hernan

RogueKiller V7.1.0 [15/02/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/46) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Mss test [Droits d'admin] Mode: Recherche -- Date: 18/02/2012 17:35:02 ¤¤¤ Processus malicieux: 1 ¤¤¤ [sUSP PATH] LVPrcInj06.dll -- C:\Windows\TEMP\logishrd\LVPrcInj06.dll -> UNLOADED ¤¤¤ Entrees de registre: 4 ¤¤¤ [bLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> FOUND [sUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe "C:\Users\Mss test\winlogon.exe") -> FOUND [sUSP PATH] HKUS\S-1-5-21-4058965702-771261026-2875000330-1000[...]\Winlogon : Shell (explorer.exe "C:\Users\Mss test\winlogon.exe") -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:50424) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ÿþ1 ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST350083 0AS SCSI Disk Device +++++ --- User --- [MBR] 6badeaa3e7cffcbcabe2642fd046d029 [bSP] dbedff79bdd0ba8d28041660b7dee161 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12288 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25167872 | Size: 464650 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt RogueKiller V7.1.0 [15/02/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/46) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Mss test [Droits d'admin] Mode: Suppression -- Date: 18/02/2012 17:36:08 ¤¤¤ Processus malicieux: 1 ¤¤¤ [sUSP PATH] LVPrcInj06.dll -- C:\Windows\TEMP\logishrd\LVPrcInj06.dll -> UNLOADED ¤¤¤ Entrees de registre: 3 ¤¤¤ [bLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> DELETED [sUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe "C:\Users\Mss test\winlogon.exe") -> DELETED [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:50424) -> NOT REMOVED, USE PROXYFIX ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ÿþ1 ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST350083 0AS SCSI Disk Device +++++ --- User --- [MBR] 6badeaa3e7cffcbcabe2642fd046d029 [bSP] dbedff79bdd0ba8d28041660b7dee161 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12288 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25167872 | Size: 464650 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt RogueKiller V7.1.0 [15/02/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/46) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Mss test [Droits d'admin] Mode: HOSTS RAZ -- Date: 18/02/2012 17:36:56 ¤¤¤ Processus malicieux: 1 ¤¤¤ [sUSP PATH] LVPrcInj06.dll -- C:\Windows\TEMP\logishrd\LVPrcInj06.dll -> UNLOADED ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ÿþ1 ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt RogueKiller V7.1.0 [15/02/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/46) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Mss test [Droits d'admin] Mode: Proxy RAZ -- Date: 18/02/2012 17:37:52 ¤¤¤ Processus malicieux: 1 ¤¤¤ [sUSP PATH] LVPrcInj06.dll -- C:\Windows\TEMP\logishrd\LVPrcInj06.dll -> UNLOADED ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Entrees de registre: 1 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:50424) -> DELETED Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt RogueKiller V7.1.0 [15/02/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/46) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Mss test [Droits d'admin] Mode: DNS RAZ -- Date: 18/02/2012 17:38:09 ¤¤¤ Processus malicieux: 1 ¤¤¤ [sUSP PATH] LVPrcInj06.dll -- C:\Windows\TEMP\logishrd\LVPrcInj06.dll -> UNLOADED ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Entrees de registre: 0 ¤¤¤ Termine : << RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt RogueKiller V7.1.0 [15/02/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/46) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Mss test [Droits d'admin] Mode: DNS RAZ -- Date: 18/02/2012 17:38:13 ¤¤¤ Processus malicieux: 1 ¤¤¤ [sUSP PATH] LVPrcInj06.dll -- C:\Windows\TEMP\logishrd\LVPrcInj06.dll -> UNLOADED ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Entrees de registre: 0 ¤¤¤ Termine : << RKreport[6].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt RogueKiller V7.1.0 [15/02/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/46) Blog: tigzy-RK Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Mss test [Droits d'admin] Mode: Raccourcis RAZ -- Date: 18/02/2012 17:39:56 ¤¤¤ Processus malicieux: 1 ¤¤¤ [sUSP PATH] LVPrcInj06.dll -- C:\Windows\TEMP\logishrd\LVPrcInj06.dll -> UNLOADED ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Attributs de fichiers restaures: ¤¤¤ Bureau: Success 0 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 1733 / Fail 0 Menu demarrer: Success 1 / Fail 0 Dossier utilisateur: Success 4915 / Fail 0 Mes documents: Success 0 / Fail 0 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 7748 / Fail 0 Sauvegarde: [FOUND] Success 0 / Fail 0 Lecteurs: [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored [D:] \Device\CdRom0 -- 0x5 --> Skipped [E:] \Device\HarddiskVolume3 -- 0x2 --> Restored [F:] \Device\HarddiskVolume4 -- 0x2 --> Restored [G:] \Device\HarddiskVolume5 -- 0x2 --> Restored [H:] \Device\HarddiskVolume6 -- 0x2 --> Restored ¤¤¤ Infection : Rogue.FakeHDD ¤¤¤ Termine : << RKreport[7].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt

Bonjour à tous, je vous explique mon souci : depuis trois jours quand j'allume mon PC, l'écran est totalement noir, aucune icone sur du bureau n'est visible ni le menu "démarrer". J'ai uniquement une fenêtre "mss test" qui apparait d'où je peux aller chercher l'icone internet pour pouvoir me connecter. J'ai peur d'avoir été infecté, pouvez-vous m'aider à régler ce problème ..... d'avance merci.

Petit topo de la situation : J'ai bien effectué ce que tu m'as dis, le virus semble s'être envolé vers le paradis des virus ..... mais ... parcequ'il y a un mais, je n'ai plus de connection internet. Là, j'écris depuis un autre ordi, depuis un autre domicile. J'ai bien essayé de réparer manuellement mais aucun réseu n'est détecté. Je me retrouve avec un PC nettoyé mais inutilisable.

Ok chef, je t'attends. Tiens je viens de m'apercevoir que le nouvel inscrit ade84 a exactement le même problème que moi.

Il me dit que je n'ai pas l'autorisation d'enregistrer dans le dossier C: \ Program Files \ Malwarebytes 'Anti-Malware et me demande si il peut l'enregistrer dans Mss Test.

Bon, j'ai fait ce que tu m'a dis, mais au bout de 20 minutes l'analyse s'arrête me disant que RKill a stoppé le scan. Tu as donc une proposition à me faire

C'est toujours impossible. Le même encadré rouge Securité Tool me l'interdit.

Impossible de désactiver MalwareBytes. "Vos droits d'accés ne sont pas suffisants pour supprimer MalwareBytes AntiMalware de la liste Programmes et Fonctionnalités. Contactez votre administrateur système"

Oui ça ressemble à ça. Et en plus une icône rouge est présente et un encadré rouge avec le message que je t'ai cité ultérieurement empêche le démarrage de tous les programmes. Pour l'instant, impossible de lancer RKill.

C'est quoi un crack ? Le "truc" à l'air de s'appeler Securité Tool Avertissement. Et malheureusement je n'ai que ce PC à disposition.

Apollo, tu es confronté à une mission périeuse. Aucun programme ne peut être lancé. Ni ComboFix (que j'ai pu enregistrer tout de même), ni paint, ni rien du tout. Je sais pas quoi faire là.

Bon ..... La poisse ultime. Maintenant, à chaque fois que j'essaye de lancer Navilog1 (ou malwarebytes d'ailleurs) un message soi disant de sécurité m'informe, je cite : "qu'un virus essaye de capter mes données de carte de crédit pour brancher un hôte éloigné". Evidemment cela bloque le lancement des programmes cités plus haut. Help me

Salut Apollo, je reviens vers toi aujourd'hui car il m'était impossible de me connecter hier (cause d'emploi du temps, rien à voir avec une quelconque anomalie du PC). J'ai bien télécharger Navilog1 seulement au moment de l'installation un message de prévention apparaît me signalant que certains PC avaient pu être infectés. J'ai été un peu refroidi, tu me confirme qu'il n'y a aucuns dangers ?

J'ai ceci qui apparaît :

Ok, maintenant voici celui de malwarebytes : Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Version de la base de données: 4678 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18943 24/09/2010 01:26:27 mbam-log-2010-09-24 (01-26-27).txt Type d'examen: Examen rapide Elément(s) analysé(s): 139525 Temps écoulé: 11 minute(s), 25 seconde(s) Processus mémoire infecté(s): 4 Module(s) mémoire infecté(s): 2 Clé(s) du Registre infectée(s): 3 Valeur(s) du Registre infectée(s): 6 Elément(s) de données du Registre infecté(s): 6 Dossier(s) infecté(s): 1 Fichier(s) infecté(s): 34 Processus mémoire infecté(s): C:\Users\Mss test\AppData\Roaming\AnVi\avt.exe (Trojan.FakeAlert) -> Unloaded process successfully. C:\Users\Mss test\AppData\Local\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Unloaded process successfully. C:\Users\Mss test\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Unloaded process successfully. C:\Users\Mss test\wuaucldt.exe (Trojan.Agent) -> Unloaded process successfully. Module(s) mémoire infecté(s): C:\Users\Mss test\AppData\Roaming\AnVi\avthook.dll (Trojan.FakeAlert) -> Delete on reboot. C:\Users\Mss test\AppData\Local\Temp\eapp32hst.dll (Trojan.FakeAV) -> Delete on reboot. Clé(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wuaucldt (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ilvaa (Trojan.Agent.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\24d1ca9a-a864-4f7b-86fe-495eb56529d8 (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://www.cherche.us'>http://www.cherche.us'>http://www.cherche.us'>http://www.cherche.us'>http://www.cherche.us/keyword/'>http://www.cherche.us/keyword/) Good: (http://www.google.com'>http://www.google.com'>http://www.google.com'>http://www.google.com'>http://www.google.com'>http://www.google.com) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully. Dossier(s) infecté(s): C:\Users\Mss test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnVi (Rogue.AntiVirus) -> Quarantined and deleted successfully. Fichier(s) infecté(s): C:\Users\Mss test\Local Settings\Application Data\ilvaa_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. C:\Users\Mss test\Local Settings\Application Data\ilvaa_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. C:\Users\Mss test\Local Settings\Application Data\ilvaa.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. C:\Users\Mss test\Local Settings\Application Data\ilvaa.exe (Adware.Navipromo.H) -> Delete on reboot. c:\Users\Mss test\wuaucldt.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. c:\Users\Mss test\AppData\Local\ilvaa.exe (Trojan.Agent.H) -> Delete on reboot. C:\Users\Mss test\AppData\Roaming\AnVi\avthook.dll (Trojan.FakeAlert) -> Delete on reboot. C:\Users\Mss test\AppData\Local\Temp\eapp32hst.dll (Trojan.FakeAV) -> Delete on reboot. C:\Users\Mss test\AppData\Roaming\AnVi\avt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monmvr32.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\~TMC401.tmp (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\~TMCBED.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\~TMDED5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\dhdhtrdhdrtr5y (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\tmp5DB2.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\tmpC50B.tmp.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\topwesitjh (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\jar_cache1427958728356924448.tmp (Redir.ChercheUs) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\NS3C63.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\xosnamecrw.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\Mss test\majwinternet.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Roaming\apiqfw.dat (Malware.Trace) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully. C:\Users\Mss test\Desktop\nudetube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully. C:\Users\Mss test\Desktop\pornotube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully. C:\Users\Mss test\Desktop\spam001.exe (Malware.Trace) -> Quarantined and deleted successfully. C:\Users\Mss test\Desktop\spam003.exe (Malware.Trace) -> Quarantined and deleted successfully. C:\Users\Mss test\Desktop\troj000.exe (Malware.Trave) -> Quarantined and deleted successfully. C:\Users\Mss test\Desktop\youporn.com.lnk (Rogue.Link) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antivirus.lnk (Rogue.AntiVirus) -> Quarantined and deleted successfully. C:\Users\Mss test\AppData\Local\Temp\0.045459421546773515.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Users\Mss test\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.