Aller au contenu
BennyBoom

[Résolu] Infecté par Trojan-BNK.Win32.Keylogger.gen

Messages recommandés

Bonjour,

 

Je viens d'avoir le laptop de ma femme infecté par Trojan-BNK.Win32.Keylogger.gen, suite à cela j'ai trouvé le guide : Un guide et un tutoriel sur l'utilisation de ComboFix , j'ai donc utiliser combofix en suivant scrupuleusement le guide.

J'ai maintenant un rapport d'incident de Combofix que j'aimerais vous soumettre afin de savoir quoi faire car actuellement :

 

Je ne peux lancer aucun navigateur web car on me dit au lancement : "Tentative d'operation non autorisée sur une clé du registre marquée pour suppression "

Et qu'on me dit de ne désinstaller Combofix qu'une fois que l'ordinateur est dit "saint" or pour cela j'aimerai installer un antivirus / un anti malware ou encore passer CCLEANER mais je suis bloqué de la meme maniere lors de l'installation.

 

 

Merci d'avance pour votre aide et vos conseils!

 

Voici le rapport :

 

 

ComboFix 12-01-21.02 - Stéphanie 28/01/2012 14:26:25.1.4 - x86

Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.2038.1176 [GMT 1:00]

Lancé depuis: c:\users\StÚphanie\Desktop\ComboFix.exe

AV: Trend Micro Internet Security *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}

FW: Trend Micro Personal Firewall *Disabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}

SP: Trend Micro Internet Security *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\FullRemove.exe

c:\users\Stéphanie\AppData\Local\pjj.exe

c:\windows\$NtUninstallKB57648$

c:\windows\$NtUninstallKB57648$\1277668631\@

c:\windows\$NtUninstallKB57648$\1277668631\cfg.ini

c:\windows\$NtUninstallKB57648$\1277668631\Desktop.ini

c:\windows\$NtUninstallKB57648$\1277668631\L\xadqgnnk

c:\windows\$NtUninstallKB57648$\1277668631\U\00000001.@

c:\windows\$NtUninstallKB57648$\1277668631\U\00000002.@

c:\windows\$NtUninstallKB57648$\1277668631\U\00000004.@

c:\windows\$NtUninstallKB57648$\1277668631\U\80000000.@

c:\windows\$NtUninstallKB57648$\1277668631\U\80000004.@

c:\windows\$NtUninstallKB57648$\1277668631\U\80000032.@

c:\windows\$NtUninstallKB57648$\1277668631\version

c:\windows\$NtUninstallKB57648$\1742512070

c:\windows\system32\service

c:\windows\system32\service\01042011_TIS17_SfFniAU.log

c:\windows\system32\service\10032011_TIS17_SfFniAU.log

c:\windows\system32\service\13032011_TIS17_PccScan.log

c:\windows\system32\service\14032011_TIS17_SfFniAU.log

c:\windows\system32\service\15032011_TIS17_SfFniAU.log

c:\windows\system32\service\19052011_TIS17_SfFniAU.log

c:\windows\system32\service\21052011_TIS17_SfFniAU.log

c:\windows\system32\service\22012011_TIS17_SfFniAU.log

.

Une copie infectée de c:\windows\system32\drivers\afd.sys a été trouvée et désinfectée

Copie restaurée à partir de - The cat found it :)

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-12-28 au 2012-01-28 ))))))))))))))))))))))))))))))))))))

.

.

2030-01-01 11:19 . 2030-01-01 11:19 -------- d-----w- C:\Boot

2012-01-28 13:38 . 2012-01-28 13:40 -------- d-----w- c:\users\Stéphanie\AppData\Local\temp

2012-01-28 12:07 . 2012-01-28 11:55 512992 ----a-w- C:\fasterpc.exe

2012-01-18 08:33 . 2011-11-17 05:48 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys

2012-01-18 08:33 . 2011-11-17 05:48 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys

2012-01-18 08:33 . 2011-11-17 05:42 369352 ----a-w- c:\windows\system32\drivers\cng.sys

2012-01-18 08:33 . 2011-11-17 05:39 314368 ----a-w- c:\windows\system32\webio.dll

2012-01-18 08:33 . 2011-11-17 05:39 99840 ----a-w- c:\windows\system32\sspicli.dll

2012-01-18 08:33 . 2011-11-17 05:39 15360 ----a-w- c:\windows\system32\sspisrv.dll

2012-01-18 08:33 . 2011-11-17 05:39 224768 ----a-w- c:\windows\system32\schannel.dll

2012-01-18 08:33 . 2011-11-17 05:39 22016 ----a-w- c:\windows\system32\secur32.dll

2012-01-18 08:33 . 2011-11-17 05:38 1037312 ----a-w- c:\windows\system32\lsasrv.dll

2012-01-18 08:33 . 2011-11-17 05:36 22528 ----a-w- c:\windows\system32\lsass.exe

2012-01-15 19:54 . 2012-01-15 19:54 -------- d-----w- c:\users\Stéphanie\AppData\Roaming\dvdcss

2012-01-14 08:03 . 2012-01-14 08:03 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll

2012-01-14 08:03 . 2012-01-14 08:03 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll

2012-01-14 08:03 . 2012-01-14 08:03 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll

2012-01-14 08:03 . 2012-01-14 08:03 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll

2012-01-11 14:51 . 2011-11-19 14:06 67072 ----a-w- c:\windows\system32\packager.dll

2012-01-11 14:51 . 2011-11-17 05:41 1288984 ----a-w- c:\windows\system32\ntdll.dll

2012-01-11 14:51 . 2011-10-26 04:28 1328640 ----a-w- c:\windows\system32\quartz.dll

2012-01-11 14:51 . 2011-10-26 04:28 514560 ----a-w- c:\windows\system32\qdvd.dll

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-11-24 04:23 . 2011-12-14 22:03 2340352 ----a-w- c:\windows\system32\win32k.sys

2011-11-21 09:19 . 2011-06-02 05:33 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-11-05 04:35 . 2011-12-14 22:05 981504 ----a-w- c:\windows\system32\wininet.dll

2011-11-05 04:34 . 2011-12-14 22:04 44544 ----a-w- c:\windows\system32\licmgr10.dll

2011-11-05 04:30 . 2011-12-14 22:03 2048 ----a-w- c:\windows\system32\tzres.dll

2011-11-05 03:28 . 2011-12-14 22:04 386048 ----a-w- c:\windows\system32\html.iec

2011-11-05 02:55 . 2011-12-14 22:04 1638912 ----a-w- c:\windows\system32\mshtml.tlb

2012-01-14 08:03 . 2011-07-05 17:45 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]

@="{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}"

[HKEY_CLASSES_ROOT\CLSID\{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]

@="{618A47A2-528B-4D9A-AFC8-97D3233511E2}"

[HKEY_CLASSES_ROOT\CLSID\{618A47A2-528B-4D9A-AFC8-97D3233511E2}]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Installation Diagnostics"="c:\program files\Brother\Brmfl05a\Brinstck.exe" [2006-11-04 126976]

"RoboForm"="c:\program files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2011-07-09 107000]

"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-11-19 1594664]

"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-11-19 83240]

"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2010-09-16 3058304]

"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"HotkeyMon"="AsusSender.exe" [2010-05-24 35304]

"HotkeyService"="AsusSender.exe" [2010-05-24 35304]

"SuperHybridEngine"="AsusSender.exe" [2010-05-24 35304]

"LiveUpdate"="AsusSender.exe" [2010-05-24 35304]

"CapsHook"="AsusSender.exe" [2010-05-24 35304]

"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2010-06-10 414384]

"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-02-23 1024368]

"GraphicsSwitch"="AsusSender.exe" [2010-05-24 35304]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-05-10 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-05-10 173592]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-05-10 150552]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-08-24 9722472]

"OOBESetup"="c:\program files\asus\OOBERegBackup\OOBERegBackup.exe" [2009-12-11 334848]

"Boingo Wi-Fi"="c:\program files\Boingo\Boingo Wi-Fi\Boingo.lnk" [2011-01-21 2429]

"HTC Sync Loader"="c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2010-10-28 294912]

"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-02-15 622592]

"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2006-07-19 65536]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-06-15 141624]

"ASUSWebStorage"="c:\program files\ASUS\ASUS WebStorage\3.0.108.222\AsusWSPanel.exe" [2011-07-29 737104]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

AsusVibeLauncher.lnk - c:\program files\ASUS\AsusVibe\AsusVibeLauncher.exe [2011-11-15 549040]

Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2010-5-21 828704]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\System32\nvinit.dll

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [2011-07-07 195336]

R3 HTCAND32;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [2009-10-26 25088]

R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [2010-06-23 23040]

R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-08-04 105576]

R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]

R3 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2010-02-23 146448]

R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2010-02-23 497008]

R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2010-02-23 689416]

R3 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2010-02-23 283152]

R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-01-24 1343400]

R4 asushwio;asushwio;c:\windows\system32\drivers\asushwio.sys [1999-03-06 6144]

S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [2010-08-04 19656]

S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2010-03-31 11520]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 AsusService;Asus Launcher Service;c:\windows\System32\AsusService.exe [2009-08-19 219136]

S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [2011-06-15 249648]

S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [2010-09-16 80896]

S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]

S3 btwampfl;Bluetooth AMP USB Filter;c:\windows\system32\drivers\btwampfl.sys [2010-05-21 293928]

S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2010-05-21 33320]

S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2010-07-29 68208]

.

.

--- Autres Services/Pilotes en mémoire ---

.

*NewlyCreated* - ASUSHWIO

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

.

Contenu du dossier 'Tâches planifiées'

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://asus.msn.com

uInternet Settings,ProxyOverride = *.local

IE: Barre RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Enregistrer le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

IE: Personnaliser le menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

IE: Remplir le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

IE: Send image to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Send page to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.1.254

FF - ProfilePath - c:\users\Stéphanie\AppData\Roaming\Mozilla\Firefox\Profiles\5i2fj2wj.default\

FF - prefs.js: network.proxy.type - 0

.

- - - - ORPHELINS SUPPRIMES - - - -

.

Toolbar-Locked - (no file)

HKLM-Run-EeeSplendidAgent - c:\program files\ASUS\EPC\EeeSplendid\AsAgent.exe

.

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'Explorer.exe'(1776)

c:\progra~1\ASUS\ASUSWE~1\30108~1.222\ASUSWS~1.DLL

c:\program files\WIDCOMM\Bluetooth Software\btmmhook.dll

c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\nvvsvc.exe

c:\windows\system32\nvvsvc.exe

c:\windows\system32\WLANExt.exe

c:\windows\system32\conhost.exe

c:\windows\system32\brss01a.exe

c:\windows\system32\taskhost.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe

c:\program files\Trend Micro\Internet Security\SfCtlCom.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\windows\system32\conhost.exe

c:\windows\servicing\TrustedInstaller.exe

c:\program files\Synaptics\SynTP\SynTPHelper.exe

c:\program files\EeePC\HotkeyService\HotKeyMon.exe

c:\program files\EeePC\SHE\SuperHybridEngine.exe

c:\program files\EeePC\HotkeyService\HotkeyService.exe

c:\program files\Asus\LiveUpdate\LiveUpdate.exe

c:\program files\EeePC\CapsHook\CapsHook.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\Boingo\Boingo Wi-Fi\Boingo Wi-Fi.exe

c:\program files\Brother\ControlCenter3\brccMCtl.exe

c:\program files\Brother\Brmfcmon\BrMfimon.exe

c:\program files\WIDCOMM\Bluetooth Software\BtStackServer.exe

c:\program files\iPod\bin\iPodService.exe

c:\windows\system32\sppsvc.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\\?\c:\windows\system32\wbem\WMIADAP.EXE

c:\program files\Common Files\Java\Java Update\jucheck.exe

.

**************************************************************************

.

Heure de fin: 2012-01-28 14:47:23 - La machine a redémarré

ComboFix-quarantined-files.txt 2012-01-28 13:47

.

Avant-CF: 40 407 379 968 octets libres

Après-CF: 40 409 231 360 octets libres

.

- - End Of File - - E718B4ED4F858BD41BE674AB834369BF

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Tu es hardi! ComboFix ne doit pas être utilisé sauf demande d'un conseiller en sécurité; nous sommes relativement vite au courant en cas de bug de cet outil très puissant, mais toi, as-tu accès à ces informations? J'en doute.

 

C'est prendre un très gros risque en cas de problème avec combofix.

 

Tentative d'operation non autorisée sur une clé du registre marquée pour suppression "

Il suffit de rédémarrer le pc quand ce message apparait. >>>

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

Je regarde le rapport CF de plus près.

 

PS: n'utilise JAMAIS de nettoyeur de registre sur un Windows Vista ou 7. Cela peut faire plus de mal que de bien.

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

On désinstallera tous les outils spéciaux en une fois, après désinfection totale; il y a un utilitaire qui fait très bien cela.

 

J'en prends bonne note, je posterai avant d'utiliser combofix la prochaine fois
C'est plus sage car on a l'air fin quand le pc est planté ;)

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

 

Si les raccourcis ont disparu, relance l'outil en mode 6.

Poste le rapport RKreport[2].txt.

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Je viens de lancer roguekiller , voici le rapport :

 

 

RogueKiller V7.0.1 [28/01/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/45)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version

Demarrage : Mode normal

Utilisateur: Stéphanie [Droits d'admin]

Mode: Suppression -- Date : 28/01/2012 15:33:21

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)

[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 54454208b7efa8d1779b706d915d20e2

[bSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 107374 Mo

 

1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 16106 Mo

 

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 126556 Mo

 

3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 21 Mo

 

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

Partager ce message


Lien à poster
Partager sur d’autres sites

Juste pour contrôler si TDSS ou autre rootkit.

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

sshot-1-2dabd4e.jpg

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

object2scan-2d7aef9.jpg

 

Et coche les 2 options supplémentaires:

 

addoptions-2d7af1d.jpg

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

2663-2-eng-2f88df2.png

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

+++

Partager ce message


Lien à poster
Partager sur d’autres sites

Parfait ça!

 

Tu disais que tu étais dans l'impossibilité d'installer un antivirus; est-ce toujours le cas?

 

Je préfère te prévenir que si tu installes la version gratuite d'Antivir, il te collera la toolbar ASK, qui est une grosse saleté qui provoque des dysfonctionnements notoires.

 

Cela s'enlève facilement, mais le hic, c'est que si tu retires cette toolbar, tu n'auras plus le webguard! Je trouve que c'est un chantage inadmissible de la part d'une société de sécurité que de coller un malware... Evidemment, si on achète leur licence, pas de toolbar :D

 

C'est toi qui vois mais c'est très regrettable, c'est le meilleur AV gratuit.

 

Du coup, s'il faut donner des sous, on a le choix et du meilleur ;)

 

1) Télécharger ATF Cleaner par Atribune.

  • Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
     
|MG| ATF Cleaner 3.0.0.2 Download
 
Double-clique ATF-Cleaner.exe afin de lancer le programme.
--> Sous Vista/7: Clic droit/exécuter en temps qu'administrateur.
 
Sous l'onglet Main, choisis : Select All
Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

~~~~~~~~~~~~~~~~~~~

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer clique pour la version FREE et enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

 

|MG| Malwarebytes Anti-Malware 1.60.0.1800 Download

 

param-mbam-3088176.jpg

 

|MG| Malwarebytes Anti-Malware 1.60.0.1800 Download

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Depuis le redémarrage mes navigateur web fonctionnent et je peux installer des logiciels, j'ai installer AVAST 6 mais je suis pas du tout à jour sur les antivirus donc les conseils sont les bienvenus ^^

 

J'ai pas installer antivir donc je vais suivre ton post a partir du point 2.

 

Je fais un compte rendu ensuite ;)

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×