSP] a83ce2731a2176452a249e61641756f0 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 2049 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 4200448 | Size: 951817 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_10092013_163658.txt >>
RKreport[0]_D_10092013_163017.txt;RKreport[0]_S_10092013_162947.txt
J'ai eu le même problème avec l'antivirus security Pro qui bloque toute opération sur l'ordinateur.
J'ai suivi vos conseils et vous joins ci-dessous le rapport.
Merci d'avance pour votre aide,
Angélik
RogueKiller V8.7.1 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : utilisateur [Droits d'admin]
Mode : Recherche -- Date : 10/09/2013 16:36:58
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[Rogue.AntiSpy-ST] npDip9D3.exe -- C:\ProgramData\npDip9D3\npDip9D3.exe[-] -> TUÉ [TermProc]
[ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{555bc48d-66b1-6989-3d8c-bafb9c881e33}\ \...\?????\{555bc48d-66b1-6989-3d8c-bafb9c881e33}\GoogleUpdate.exe" < [x] -> STOPPÉ
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess|Rogue.AntiSpy-ST ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ATA WDC WD10EZEX-07Z SCSI Disk Device +++++
--- User ---
[MBR] b44d045e15d96fb2ac96192dd355daf3
[BSP] a83ce2731a2176452a249e61641756f0 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 2049 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 4200448 | Size: 951817 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_10092013_163658.txt >>
RKreport[0]_D_10092013_163017.txt;RKreport[0]_S_10092013_162947.txt
Merci beaucoup pour l'aide !
RogueKiller V8.7.4 [Oct 16 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : FAMILLE PERRIN [Droits d'admin]
Mode : Suppression -- Date : 10/20/2013 11:16:48
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[SERVICE] IBUpdaterService -- C:\Windows\system32\dmwu.exe [x] -> ERROR [1052]
¤¤¤ Entrees de registre : 14 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : AS2014 (C:\ProgramData\WX3Vggp3\WX3Vggp3.exe [x]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2515890783-642273155-4171613916-1001\[...]\Run : AS2014 (C:\ProgramData\WX3Vggp3\WX3Vggp3.exe [x]) -> [0x2] Le fichier spécifié est introuvable.
[SERVICE][BLVALUE] HKLM\[...]\CCSet\[...]\Services : IBUpdaterService (C:\Windows\system32\dmwu.exe [x]) -> SUPPRIMÉ
[SERVICE][BLVALUE] HKLM\[...]\CS001\[...]\Services : IBUpdaterService (C:\Windows\system32\dmwu.exe [x]) -> [0x3] Le chemin d???accès spécifié est introuvable.
[SERVICE][BLVALUE] HKLM\[...]\CS002\[...]\Services : IBUpdaterService (C:\Windows\system32\dmwu.exe [x]) -> SUPPRIMÉ
[HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ST31000524AS +++++
--- User ---
[MBR] f56284a089ad95bf1b1c5e6b368a7166
[BSP] d8c241ca69f7f4ec8b3106ac77be3b68 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 200 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 411648 | Size: 927993 Mo
2 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 1900941312 | Size: 25675 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_10202013_111648.txt >>
RKreport[0]_S_10202013_111641.txt
RogueKiller V8.7.4 [Oct 16 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : FAMILLE PERRIN [Droits d'admin]
Mode : Suppression -- Date : 10/20/2013 11:16:48
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[SERVICE] IBUpdaterService -- C:\Windows\system32\dmwu.exe [x] -> ERROR [1052]
¤¤¤ Entrees de registre : 14 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : AS2014 (C:\ProgramData\WX3Vggp3\WX3Vggp3.exe [x]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2515890783-642273155-4171613916-1001\[...]\Run : AS2014 (C:\ProgramData\WX3Vggp3\WX3Vggp3.exe [x]) -> [0x2] Le fichier spécifié est introuvable.
[SERVICE][BLVALUE] HKLM\[...]\CCSet\[...]\Services : IBUpdaterService (C:\Windows\system32\dmwu.exe [x]) -> SUPPRIMÉ
[SERVICE][BLVALUE] HKLM\[...]\CS001\[...]\Services : IBUpdaterService (C:\Windows\system32\dmwu.exe [x]) -> [0x3] Le chemin d???accès spécifié est introuvable.
[SERVICE][BLVALUE] HKLM\[...]\CS002\[...]\Services : IBUpdaterService (C:\Windows\system32\dmwu.exe [x]) -> SUPPRIMÉ
[HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ST31000524AS +++++
--- User ---
[MBR] f56284a089ad95bf1b1c5e6b368a7166
[BSP] d8c241ca69f7f4ec8b3106ac77be3b68 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 200 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 411648 | Size: 927993 Mo
2 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 1900941312 | Size: 25675 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_10202013_111648.txt >>
RKreport[0]_S_10202013_111641.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
20 oct. 2013 à 11:24
20 oct. 2013 à 11:24
Salut,
Faut faire suppression sur Roguekiller après le scan :)
Faut faire suppression sur Roguekiller après le scan :)
badabeux
Messages postés
1
Date d'inscription
lundi 28 octobre 2013
Statut
Membre
Dernière intervention
28 octobre 2013
28 oct. 2013 à 18:27
28 oct. 2013 à 18:27
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : hélène [Droits d'admin]
Mode : Suppression -- Date : 10/28/2013 18:20:10
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
[Rogue.AntiSpy-ST] sVgsrpng.exe -- C:\ProgramData\sVgsrpng\sVgsrpng.exe[7] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\GoogleUpdate.exe" >) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : AS2014 (C:\ProgramData\sVgsrpng\sVgsrpng.exe [7]) -> SUPPRIMÉ
[RUN][ZeroAccess] HKUS\S-1-5-21-651503249-741795033-3144377725-1001\[...]\Run : Google Update ("C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\GoogleUpdate.exe" >) -> [0xc0000034] Unknown error
[RUN][SUSP PATH] HKUS\S-1-5-21-651503249-741795033-3144377725-1001\[...]\Run : AS2014 (C:\ProgramData\sVgsrpng\sVgsrpng.exe [7]) -> [0x2] Le fichier spécifié est introuvable.
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Users\hélène\AppData\Local\Google\Desktop\Install [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] @ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\@ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\L [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000001.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\00000001.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000002.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\00000002.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 80000000.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\80000000.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 80000001.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\80000001.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 800000cb.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\800000cb.@ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {69d89931-c5cf-5eb2-46d4-5214442c9e2d} : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d} [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????? : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????????? : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\????????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????????? : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\????????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {69d89931-c5cf-5eb2-46d4-5214442c9e2d} : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d} [-] --> SUPPRIMÉ
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS543232L9SA00 ATA Device +++++
--- User ---
[MBR] 457a28f7c718eec9374c3206cbd2e666
[BSP] f33c9ded50e86202ec7340f89466f0c3 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 152622 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 313391104 | Size: 152222 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 4d186890a9c0a2908bc144420aab001c
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 3810 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_10282013_182010.txt >>
RKreport[0]_S_10282013_181914.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : hélène [Droits d'admin]
Mode : Suppression -- Date : 10/28/2013 18:20:10
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
[Rogue.AntiSpy-ST] sVgsrpng.exe -- C:\ProgramData\sVgsrpng\sVgsrpng.exe[7] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\GoogleUpdate.exe" >) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : AS2014 (C:\ProgramData\sVgsrpng\sVgsrpng.exe [7]) -> SUPPRIMÉ
[RUN][ZeroAccess] HKUS\S-1-5-21-651503249-741795033-3144377725-1001\[...]\Run : Google Update ("C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\GoogleUpdate.exe" >) -> [0xc0000034] Unknown error
[RUN][SUSP PATH] HKUS\S-1-5-21-651503249-741795033-3144377725-1001\[...]\Run : AS2014 (C:\ProgramData\sVgsrpng\sVgsrpng.exe [7]) -> [0x2] Le fichier spécifié est introuvable.
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Users\hélène\AppData\Local\Google\Desktop\Install [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] @ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\@ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\L [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000001.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\00000001.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000002.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\00000002.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 80000000.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\80000000.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 80000001.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\80000001.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 800000cb.@ : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U\800000cb.@ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {69d89931-c5cf-5eb2-46d4-5214442c9e2d} : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\?????\{69d89931-c5cf-5eb2-46d4-5214442c9e2d} [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????? : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\?????????\????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????????? : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\?????????\????????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????????? : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d}\????????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {69d89931-c5cf-5eb2-46d4-5214442c9e2d} : C:\Users\hélène\AppData\Local\Google\Desktop\Install\{69d89931-c5cf-5eb2-46d4-5214442c9e2d} [-] --> SUPPRIMÉ
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS543232L9SA00 ATA Device +++++
--- User ---
[MBR] 457a28f7c718eec9374c3206cbd2e666
[BSP] f33c9ded50e86202ec7340f89466f0c3 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 152622 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 313391104 | Size: 152222 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 4d186890a9c0a2908bc144420aab001c
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 3810 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_10282013_182010.txt >>
RKreport[0]_S_10282013_181914.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
29 oct. 2013 à 12:30
29 oct. 2013 à 12:30
Salut,
tu étais aussi infecté par ZeroAccess.
Je te conseille de faire un scan Malwarebyte MBAR et Eset Repair.
Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.
et remettre les services avec Eset Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=
tu étais aussi infecté par ZeroAccess.
Je te conseille de faire un scan Malwarebyte MBAR et Eset Repair.
Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.
et remettre les services avec Eset Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : antoine [Droits d'admin]
Mode : Suppression -- Date : 10/29/2013 18:38:29
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
[Rogue.AntiSpy-ST] XrgaVrpn.exe -- C:\ProgramData\XrgaVrpn\XrgaVrpn.exe[7] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 12 ¤¤¤
[RUN][BLPATH] HKCU\[...]\Run : cacaoweb ("C:\Users\antoine\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : AS2014 (C:\ProgramData\XrgaVrpn\XrgaVrpn.exe [7]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\Run : AS2014 (C:\ProgramData\XrgaVrpn\XrgaVrpn.exe [7]) -> SUPPRIMÉ
[RUN][BLPATH] HKUS\S-1-5-21-2387530036-118184550-565747520-1000\[...]\Run : cacaoweb ("C:\Users\antoine\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2387530036-118184550-565747520-1000\[...]\Run : AS2014 (C:\ProgramData\XrgaVrpn\XrgaVrpn.exe [7]) -> [0x2] Le fichier spécifié est introuvable.
[SHELL][SUSP PATH] HKLM\[...]\Winlogon : userinit (C:\Windows\system32\userinit.exe,,C:\ProgramData\XrgaVrpn\XrgaVrpn.exe -sm, [7][7]) -> REMPLACÉ (C:\Windows\system32\userinit.exe,)
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 5 ¤¤¤
[All Users][HJNAME] winlogon.exe : C:\Users\All Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
[Default][HJNAME] winlogon.exe : C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
[Default User][HJNAME] winlogon.exe : C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
[desktop.ini][HJNAME] winlogon.exe : C:\Users\desktop.ini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
[Public][HJNAME] winlogon.exe : C:\Users\Public\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Inline] ***@*** (pfnSizeRoutines) : RPCRT4.dll -> HOOKED (Unknown @ 0x5E2B661C)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) SAMSUNG HD753LJ SCSI Disk Device +++++
--- User ---
[MBR] 748329fb7ce4515a25a895f616a853d0
[BSP] 4d531efcab3f8d3ab256510bc30aceb3 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 715302 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB Flash Disk USB Device +++++
--- User ---
[MBR] 7217483371bd7a5fbc1c7983cf8cd485
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 32 | Size: 1911 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_10292013_183829.txt >>
RKreport[0]_S_10292013_183613.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : antoine [Droits d'admin]
Mode : Suppression -- Date : 10/29/2013 18:38:29
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
[Rogue.AntiSpy-ST] XrgaVrpn.exe -- C:\ProgramData\XrgaVrpn\XrgaVrpn.exe[7] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 12 ¤¤¤
[RUN][BLPATH] HKCU\[...]\Run : cacaoweb ("C:\Users\antoine\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : AS2014 (C:\ProgramData\XrgaVrpn\XrgaVrpn.exe [7]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\Run : AS2014 (C:\ProgramData\XrgaVrpn\XrgaVrpn.exe [7]) -> SUPPRIMÉ
[RUN][BLPATH] HKUS\S-1-5-21-2387530036-118184550-565747520-1000\[...]\Run : cacaoweb ("C:\Users\antoine\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2387530036-118184550-565747520-1000\[...]\Run : AS2014 (C:\ProgramData\XrgaVrpn\XrgaVrpn.exe [7]) -> [0x2] Le fichier spécifié est introuvable.
[SHELL][SUSP PATH] HKLM\[...]\Winlogon : userinit (C:\Windows\system32\userinit.exe,,C:\ProgramData\XrgaVrpn\XrgaVrpn.exe -sm, [7][7]) -> REMPLACÉ (C:\Windows\system32\userinit.exe,)
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 5 ¤¤¤
[All Users][HJNAME] winlogon.exe : C:\Users\All Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
[Default][HJNAME] winlogon.exe : C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
[Default User][HJNAME] winlogon.exe : C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
[desktop.ini][HJNAME] winlogon.exe : C:\Users\desktop.ini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
[Public][HJNAME] winlogon.exe : C:\Users\Public\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [x] ->
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Inline] ***@*** (pfnSizeRoutines) : RPCRT4.dll -> HOOKED (Unknown @ 0x5E2B661C)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) SAMSUNG HD753LJ SCSI Disk Device +++++
--- User ---
[MBR] 748329fb7ce4515a25a895f616a853d0
[BSP] 4d531efcab3f8d3ab256510bc30aceb3 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 715302 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB Flash Disk USB Device +++++
--- User ---
[MBR] 7217483371bd7a5fbc1c7983cf8cd485
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 32 | Size: 1911 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_10292013_183829.txt >>
RKreport[0]_S_10292013_183613.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
1 nov. 2013 à 13:31
1 nov. 2013 à 13:31
Pour ceux qui rencontrent des difficultés pour supprimer Antivirus Security Pro - voici une page de désinfection : https://www.malekal.com/supprimer-antivirus-security-pro/
mika9999
Messages postés
1
Date d'inscription
vendredi 1 novembre 2013
Statut
Membre
Dernière intervention
1 novembre 2013
1 nov. 2013 à 13:43
1 nov. 2013 à 13:43
Merci pour l'aide, voici mon rapport :
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Michaël [Droits d'admin]
Mode : Recherche -- Date : 11/01/2013 13:23:45
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files\Google\Desktop\Install\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\ \...\?????\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\GoogleUpdate.exe" < [x] -> STOPPÉ
¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Kujytuo ("C:\Users\Michaël\AppData\Roaming\kujytuo.exe" [7]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : AS2014 (C:\ProgramData\37nlpn3V\37nlpn3V.exe [7]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-903661034-840931444-2333447279-1000\[...]\Run : Kujytuo ("C:\Users\Michaël\AppData\Roaming\kujytuo.exe" [7]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-903661034-840931444-2333447279-1000\[...]\Run : AS2014 (C:\ProgramData\37nlpn3V\37nlpn3V.exe [7]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files\Google\Desktop\Install\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\ \...\?????\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files\Google\Desktop\Install\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\ \...\?????\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS003\[...]\Services : ???etadpug ("C:\Program Files\Google\Desktop\Install\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\ \...\?????\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 2 ¤¤¤
[FF][PROXY] rilj541u.default : user_pref("network.proxy.hxxp", "172.16.1.254"); -> TROUVÉ
[FF][PROXY] rilj541u.default : user_pref("network.proxy.hxxp_port", 3128); -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpRtMon.dll : C:\Program Files\Windows Defender\MpRtMon.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpRtPlug.dll : C:\Program Files\Windows Defender\MpRtPlug.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSigDwn.dll : C:\Program Files\Windows Defender\MpSigDwn.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSoftEx.dll : C:\Program Files\Windows Defender\MpSoftEx.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Repertoire] Install : C:\Users\Michaël\AppData\Local\Google\Desktop\Install [-] --> TROUVÉ
[ZeroAccess][Repertoire] Install : C:\Program Files\Google\Desktop\Install [-] --> TROUVÉ
¤¤¤ Driver : [NON CHARGE 0xc000035f] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD1200BEVS-22UST0 +++++
--- User ---
[MBR] 7f851a3949c744bddab05e87c5add3c7
[BSP] babc649acd64bfe2dfaa42c6845e3c82 : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 10244 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20981760 | Size: 104227 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_11012013_132345.txt >>
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Michaël [Droits d'admin]
Mode : Recherche -- Date : 11/01/2013 13:23:45
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files\Google\Desktop\Install\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\ \...\?????\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\GoogleUpdate.exe" < [x] -> STOPPÉ
¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Kujytuo ("C:\Users\Michaël\AppData\Roaming\kujytuo.exe" [7]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : AS2014 (C:\ProgramData\37nlpn3V\37nlpn3V.exe [7]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-903661034-840931444-2333447279-1000\[...]\Run : Kujytuo ("C:\Users\Michaël\AppData\Roaming\kujytuo.exe" [7]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-903661034-840931444-2333447279-1000\[...]\Run : AS2014 (C:\ProgramData\37nlpn3V\37nlpn3V.exe [7]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files\Google\Desktop\Install\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\ \...\?????\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files\Google\Desktop\Install\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\ \...\?????\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS003\[...]\Services : ???etadpug ("C:\Program Files\Google\Desktop\Install\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\ \...\?????\{75a2a174-deaf-18c4-89eb-7a5801befdd8}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 2 ¤¤¤
[FF][PROXY] rilj541u.default : user_pref("network.proxy.hxxp", "172.16.1.254"); -> TROUVÉ
[FF][PROXY] rilj541u.default : user_pref("network.proxy.hxxp_port", 3128); -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpRtMon.dll : C:\Program Files\Windows Defender\MpRtMon.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpRtPlug.dll : C:\Program Files\Windows Defender\MpRtPlug.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSigDwn.dll : C:\Program Files\Windows Defender\MpSigDwn.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSoftEx.dll : C:\Program Files\Windows Defender\MpSoftEx.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Repertoire] Install : C:\Users\Michaël\AppData\Local\Google\Desktop\Install [-] --> TROUVÉ
[ZeroAccess][Repertoire] Install : C:\Program Files\Google\Desktop\Install [-] --> TROUVÉ
¤¤¤ Driver : [NON CHARGE 0xc000035f] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD1200BEVS-22UST0 +++++
--- User ---
[MBR] 7f851a3949c744bddab05e87c5add3c7
[BSP] babc649acd64bfe2dfaa42c6845e3c82 : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 10244 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20981760 | Size: 104227 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_11012013_132345.txt >>
1 oct. 2013 à 19:40
1 oct. 2013 à 20:34
Si tu as Firefox, regarde sur cette page : https://www.malekal.com/sirefef-impossible-de-telecharger-sur-internet-explorer/
sinon tu es obligée de passer par clef USB.
29 oct. 2013 à 12:25