Aller au contenu
Zebulon
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

W32/Ramnit


Zachary

Messages recommandés

Bonjour,

 

Je poste ici car j'aurais besoin d'une réponse rapide sur ce même sujet. Je suis infecté depuis quelques jours par Ramnit, j'ai essayé de faire le rapport de Rogue Killer, j'avais aussi fait une analyse par Dr Web, mais ils ne trouvaient rien de spécial, pas de Ramnit.

 

Voici le rapport Rogue Killer:

 

RogueKiller V6.2.0 [12/12/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/39)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: matthieu [Droits d'admin]

Mode: Recherche -- Date : 23/12/2011 02:16:49

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 7 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : NljGarck (C:\Users\matthieu\AppData\Local\ffutpost\nljgarck.exe) -> FOUND

[sUSP PATH] HKUS\.DEFAULT[...]\Run : NljGarck (C:\Users\matthieu\AppData\Local\ffutpost\nljgarck.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-2156771761-1692502767-990421835-1000[...]\Run : NljGarck (C:\Users\matthieu\AppData\Local\ffutpost\nljgarck.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-18[...]\Run : NljGarck (C:\Users\matthieu\AppData\Local\ffutpost\nljgarck.exe) -> FOUND

[sUSP PATH] HKLM\[...]\Winlogon : Userinit (C:\Windows\system32\userinit.exe,,C:\Users\matthieu\AppData\Local\ffutpost\nljgarck.exe) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

--- User ---

[MBR] eba62292dd1b0ec2adf82e928077338f

[bSP] a7a006b276a50fc698c870b05658fa75 : MBR Code unknown

Partition table:

0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 20948760 | Size: 239330 Mo

1 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 63 | Size: 10725 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

Je ne sais pas décrypter les rapports, si quelqu'un pourrait m'aider ce serait génial, je n'ai pas trop envie que mon ordinateur décède maintenant.

 

Edit: je n'arrive plus à faire l'accent circonflexe et une fenetre intempestive clignote au démarrage, avec un nom du type hguedhujhqjhghjgjhjhq.exe, je suis assez perdu face à tout ça.

 

J'arrive à l'esquiver à chaque fois, mais elle clignote orange dans la barre des taches tout le temps et revient absolument à chaque démarrage.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Relancez Rogue Killer option 2.

 

Télécharger Usb Fix , sur le bureau

ICI

ou

LA

 

Installez le avec les paramètres par défault

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Si vous êtes sous Vista:Désactiver L'UAC ,avant utilisation.

 

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

Pour Désinstaller UsbFix (après la désinfection)

Double clic sur le raccourci sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

 

 

 

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

 

Cliquer surStart scan pour lancer l'analyse

11092402364444500.jpg

Lorsque l'outil a terminé son travail d'inspection

2727-2-en.png

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

 

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

Bonjour Zachary, pear,

 

Voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible.

 

Il est donc préférable de faire héberger de tels rapports, par exemple chez icne2cjoint.png

C'est ce que j'ai fait avec le tien ;)

Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

No problemo !

;)

 

En fait, c'est le gestionnaire de forum IPB 3.1 qui se bloque sur les pages trop volumineuses (une page présente 10 messages, en standard). Par exemple lorsque plusieurs messages contiennent chacun un rapport volumineux. C'est pour ça qu'il faut faire gaffe…

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...