Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Help – infection


cardec

Messages recommandés

Bonsoir,

 

Tu ne donnes aucune info sur ton système? (ni si c'est un 32 ou 64 Bits).

 

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur la loupe loupe-334dd63.png pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Ok ça va, j'ai vu dans le rapport. Précision, je serai absent cet après-midi au moins jusqu'à ce soir ou demain, donc ne t'inquiète pas si je ne réponds pas très vite.

 

Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

++

Lien vers le commentaire
Partager sur d’autres sites

OK pour ton absence : je patiente Merci et bonne soirée.

Voilà le rapport AdwCleaner :

 

# AdwCleaner v1.307 - Rapport créé le 16/04/2012 à 20:33:20

# Mis à jour le 19/09/11 à 09h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : BERNARD - MAISON (Administrateur)

# Exécuté depuis : C:\Documents and Settings\BERNARD\Bureau\adwcleaner0.exe

# Option [suppression]

 

 

***** [KillNav] *****

 

# iexplore.exe [PID:12936] -> Tué

 

***** [Processus] *****

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Documents and Settings\BERNARD\Application Data\Agence-Exclusive

Dossier Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\PCTuto

Dossier Supprimé : C:\Program Files\Agence-Exclusive

Dossier Supprimé : C:\Program Files\PCTuto

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\Agence-Exclusive

Clé Supprimée : HKCU\Software\Conduit

Clé Supprimée : HKLM\SOFTWARE\Conduit

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v11.0 (fr)

 

Profil : 4r8j3xa5.default

Fichier : C:\Documents and Settings\BERNARD\Application Data\Mozilla\Firefox\Profiles\4r8j3xa5.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [1055 octets] - [25/09/2011 12:50:09]

AdwCleaner[s1].txt - [1276 octets] - [25/09/2011 12:51:19]

AdwCleaner[s2].txt - [1521 octets] - [16/04/2012 20:33:20]

 

*************************

 

Dossier Temporaire : 26 dossier(s) et 195 fichier(s) supprimé(s)

 

########## EOF - C:\AdwCleaner[s2].txt - [1746 octets] ##########

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Je suis embêté car mon email est en panne depuis ce matin, donc pas de notifications de réponse.

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

++

Lien vers le commentaire
Partager sur d’autres sites

RogueKiller me demande de supprimer 2 éléments avant de quitter : je dois le faire ?????????

 

Voici le rapport :

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: BERNARD [Droits d'admin]

Mode: Recherche -- Date: 17/04/2012 01:34:38

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[sUSP PATH] ALCFDRTM.EXE -- C:\WINDOWS\ALCFDRTM.EXE -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[sUSP PATH] 0.7513190418527698.exe.lnk @BERNARD : C:\WINDOWS\system32\rundll32.exe|C:\DOCUME~1\BERNARD\LOCALS~1\Temp\0.7513190418527698.exe -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[41] : NtCreateKey @ 0x806240F0 -> HOOKED (Unknown @ 0xBA6B8A26)

SSDT[53] : NtCreateThread @ 0x805D1018 -> HOOKED (Unknown @ 0xBA6B8A1C)

SSDT[63] : NtDeleteKey @ 0x8062458C -> HOOKED (Unknown @ 0xBA6B8A2B)

SSDT[65] : NtDeleteValueKey @ 0x8062475C -> HOOKED (Unknown @ 0xBA6B8A35)

SSDT[98] : NtLoadKey @ 0x80626314 -> HOOKED (Unknown @ 0xBA6B8A3A)

SSDT[122] : NtOpenProcess @ 0x805CB440 -> HOOKED (Unknown @ 0xBA6B8A08)

SSDT[128] : NtOpenThread @ 0x805CB6CC -> HOOKED (Unknown @ 0xBA6B8A0D)

SSDT[193] : NtReplaceKey @ 0x806261C4 -> HOOKED (Unknown @ 0xBA6B8A44)

SSDT[204] : NtRestoreKey @ 0x80625AD0 -> HOOKED (Unknown @ 0xBA6B8A3F)

SSDT[247] : NtSetValueKey @ 0x80622662 -> HOOKED (Unknown @ 0xBA6B8A30)

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: SAMSUNG HD501LJ +++++

--- User ---

[MBR] b137ef62670bcb7372f2be2030a17dd5

[bSP] 5c10c5123984f6e80d2cf77999b3fd7d : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo

User = LL1 ... OK!

User != LL2 ... KO!

--- LL2 ---

[MBR] 6b893c47eb73a513a7532a60c86bdecf

[bSP] 0e8f946ecf9f40e8da550e81e65c5ed9 : Whistler/Sinowal MBR Code!

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Oui,

 

relance RogueKiller et clique sur suppression; poste le rapport.

 

--------------

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

sshot-1-2dabd4e.jpg

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

object2scan-2d7aef9.jpg

 

Et coche les 2 options supplémentaires:

 

addoptions-2d7af1d.jpg

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

2663-2-eng-2f88df2.png

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

Si trop long, héberge le rapport sur cjoint.com stp.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Voici le rapportRogueKiller

Je m'occupe de TDSSKILLER dans un moment et je t'envoie le rapport

 

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: BERNARD [Droits d'admin]

Mode: Suppression -- Date: 17/04/2012 19:56:17

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[sUSP PATH] ALCFDRTM.EXE -- C:\WINDOWS\ALCFDRTM.EXE -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[sUSP PATH] 0.7513190418527698.exe.lnk @BERNARD : C:\WINDOWS\system32\rundll32.exe|C:\DOCUME~1\BERNARD\LOCALS~1\Temp\0.7513190418527698.exe -> DELETED

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[41] : NtCreateKey @ 0x806240F0 -> HOOKED (Unknown @ 0xBA6B8A26)

SSDT[53] : NtCreateThread @ 0x805D1018 -> HOOKED (Unknown @ 0xBA6B8A1C)

SSDT[63] : NtDeleteKey @ 0x8062458C -> HOOKED (Unknown @ 0xBA6B8A2B)

SSDT[65] : NtDeleteValueKey @ 0x8062475C -> HOOKED (Unknown @ 0xBA6B8A35)

SSDT[98] : NtLoadKey @ 0x80626314 -> HOOKED (Unknown @ 0xBA6B8A3A)

SSDT[122] : NtOpenProcess @ 0x805CB440 -> HOOKED (Unknown @ 0xBA6B8A08)

SSDT[128] : NtOpenThread @ 0x805CB6CC -> HOOKED (Unknown @ 0xBA6B8A0D)

SSDT[193] : NtReplaceKey @ 0x806261C4 -> HOOKED (Unknown @ 0xBA6B8A44)

SSDT[204] : NtRestoreKey @ 0x80625AD0 -> HOOKED (Unknown @ 0xBA6B8A3F)

SSDT[247] : NtSetValueKey @ 0x80622662 -> HOOKED (Unknown @ 0xBA6B8A30)

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: SAMSUNG HD501LJ +++++

--- User ---

[MBR] b137ef62670bcb7372f2be2030a17dd5

[bSP] 5c10c5123984f6e80d2cf77999b3fd7d : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo

User = LL1 ... OK!

User != LL2 ... KO!

--- LL2 ---

[MBR] 6b893c47eb73a513a7532a60c86bdecf

[bSP] 0e8f946ecf9f40e8da550e81e65c5ed9 : Whistler/Sinowal MBR Code!

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...