Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Page blanche

Roje

Par Roje
dans Analyses et éradication malwares

 Partager

Messages recommandés

Roje Member

Roje

Posté(e)
Posté(e)

Bonjour,

me voilà dans l'impossibilité de régler une nouvelle attaque.

Celle-ci se présente ainsi :

au démarrage ce message apparait : il manque C:\users\mapou\av.ocx l'accès est refusé. (ce n'est pas exactement les termes utilisés parce que ce message apparait et disparaît très rapidement)ensuite la page des "documents" s'ouvre toute seule, remplacée par une page blanche. A ce stade, plus rien ne fonctionne est suis obligé de fermer l'ordinateur à la méthode barbare.

 

Je suis actuellement en mode "sans échec avec le réseau".

 

Dans le forum rien de précis concernant cette attaque ... suis-je le seul à qui cela arrive ? j'en doute.

 

Dans d'autres forums on parle de malware gendarmerie ou police...

 

n'ayant pas installer de logiciels tels que roguekiller ou malwebytes, qu'elle démarche dois-je adopter ?

 

En attendant une réponse de votre part, veuillez agréer mes plus sincères salutations.

 

Roje.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Pour l'instant , on ne sait pas de quoi il s'agit.

 

1)Avant tout, tenter une restauration système à une date antérieure.

 

Lancer la restauration en ligne de commande

 

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 (F5 pour certaines marques de PC)pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

0804151215422955205.jpg

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

 

 

2)

Démarrer en Mode sans échec avec prise en charge du réseau

Télécharger RogueKiller (by tigzy) sur le bureau

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre",

Décocher les éventuels faux positifs, en général les modifications que vous y avez faites.

Laisser coché, si vous le voyez , ce qui concerne InetAccelerator.exe, il s'agit d'un malware.

 

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

 

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

3) Si l'infection persiste:

Démarrer en Mode sans échec avec Invite de commande.

 

Première option,si vous avez le cd Windows:

Lancer Démarrer->Exécuter

SFC /scannow

Le scan devrait pouvoir restaurer le fichier explorer.exe

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Pour Répondre sans recopier le message de votre interlocuteur,

cliquez sur "Ajouter une Réponse" plus bas.

Modifié par pear
Roje Member

Roje

Posté(e)
  • Auteur
Posté(e)

Voilà je crois avoir suivi les instructions que vous m'avez fourni sulement deux points qui n'ont pas fonctionné :

 

- Lancer une restauration cela n'a pas fonctionné

- De plus, AVG 2012, l'antivirus installé sur l'ordinateur n'a pas laissé le choix en mode sans echec, impossible de le désactiver temporairement.

 

Ceci dit j'ai peut être du nouveau: en relançant en mode normal une musique douce, s'échappe de l'ordinateur et lorsque je referme l'ordinateur en mode barbare, j'entreaperçois une seconde que l'antivirus a découvert des menaces. Toujours la même finalement réitérée trois ou quatre fois. LEe nom de cette menace commence par police3, après je n'ai pas le temps de le lire.

 

En relançant c'est toujours le même problème et cela finit sur la page blanche ...

 

 

 

Voici les rapports de scan demandés dans les instructions.

 

 

Premier scan à partir de Roguekiller:

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: Recherche -- Date: 05/05/2012 18:07:59

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 7 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : Kujytuo ("C:\Users\mapou\AppData\Roaming\kujytuo.exe") -> FOUND

[bLACKLIST DLL] HKCU\[...]\Run : Microsoft Antivirus Scanner (rundll32.exe C:\Users\mapou\av.ocx,Init) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-2076924364-2834266567-2299245320-1001[...]\Run : Kujytuo ("C:\Users\mapou\AppData\Roaming\kujytuo.exe") -> FOUND

[bLACKLIST DLL] HKUS\S-1-5-21-2076924364-2834266567-2299245320-1001[...]\Run : Microsoft Antivirus Scanner (rundll32.exe C:\Users\mapou\av.ocx,Init) -> FOUND

[sUSP PATH] ms00834AC7.dat.lnk @mapou : C:\Windows\System32\rundll32.exe|C:\PROGRA~3\ms00834AC7.dat -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS547550A9E384 SATA Disk Device +++++

--- User ---

[MBR] d532a0283056e9ea3b4f9a3c2cffeff9

[bSP] 101e2be7d40538c6174d83bbfc162486 : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14315 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29319168 | Size: 100 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 29523968 | Size: 462523 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

 

second Rapport suite au Host RAZ à partir de Roguekiller:

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: HOSTS RAZ -- Date: 05/05/2012 18:11:20

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

Le troisième rapport suite au Proxy RAZ:

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: Proxy RAZ -- Date: 05/05/2012 18:12:55

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

le rapport à la suite du DNS RAZ:

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: DNS RAZ -- Date: 05/05/2012 18:13:30

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

Le rapport après le Racc.RAZ :

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: Raccourcis RAZ -- Date: 05/05/2012 18:15:12

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 3 / Fail 0

Lancement rapide: Success 1 / Fail 0

Programmes: Success 11 / Fail 0

Menu demarrer: Success 3 / Fail 0

Dossier utilisateur: Success 93 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 195 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[E:] \Device\CdRom0 -- 0x5 --> Skipped

 

¤¤¤ Infection : ¤¤¤

 

 

et enfin le rapport préléminaire de MBAM :

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.05.05.07

 

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)

Internet Explorer 9.0.8112.16421

mapou :: POUMA [administrateur]

 

05/05/2012 19:48:15

mbam-log-2012-05-05 (20-58-54).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 311515

Temps écoulé: 36 minute(s), 5 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Kujytuo (Affiliate.Downloader.AI) -> Données: "C:\Users\mapou\AppData\Roaming\kujytuo.exe" -> Aucune action effectuée.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 8

C:\Users\mapou\AppData\Roaming\kujytuo.exe (Affiliate.Downloader.AI) -> Aucune action effectuée.

C:\ProgramData\ms00834AC7.dat (Trojan.Agent.FRCGen) -> Aucune action effectuée.

C:\Users\mapou\AppData\Local\Temp\00836de1.exe (Rootkit.0Access) -> Aucune action effectuée.

C:\Users\mapou\AppData\Local\Temp\00839aab.exe (Trojan.Agent.FRCGen) -> Aucune action effectuée.

C:\Users\mapou\AppData\Local\Temp\kujytuo.exe (Affiliate.Downloader.AI) -> Aucune action effectuée.

C:\Users\mapou\AppData\Local\Temp\msimg32.dll (Rootkit.0Access) -> Aucune action effectuée.

C:\Users\mapou\Desktop\RK_Quarantine\kujytuo.exe.vir (Affiliate.Downloader.AI) -> Aucune action effectuée.

C:\Users\mapou\Desktop\RK_Quarantine\ms00834AC7.dat.vir (Trojan.Agent.FRCGen) -> Aucune action effectuée.

 

(fin)

 

 

Pour finir le rapport après l'action de MBAM:

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.05.05.07

 

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)

Internet Explorer 9.0.8112.16421

mapou :: POUMA [administrateur]

 

05/05/2012 21:01:30

mbam-log-2012-05-05 (21-01-30).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 311590

Temps écoulé: 3 minute(s), 31 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

pear Devil Member !

pear

Posté(e)
Posté(e)

1)Relancez cette procédure.

 

Sauf erreur vous avez sauté la ligne Suppression.

 

Démarrer en Mode sans échec avec prise en charge du réseau

Télécharger RogueKiller (by tigzy) sur le bureau

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre",

Décocher les éventuels faux positifs, en général les modifications que vous y avez faites.

Laisser coché, si vous le voyez , ce qui concerne InetAccelerator.exe, il s'agit d'un malware.

 

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

2)Télécharger unhide de Grinler

puis lancez le en mode administrateur

sur le bureau

Unhide va restaurer les éléments du Menu Démarrer et de la Barre de lancement rapide (Quick Launch) qui ont été supprimés et stockés dans le dossier %Temp%\smtmp.

 

 

De nouvelles variantes du "rogue" FakeHDD suppriment ces dossiers et en stockent le contenu dans un dossier dont le nom est un chiffre sous %Temp%\smtmp:

par exemple:

%Temp%\smtmp\1\ => %AllUsersProfile%\Start Menu

%Temp%\smtmp\2\ => %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch

%Temp%\smtmp\3\ => %AppData%\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

%Temp%\smtmp\4\ => %AllUsersProfile%\Desktop

Si unhide détecte ces dossiers, il remettra les fichiers à leurs emplacements d'origine.

 

Téléchargez le explorer.exe correspondant à votre système :

Windows Seven SP1

 

Aller dans le dossier C:Windows

Renommer explorer.exe explorer.old

Copier le explorer.exe que vous avez téléchargé

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell.

clic droit shell -> Modifier

Collez le fichier que vous avez téléchargé:

pour avoir:

shell=explorer.exe

 

Redémarrez, vous devriez avoir accès à votre système.

Roje Member

Roje

Posté(e)
  • Auteur
Posté(e)

Ok j'ai, je crois fait les manip' correctement lors de l'utilisation de Roguekiller cette fois-ci.

 

le hic ? c'est qu'il est impossible de renommer l'ancien explorer.exe en .old parce que je ne peux pas déactiver trustedinstaller.Je n'ai donc pas pu suivre la fin des instructions.

 

 

Les rapports sont les suivants :

 

 

RAPPORT 1

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: Recherche -- Date: 06/05/2012 22:06:41

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 7 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : Kujytuo ("C:\Users\mapou\AppData\Roaming\kujytuo.exe") -> FOUND

[bLACKLIST DLL] HKCU\[...]\Run : Microsoft Antivirus Scanner (rundll32.exe C:\Users\mapou\av.ocx,Init) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-2076924364-2834266567-2299245320-1001[...]\Run : Kujytuo ("C:\Users\mapou\AppData\Roaming\kujytuo.exe") -> FOUND

[bLACKLIST DLL] HKUS\S-1-5-21-2076924364-2834266567-2299245320-1001[...]\Run : Microsoft Antivirus Scanner (rundll32.exe C:\Users\mapou\av.ocx,Init) -> FOUND

[sUSP PATH] ms00834AC7.dat.lnk @mapou : C:\Windows\System32\rundll32.exe|C:\PROGRA~3\ms00834AC7.dat -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS547550A9E384 SATA Disk Device +++++

--- User ---

[MBR] d532a0283056e9ea3b4f9a3c2cffeff9

[bSP] 101e2be7d40538c6174d83bbfc162486 : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14315 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29319168 | Size: 100 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 29523968 | Size: 462523 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

RAPPORT 2

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: Suppression -- Date: 06/05/2012 22:08:35

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 5 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : Kujytuo ("C:\Users\mapou\AppData\Roaming\kujytuo.exe") -> DELETED

[bLACKLIST DLL] HKCU\[...]\Run : Microsoft Antivirus Scanner (rundll32.exe C:\Users\mapou\av.ocx,Init) -> DELETED

[sUSP PATH] ms00834AC7.dat.lnk @mapou : C:\Windows\System32\rundll32.exe|C:\PROGRA~3\ms00834AC7.dat -> NOT SELECTED

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS547550A9E384 SATA Disk Device +++++

--- User ---

[MBR] d532a0283056e9ea3b4f9a3c2cffeff9

[bSP] 101e2be7d40538c6174d83bbfc162486 : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14315 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29319168 | Size: 100 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 29523968 | Size: 462523 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

 

RAPPORT 3

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: HOSTS RAZ -- Date: 06/05/2012 22:09:33

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

 

RAPPORT 4

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: DNS RAZ -- Date: 06/05/2012 22:10:30

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

 

RAPPORT 6

 

RogueKiller V7.4.3 [04/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/52)

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: mapou [Droits d'admin]

Mode: Raccourcis RAZ -- Date: 06/05/2012 22:11:51

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 0 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 28 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 1 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[E:] \Device\CdRom0 -- 0x5 --> Skipped

 

¤¤¤ Infection : ¤¤¤

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

 

 

 

ET ENFIN LE RAPPORT DE UNHIDE

 

Unhide by Lawrence Abrams (Grinler)

Bleeping Computer - Computer Help and Discussion

Copyright 2008-2012 BleepingComputer.com

More Information about Unhide.exe can be found at this link:

Unhide.exe - A introduction as to what this program does

 

Program started at: 05/06/2012 10:22:15 PM

Windows Version: Windows 7

 

Please be patient while your files are made visible again.

 

Processing the C:\ drive

Finished processing the C:\ drive. 152741 files processed.

 

The C:\Users\mapou\AppData\Local\Temp\smtmp\ folder does not exist!!

Unhide cannot restore your missing shortcuts!!

Please see this topic in order to learn how to restore default

Start Menu shortcuts: Unhide.exe - A introduction as to what this program does

 

Searching for Windows Registry changes made by FakeHDD rogues.

- Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

* NoActiveDesktopChanges policy was found and deleted!

- Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

 

Restarting Explorer.exe in order to apply changes.

 

Program finished at: 05/06/2012 10:25:49 PM

Execution time: 0 hours(s), 3 minute(s), and 33 seconds(s)

pear Devil Member !

pear

Posté(e)
Posté(e)

Télécharger Webroot AntiZeroAcces

Lancez le:

Répondre Yes (oui) à la question, en tapant sur Y puis Entrée

 

Si le fix trouve l’infection, des lignes rouges doivent apparaître.

WebRoot_ZeroAccess_Remover.png

WebRoot_ZeroAccess_Remover2.png

Le fix vous informe qu’un des fichiers systèmes a été patché et vous propose de le nettoyer.

Tapez Y (oui) et Entrée pour lancer le nettoyage.

Si l’opération a réussi, vous devez avoir le message Cleaned en vert.

WebRoot_ZeroAccess_Remover4.png

Appuyez sur une touche et redémarrer l’ordinateur.

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)
je suis en 64 bits donc ...

 

Ah, oui.J'avais oublié:outch:

 

Nous sommes en recherche de l'infection Zera Acces que Mbam a détectée et possiblement supprimée .

Il doit en rester au moins des séquelles puisque vous ne disposez pas pleinement de votre machine.

 

1)Déplacez à la la racine de C:\ le fichier explorer que vous avez précédemment téléchargé.

2)Télécharger SEAF de C_XX

Double-cliquer sur le fichier SEAF.exe

Suivre les instructions à cocher sur cette fenêtre:

100820111834426050.jpg

Occurences à rechercher, séparées par une virgules ->

Taper

winsrv.dll

consrv.dll

Calculer le cheksum:Md5 .

Cocher Informations suppémentaires

la recherche dure quelques minutes et produit un rapport C:\SEAFlog.txt à poster

 

 

 

 

 

3)Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

 

Cliquer surStart scan pour lancer l'analyse

11092402364444500.jpg

Lorsque l'outil a terminé son travail d'inspection

2727-2-en.png

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

 

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

 

 

4)

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimeretc..

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

 

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié par pear

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...