[Résolu] Infection rootkit boo/shertwill.L

icucicu · le 26 novembre 2011

Un scan rapide systeme (disque C:) est en cours, j'en fait un complet dès que fini.

Comment faire un sorte qu'antivir scanne les deux partitions du disque qui a disparu, celui oui boo/shertwill a été detecté ?

Concernant le boo/whistler, a chaque fois qu'antivir l'a detecté, j'ai cliqué sur "supprimer". Serait-il possible qu'antivir ait réussi a en venir a bout, et que ce soit pour cela qu'il n'apparaisse plus dans les scan aswMBR et combofix?

De meme pour le shertwill, j'ai "supprimer", cela aurait-il pu supprimer le virus en meme temps que le code boot permettant d'acceder au disque?

icucicu · le 26 novembre 2011

scan rapide systeme terminé, aucun resultat positif

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 26 novembre 2011  19:15

La recherche porte sur 3590906 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows 7 x64
Version de Windows      : (Service Pack 1)  [6.1.7601]
Mode Boot               : Démarré normalement
Identifiant             : polo
Nom de l'ordinateur     : POLO-PORTABLE

Informations de version :
BUILD.DAT               : 10.2.0.151     35934 Bytes  31/08/2011 09:51:00
AVSCAN.EXE              : 10.3.0.7      484008 Bytes  30/08/2011 17:36:22
AVSCAN.DLL              : 10.0.5.0       56680 Bytes  30/08/2011 17:36:22
LUKE.DLL                : 10.3.0.5       45416 Bytes  30/08/2011 17:36:22
LUKERES.DLL             : 10.0.0.0       13672 Bytes  04/02/2011 10:09:08
AVSCPLR.DLL             : 10.3.0.7      119656 Bytes  30/08/2011 17:36:22
AVREG.DLL               : 10.3.0.9       88833 Bytes  30/08/2011 17:36:22
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 06:35:52
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 14:12:44
VBASE002.VDF            : 7.11.3.0     1950720 Bytes  09/02/2011 10:27:36
VBASE003.VDF            : 7.11.5.225   1980416 Bytes  07/04/2011 10:27:36
VBASE004.VDF            : 7.11.8.178   2354176 Bytes  31/05/2011 10:27:36
VBASE005.VDF            : 7.11.10.251  1788416 Bytes  07/07/2011 10:27:36
VBASE006.VDF            : 7.11.13.60   6411776 Bytes  16/08/2011 16:40:53
VBASE007.VDF            : 7.11.15.106  2389504 Bytes  05/10/2011 16:16:29
VBASE008.VDF            : 7.11.15.107     2048 Bytes  05/10/2011 16:16:29
VBASE009.VDF            : 7.11.15.108     2048 Bytes  05/10/2011 16:16:29
VBASE010.VDF            : 7.11.15.109     2048 Bytes  05/10/2011 16:16:29
VBASE011.VDF            : 7.11.15.110     2048 Bytes  05/10/2011 16:16:30
VBASE012.VDF            : 7.11.15.111     2048 Bytes  05/10/2011 16:16:31
VBASE013.VDF            : 7.11.15.144   161792 Bytes  07/10/2011 17:36:16
VBASE014.VDF            : 7.11.15.177   130048 Bytes  10/10/2011 16:25:00
VBASE015.VDF            : 7.11.15.213   113664 Bytes  11/10/2011 16:25:03
VBASE016.VDF            : 7.11.16.1     163328 Bytes  14/10/2011 15:53:29
VBASE017.VDF            : 7.11.16.34    187904 Bytes  18/10/2011 14:01:53
VBASE018.VDF            : 7.11.16.77    139264 Bytes  20/10/2011 15:31:28
VBASE019.VDF            : 7.11.16.112   162816 Bytes  24/10/2011 21:31:05
VBASE020.VDF            : 7.11.16.150   167424 Bytes  26/10/2011 15:42:31
VBASE021.VDF            : 7.11.16.187   171520 Bytes  28/10/2011 15:51:45
VBASE022.VDF            : 7.11.16.209   190976 Bytes  31/10/2011 15:51:46
VBASE023.VDF            : 7.11.16.243   158208 Bytes  02/11/2011 15:51:46
VBASE024.VDF            : 7.11.17.21    194560 Bytes  06/11/2011 11:23:59
VBASE025.VDF            : 7.11.17.101   202752 Bytes  09/11/2011 15:42:11
VBASE026.VDF            : 7.11.17.137   214528 Bytes  11/11/2011 15:43:40
VBASE027.VDF            : 7.11.17.154   278528 Bytes  14/11/2011 12:35:08
VBASE028.VDF            : 7.11.17.197   175616 Bytes  16/11/2011 17:58:47
VBASE029.VDF            : 7.11.17.233   281088 Bytes  20/11/2011 16:30:49
VBASE030.VDF            : 7.11.18.10    221696 Bytes  22/11/2011 16:30:49
VBASE031.VDF            : 7.11.18.19     54784 Bytes  23/11/2011 16:30:49
Version du moteur       : 8.2.6.116 
AEVDF.DLL               : 8.1.2.2       106868 Bytes  26/10/2011 15:42:36
AESCRIPT.DLL            : 8.1.3.86      471420 Bytes  19/11/2011 16:33:43
AESCN.DLL               : 8.1.7.2       127349 Bytes  15/07/2011 14:13:14
AESBX.DLL               : 8.2.1.34      323957 Bytes  17/07/2011 10:27:36
AERDL.DLL               : 8.1.9.15      639348 Bytes  09/09/2011 18:04:22
AEPACK.DLL              : 8.2.13.4      684406 Bytes  11/11/2011 15:44:55
AEOFFICE.DLL            : 8.1.2.20      201083 Bytes  19/11/2011 16:33:42
AEHEUR.DLL              : 8.1.2.192    3838328 Bytes  19/11/2011 16:33:40
AEHELP.DLL              : 8.1.18.0      254327 Bytes  26/10/2011 15:42:33
AEGEN.DLL               : 8.1.5.14      405877 Bytes  19/11/2011 16:33:29
AEEMU.DLL               : 8.1.3.0       393589 Bytes  15/07/2011 14:13:06
AECORE.DLL              : 8.1.24.0      196983 Bytes  26/10/2011 15:42:32
AEBB.DLL                : 8.1.1.0        53618 Bytes  15/07/2011 14:13:04
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  04/02/2011 10:08:50
AVPREF.DLL              : 10.0.3.2       44904 Bytes  30/08/2011 17:36:22
AVREP.DLL               : 10.0.0.10     174120 Bytes  17/07/2011 10:27:37
AVARKT.DLL              : 10.0.26.1     255336 Bytes  30/08/2011 17:36:21
AVEVTLOG.DLL            : 10.0.0.9      203112 Bytes  30/08/2011 17:36:22
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  17/06/2010 12:28:02
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  04/02/2011 10:08:49
NETNT.DLL               : 10.0.0.0       11624 Bytes  17/06/2010 12:28:01
RCIMAGE.DLL             : 10.0.0.35    2589544 Bytes  30/08/2011 17:36:21
RCTEXT.DLL              : 10.0.64.0     100712 Bytes  30/08/2011 17:36:21

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle rapide du système
Fichier de configuration......................: C:\Program Files (x86)\Avira\AntiVir Desktop\quicksysscan.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé

Début de la recherche : samedi 26 novembre 2011  19:15

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'openvpn.exe' - '1' module(s) sont contrôlés
Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PMB.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FrozenWay.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mswinext.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuschd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PassThruSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
   [iNFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
   [iNFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '192' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\Users\polo'
Recherche débutant dans 'C:\Windows'
Recherche débutant dans 'C:\Users\'
Recherche débutant dans 'C:\Program Files (x86)'
C:\Program Files (x86)\Android\android-sdk\platforms\android-4\images\userdata.img
 [0] Type d'archive: ZIP
 --> object
     [AVERTISSEMENT] Impossible de lire le fichier !
 [AVERTISSEMENT] Impossible de lire le fichier !


Fin de la recherche : samedi 26 novembre 2011  20:01
Temps nécessaire: 46:11 Minute(s)

La recherche a été effectuée intégralement

 30781 Les répertoires ont été contrôlés
548648 Des fichiers ont été contrôlés
     0 Des virus ou programmes indésirables ont été trouvés
     0 Des fichiers ont été classés comme suspects
     0 Des fichiers ont été supprimés
     0 Des virus ou programmes indésirables ont été réparés
     0 Les fichiers ont été déplacés dans la quarantaine
     0 Les fichiers ont été renommés
     0 Impossible de scanner des fichiers
548648 Fichiers non infectés
  2400 Les archives ont été contrôlées
     2 Avertissements
     0 Consignes

Modifié le 26 novembre 2011 par icucicu

icucicu · le 26 novembre 2011

Je lance le scan complet (impossible de scanner les deux partitions H et I qui ont "disparu" par contre)

log du scan complet :


Avira AntiVir Personal
Date de création du fichier de rapport : samedi 26 novembre 2011  20:12

La recherche porte sur 3590906 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows 7 x64
Version de Windows      : (Service Pack 1)  [6.1.7601]
Mode Boot               : Démarré normalement
Identifiant             : polo
Nom de l'ordinateur     : POLO-PORTABLE

Informations de version :
BUILD.DAT               : 10.2.0.151     35934 Bytes  31/08/2011 09:51:00
AVSCAN.EXE              : 10.3.0.7      484008 Bytes  30/08/2011 17:36:22
AVSCAN.DLL              : 10.0.5.0       56680 Bytes  30/08/2011 17:36:22
LUKE.DLL                : 10.3.0.5       45416 Bytes  30/08/2011 17:36:22
LUKERES.DLL             : 10.0.0.0       13672 Bytes  04/02/2011 10:09:08
AVSCPLR.DLL             : 10.3.0.7      119656 Bytes  30/08/2011 17:36:22
AVREG.DLL               : 10.3.0.9       88833 Bytes  30/08/2011 17:36:22
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 06:35:52
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 14:12:44
VBASE002.VDF            : 7.11.3.0     1950720 Bytes  09/02/2011 10:27:36
VBASE003.VDF            : 7.11.5.225   1980416 Bytes  07/04/2011 10:27:36
VBASE004.VDF            : 7.11.8.178   2354176 Bytes  31/05/2011 10:27:36
VBASE005.VDF            : 7.11.10.251  1788416 Bytes  07/07/2011 10:27:36
VBASE006.VDF            : 7.11.13.60   6411776 Bytes  16/08/2011 16:40:53
VBASE007.VDF            : 7.11.15.106  2389504 Bytes  05/10/2011 16:16:29
VBASE008.VDF            : 7.11.15.107     2048 Bytes  05/10/2011 16:16:29
VBASE009.VDF            : 7.11.15.108     2048 Bytes  05/10/2011 16:16:29
VBASE010.VDF            : 7.11.15.109     2048 Bytes  05/10/2011 16:16:29
VBASE011.VDF            : 7.11.15.110     2048 Bytes  05/10/2011 16:16:30
VBASE012.VDF            : 7.11.15.111     2048 Bytes  05/10/2011 16:16:31
VBASE013.VDF            : 7.11.15.144   161792 Bytes  07/10/2011 17:36:16
VBASE014.VDF            : 7.11.15.177   130048 Bytes  10/10/2011 16:25:00
VBASE015.VDF            : 7.11.15.213   113664 Bytes  11/10/2011 16:25:03
VBASE016.VDF            : 7.11.16.1     163328 Bytes  14/10/2011 15:53:29
VBASE017.VDF            : 7.11.16.34    187904 Bytes  18/10/2011 14:01:53
VBASE018.VDF            : 7.11.16.77    139264 Bytes  20/10/2011 15:31:28
VBASE019.VDF            : 7.11.16.112   162816 Bytes  24/10/2011 21:31:05
VBASE020.VDF            : 7.11.16.150   167424 Bytes  26/10/2011 15:42:31
VBASE021.VDF            : 7.11.16.187   171520 Bytes  28/10/2011 15:51:45
VBASE022.VDF            : 7.11.16.209   190976 Bytes  31/10/2011 15:51:46
VBASE023.VDF            : 7.11.16.243   158208 Bytes  02/11/2011 15:51:46
VBASE024.VDF            : 7.11.17.21    194560 Bytes  06/11/2011 11:23:59
VBASE025.VDF            : 7.11.17.101   202752 Bytes  09/11/2011 15:42:11
VBASE026.VDF            : 7.11.17.137   214528 Bytes  11/11/2011 15:43:40
VBASE027.VDF            : 7.11.17.154   278528 Bytes  14/11/2011 12:35:08
VBASE028.VDF            : 7.11.17.197   175616 Bytes  16/11/2011 17:58:47
VBASE029.VDF            : 7.11.17.233   281088 Bytes  20/11/2011 16:30:49
VBASE030.VDF            : 7.11.18.10    221696 Bytes  22/11/2011 16:30:49
VBASE031.VDF            : 7.11.18.19     54784 Bytes  23/11/2011 16:30:49
Version du moteur       : 8.2.6.116 
AEVDF.DLL               : 8.1.2.2       106868 Bytes  26/10/2011 15:42:36
AESCRIPT.DLL            : 8.1.3.86      471420 Bytes  19/11/2011 16:33:43
AESCN.DLL               : 8.1.7.2       127349 Bytes  15/07/2011 14:13:14
AESBX.DLL               : 8.2.1.34      323957 Bytes  17/07/2011 10:27:36
AERDL.DLL               : 8.1.9.15      639348 Bytes  09/09/2011 18:04:22
AEPACK.DLL              : 8.2.13.4      684406 Bytes  11/11/2011 15:44:55
AEOFFICE.DLL            : 8.1.2.20      201083 Bytes  19/11/2011 16:33:42
AEHEUR.DLL              : 8.1.2.192    3838328 Bytes  19/11/2011 16:33:40
AEHELP.DLL              : 8.1.18.0      254327 Bytes  26/10/2011 15:42:33
AEGEN.DLL               : 8.1.5.14      405877 Bytes  19/11/2011 16:33:29
AEEMU.DLL               : 8.1.3.0       393589 Bytes  15/07/2011 14:13:06
AECORE.DLL              : 8.1.24.0      196983 Bytes  26/10/2011 15:42:32
AEBB.DLL                : 8.1.1.0        53618 Bytes  15/07/2011 14:13:04
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  04/02/2011 10:08:50
AVPREF.DLL              : 10.0.3.2       44904 Bytes  30/08/2011 17:36:22
AVREP.DLL               : 10.0.0.10     174120 Bytes  17/07/2011 10:27:37
AVARKT.DLL              : 10.0.26.1     255336 Bytes  30/08/2011 17:36:21
AVEVTLOG.DLL            : 10.0.0.9      203112 Bytes  30/08/2011 17:36:22
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  17/06/2010 12:28:02
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  04/02/2011 10:08:49
NETNT.DLL               : 10.0.0.0       11624 Bytes  17/06/2010 12:28:01
RCIMAGE.DLL             : 10.0.0.35    2589544 Bytes  30/08/2011 17:36:21
RCTEXT.DLL              : 10.0.64.0     100712 Bytes  30/08/2011 17:36:21

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:, F:, G:, 
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé

Début de la recherche : samedi 26 novembre 2011  20:12

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '67' module(s) sont contrôlés
Processus de recherche 'NOTEPAD.EXE' - '27' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '85' module(s) sont contrôlés
Processus de recherche 'openvpn.exe' - '38' module(s) sont contrôlés
Processus de recherche 'plugin-container.exe' - '78' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '120' module(s) sont contrôlés
Processus de recherche 'PMB.exe' - '80' module(s) sont contrôlés
Processus de recherche 'FrozenWay.exe' - '62' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '37' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '70' module(s) sont contrôlés
Processus de recherche 'mswinext.exe' - '98' module(s) sont contrôlés
Processus de recherche 'hpwuschd2.exe' - '20' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '27' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '49' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '62' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '29' module(s) sont contrôlés
Processus de recherche 'PassThruSvr.exe' - '18' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '70' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '47' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
   [iNFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage 'E:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage 'F:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage 'G:\'
   [iNFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '192' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\Program Files (x86)\Android\android-sdk\platforms\android-4\images\userdata.img
 [0] Type d'archive: ZIP
 --> object
     [AVERTISSEMENT] Impossible de lire le fichier !
 [AVERTISSEMENT] Impossible de lire le fichier !
Recherche débutant dans 'D:\' <Linux>
Recherche débutant dans 'E:\' <Ensam>
Recherche débutant dans 'F:\' <Progs>
Recherche débutant dans 'G:\' <Polo>


Fin de la recherche : samedi 26 novembre 2011  21:33
Temps nécessaire:  1:20:16 Heure(s)

La recherche a été effectuée intégralement

 36303 Les répertoires ont été contrôlés
1106839 Des fichiers ont été contrôlés
     0 Des virus ou programmes indésirables ont été trouvés
     0 Des fichiers ont été classés comme suspects
     0 Des fichiers ont été supprimés
     0 Des virus ou programmes indésirables ont été réparés
     0 Les fichiers ont été déplacés dans la quarantaine
     0 Les fichiers ont été renommés
     0 Impossible de scanner des fichiers
1106839 Fichiers non infectés
  7754 Les archives ont été contrôlées
     2 Avertissements
     0 Consignes

pear · le 26 novembre 2011

Bonsoir,

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux

Copier/Coller le contenu dans la réponse

Relancez Rogue Killer

Nettoyage du registre Passer en Mode 2

Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont disparu, relancer en Mode 6[/color]

icucicu · le 26 novembre 2011

Voila le rapport de RogueKiller en mode 1 recherche

RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [url=http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html][RogueKiller] Remontées (1/37)[/url]
Blog: [url=http://tigzyrk.blogspot.com]tigzy-RK[/url]

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: polo [Droits d'admin]
Mode: Recherche -- Date : 26/11/2011 22:38:38

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 7 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:6544) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{95500F39-4E44-4261-AA60-ACA0AA20714B} : NameServer (213.203.124.147,213.30.96.123) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{95500F39-4E44-4261-AA60-ACA0AA20714B} : NameServer (213.203.124.147,213.30.96.123) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


Termine : << RKreport[1].txt >>

ainsi que le rapport de suppression mode 2 :

RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: polo [Droits d'admin]
Mode: Suppression -- Date : 26/11/2011 22:40:25

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 7 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:6544) -> NOT REMOVED, USE PROXYFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{95500F39-4E44-4261-AA60-ACA0AA20714B} : NameServer (213.203.124.147,213.30.96.123) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{95500F39-4E44-4261-AA60-ACA0AA20714B} : NameServer (213.203.124.147,213.30.96.123) -> NOT REMOVED, USE DNSFIX
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Modifié le 26 novembre 2011 par icucicu

pear · le 27 novembre 2011

Bonjour,

Il y a un proxy.

Si c'est vous qui l'avez installé, pas de problème.

Sinon relancez Rogue Killer option4 pour le supprimer.

Si vos partitions ne sont pas réapparues, lancez l'option 6

icucicu · le 27 novembre 2011

Pour le proxy je pense que c'est moi qui l'ai installé oui, je me sert de temps en temps d'un vpn via proxifier + putty.

Dois-je lancer l'option 6?

pear · le 27 novembre 2011

Si c'est vous qui l'avez installé, pas de problème.

Dois-je lancer l'option 6?

oui

Modifié le 27 novembre 2011 par pear

icucicu · le 27 novembre 2011

Voici le log apparu apres execution du mode 6

RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [url=http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html][RogueKiller] Remontées (1/37)[/url]
Blog: [url=http://tigzyrk.blogspot.com]tigzy-RK[/url]

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: polo [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 27/11/2011 21:16:12

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

Attributs de fichiers restaures: 
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 5 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 67 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 662 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\HarddiskVolume4 -- 0x3 --> Restored
[F:] \Device\HarddiskVolume5 -- 0x3 --> Restored
[G:] \Device\HarddiskVolume6 -- 0x3 --> Restored
[J:] \Device\CdRom0 -- 0x5 --> Skipped
[K:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection :  ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

j'ai un screen de la console si besoin

Les partitions ne sont pas réapparues :s

Modifié le 28 novembre 2011 par icucicu

icucicu · le 28 novembre 2011

Dois-je formater mon disque pour pouvoir en récupérer l'acces ? Je perdrais mes données, mais bon au moins je récupere un disque :s

Connexion

Pas encore inscrit ?

[Résolu] Infection rootkit boo/shertwill.L

Messages recommandés

icucicu

icucicu

icucicu

pear

icucicu

pear

icucicu

pear

icucicu

icucicu

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer