Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Aide pour un laptop infecté par le virus Ukash

Haltèrego

Par Haltèrego
dans Analyses et éradication malwares

 Partager

Messages recommandés

Haltèrego Junior Member

Haltèrego

Posté(e)
Posté(e)

Chers internautes, bonjour !

 

Le pc de ma belle-soeur s'est infecté hier. Elle regardait un film en streaming sur le web et bam le virus Ukash lui a rappelé que les sites de streaming ne sont pas les lieux les plus sûrs.. (ça, c'est une bonne chose!). La fenêtre "Police nationale, veuillez payer l'amende de 1000 euros pour avoir vu un film en streaming" s'imposait en premier plan et l'empêchait de faire quoi que ce soit sur le pc.

 

Il s'agit d'un pc portable de 2 ans, tournant sous windows 7 familial premium. Les analyses de Malwarebytes Anti Malware et Spybot Search&Destroy n'ont rien donné. Ccleaner a été lancé également. Enfin, son antivirus Avira a été lancé plusieurs fois et a trouvé plusieurs infections de ce trojan (des fichiers du style wgsgsgsgsgsgs.exe ou .pad ont été mis en quarantaine et provenaient presque tous du dossier Recycle Bin ou Program data). Ces analyses ont été lancées en mode sans échec.

 

La fenêtre initiale du virus (Police nationale blabla) ne s'affiche plus mais toutes les quinze minutes, Avira annonce qu'il vient de détecter une nouvelle menace malgré la mise en quarantaine de nombreux fichiers après les diverses analyses d'Avira. Je me charge de l'aider donc mais étant limité au niveau informatique, je me tourne vers vous pour aider cette charmante demoiselle qui doit continuer à écrire son mémoire... ;)

 

Merci BCP d'avance pour votre aide!

 

H.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

et bon courage, car cela peut être difficile à résoudre.

 

Voici diverses procédures à tenter:

 

Il s'agit d'abord de tenter une Restauration à une date antérieure.

Cela n'a d'intétérêt que si la restauration est restée fonctionnelle et qu'il y a donc des points de restauration.

Si ce n'est pas le cas, passez au point 3)

Deux méthodes possibles:

 

1)Démarrer en mode sans échec

Choisir-> Dernière bonne configuration connue :

Cette option démarre Windows en utilisant une configuration précédente identifiée comme correcte.

 

2)tenter une restauration système à une date antérieure.

Démarrer->Tous les programmes->Accessoires->Outils Systeme->Restauration

si ça bloque:

Lancer la restauration en ligne de commande

 

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

0804151215422955205.jpg

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

120404090713434053.jpg

validez

La restauration devrait se lancer.

Choisissez un point antérieur au problème.

 

 

3)

Démarrer en Mode sans échec avec prise en charge du réseau

Télécharger RogueKiller (by tigzy) sur le bureau

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre",

Décocher les éventuels faux positifs, en général les modifications que vous y avez faites.

Laisser coché, si vous le voyez , ce qui concerne InetAccelerator.exe, il s'agit d'un malware.

 

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

 

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

3) Si l'infection persiste:

Démarrer en Mode sans échec avec Invite de commande.

 

Première option,si vous avez le cd Windows:

Lancer Démarrer->Exécuter

SFC /scannow

Le scan devrait pouvoir restaurer le fichier explorer.exe

 

Sinon, seconde option:

Rechercer c:\Windows \twexx32.dll

et si vous le trouvez

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell dans la colonne de droite

Vous y voyez, comme donnée quelque chose comme C:\Documents and settings\xxxx\Desktop\machin.exe

ou “%Appdata%\mahmud.exe

Ce machin est variable .Notez le

clic droit shell -> Modifier

dans Données remplacer C:\Documents and settings\xxxx\Desktop\machin.exe par c:\Windows \twexx32.dll

 

Remontez à la barre de Regedit->Edition->Rechercher tapez le machin trouvé précédemment

 

Vous devriez le trouver là:

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

et là

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

 

Clic droit sur la ligne où il apparait->Supprimer

Nettoyer:

C:\Documents and settings\xxxx\Desktop\machin.exe

C:\Users\xxxx\AppData\Roaming\mahmud.exe

%Temp%\JhrIdKrdhd8LhgDi8yt.tmp

 

Redémarrer en mode normal

 

Rechercer c:\Windows \twexx32.dll

et si vous le trouvez

Renommez le explorer.exe

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell dans la colonne de droite

clic droit shell -> Modifier

dans Données remplacer twexx32.dll par explorer.exe

 

Sinon,si vous ne trouvez pas twexx32.dll

Téléchargez le explorer.exe correspondant à votre système :

]http://www.malekal.com/download/explorer_XP_SP2.exe] Windows XP SP2/SP3 [/url]

]http://www.malekal.com/download/explorer_Vista_SP2.exe] Windows Vista [/url]

Windows Seven SP1

 

Aller dans le dossier C:Windows

Renommer explorer.exe explorer.old

Copier le explorer.exe que vous avez téléchargé

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell.

clic droit shell -> Modifier

Collez le fichier que vous avez téléchargé:

pour avoir:

shell=explorer.exe

 

Redémarrez, vous devriez avoir accès à votre système.

Haltèrego Junior Member

Haltèrego

Posté(e)
  • Auteur
Posté(e)

J'ai des points de restauration accessibles mais lorsque je lance la restauration (ton point 2), il me dit à la fin de l'opération que la restauration n'a pu être effectuée pour une cause indéterminée. J'ai donc ensuite tenté de passer par l'invite de commande en mode sans échec. J'ai tapé cmd puis à la deuxième, ta ligne et il me dit "C:\Windows\system32\restore\rstrui.exe" n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes". Après 2-3 minutes, il s'est éteint tout seul.

 

Je passe à l'étape 3 tout de même.. Non? il y a un bug qlque part.. ?

 

arrêt soudain du à la batterie faible jpense, aucun souci pour ça.. ;)

Haltèrego Junior Member

Haltèrego

Posté(e)
  • Auteur
Posté(e)

Hello Pear, voici le rapport de roguekiller (je passe à l'étape Nettoyage) :

 

-------

 

RogueKiller V8.4.0 [Dec 14 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Mélissa [Droits d'admin]

Mode : Recherche -- Date : 14/12/2012 14:54:54

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[TASK][sUSP PATH] WxDFastUpdaterTask{A04A629A-24F7-44B8-A49F-FDD6A0CD9926}.job : C:\ProgramData\WxDFastUpdater\ix_updater.exe /schedule /profilepath "C:\ProgramData\WxDFastUpdater\profile.ini" -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1135603449-95191063-4146287357-1000\$c581fc5de5077199fa4a2857de280472\n.) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\n --> TROUVÉ

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\@ --> TROUVÉ

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1135603449-95191063-4146287357-1000\$c581fc5de5077199fa4a2857de280472\@ --> TROUVÉ

[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\U --> TROUVÉ

[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-1135603449-95191063-4146287357-1000\$c581fc5de5077199fa4a2857de280472\U --> TROUVÉ

[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\L --> TROUVÉ

[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-1135603449-95191063-4146287357-1000\$c581fc5de5077199fa4a2857de280472\L --> TROUVÉ

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD3200BPVT-22ZEST0 ATA Device +++++

--- User ---

[MBR] 37991987ccf7297efd96177d781d356c

[bSP] 0cb2addc5835f5536b4721a6eb651c1b : Windows 7/8 MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 291831 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_14122012_145454.txt >>

RKreport[1]_S_14122012_145454.txt

Haltèrego Junior Member

Haltèrego

Posté(e)
  • Auteur
Posté(e)

Voici maintenant le rapport après avoir cliqué sur Suppression dans roguekiller :

(pour info, pas trouvé de "faux positifs" (ou ptet pas pigé ce que c'est) ni de InetAccelerator.exe). Il m'a proposé de redémarrer l'ordinateur après la suppression, j'ai fait non pour continuer tes étapes.

 

-----

 

RogueKiller V8.4.0 [Dec 14 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Mélissa [Droits d'admin]

Mode : Suppression -- Date : 14/12/2012 15:01:23

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[TASK][sUSP PATH] WxDFastUpdaterTask{A04A629A-24F7-44B8-A49F-FDD6A0CD9926}.job : C:\ProgramData\WxDFastUpdater\ix_updater.exe /schedule /profilepath "C:\ProgramData\WxDFastUpdater\profile.ini" -> SUPPRIMÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1135603449-95191063-4146287357-1000\$c581fc5de5077199fa4a2857de280472\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\n --> SUPPRIMÉ AU REBOOT

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\@ --> SUPPRIMÉ AU REBOOT

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1135603449-95191063-4146287357-1000\$c581fc5de5077199fa4a2857de280472\@ --> SUPPRIMÉ

[Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\U\00000004.@ --> SUPPRIMÉ

[Del.Parent][FILE] 00000008.@ : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\U\00000008.@ --> SUPPRIMÉ

[Del.Parent][FILE] 000000cb.@ : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\U\000000cb.@ --> SUPPRIMÉ

[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\U\80000000.@ --> SUPPRIMÉ

[Del.Parent][FILE] 80000032.@ : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\U\80000032.@ --> SUPPRIMÉ

[Del.Parent][FILE] 80000064.@ : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\U\80000064.@ --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\U --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1135603449-95191063-4146287357-1000\$c581fc5de5077199fa4a2857de280472\U --> SUPPRIMÉ

[Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\L\00000004.@ --> SUPPRIMÉ

[Del.Parent][FILE] 201d3dde : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\L\201d3dde --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$c581fc5de5077199fa4a2857de280472\L --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1135603449-95191063-4146287357-1000\$c581fc5de5077199fa4a2857de280472\L --> SUPPRIMÉ

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD3200BPVT-22ZEST0 ATA Device +++++

--- User ---

[MBR] 37991987ccf7297efd96177d781d356c

[bSP] 0cb2addc5835f5536b4721a6eb651c1b : Windows 7/8 MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 291831 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2]_D_14122012_150123.txt >>

RKreport[1]_S_14122012_145454.txt ; RKreport[2]_D_14122012_150123.txt

Haltèrego Junior Member

Haltèrego

Posté(e)
  • Auteur
Posté(e)

Ci-dessous, la rapport Host RAZ

 

---

 

RogueKiller V8.4.0 [Dec 14 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Mélissa [Droits d'admin]

Mode : HOSTS RAZ -- Date : 14/12/2012 15:09:57

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

 

 

Termine : << RKreport[9]_H_14122012_150957.txt >>

RKreport[1]_S_14122012_145454.txt ; RKreport[2]_D_14122012_150123.txt ; RKreport[3]_H_14122012_150456.txt ; RKreport[4]_H_14122012_150544.txt ; RKreport[5]_H_14122012_150552.txt ;

RKreport[6]_H_14122012_150827.txt ; RKreport[7]_S_14122012_150926.txt ; RKreport[8]_D_14122012_150941.txt ; RKreport[9]_H_14122012_150957.txt

 

Voilà le rapport Proxy RAZ

 

--

 

RogueKiller V8.4.0 [Dec 14 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Mélissa [Droits d'admin]

Mode : Proxy RAZ -- Date : 14/12/2012 15:12:18

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

Termine : << RKreport[10]_PR_14122012_151218.txt >>

RKreport[10]_PR_14122012_151218.txt ; RKreport[1]_S_14122012_145454.txt ; RKreport[2]_D_14122012_150123.txt ; RKreport[3]_H_14122012_150456.txt ; RKreport[4]_H_14122012_150544.txt ;

RKreport[5]_H_14122012_150552.txt ; RKreport[6]_H_14122012_150827.txt ; RKreport[7]_S_14122012_150926.txt ; RKreport[8]_D_14122012_150941.txt ; RKreport[9]_H_14122012_150957.txt

 

Voilà mnt le rapport DNS RAZ :

 

---

 

RogueKiller V8.4.0 [Dec 14 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Mélissa [Droits d'admin]

Mode : DNS RAZ -- Date : 14/12/2012 15:13:28

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

Termine : << RKreport[11]_DN_14122012_151328.txt >>

RKreport[10]_PR_14122012_151218.txt ; RKreport[11]_DN_14122012_151328.txt ; RKreport[1]_S_14122012_145454.txt ; RKreport[2]_D_14122012_150123.txt ; RKreport[3]_H_14122012_150456.txt ;

RKreport[4]_H_14122012_150544.txt ; RKreport[5]_H_14122012_150552.txt ; RKreport[6]_H_14122012_150827.txt ; RKreport[7]_S_14122012_150926.txt ; RKreport[8]_D_14122012_150941.txt ;

RKreport[9]_H_14122012_150957.txt

Haltèrego Junior Member

Haltèrego

Posté(e)
  • Auteur
Posté(e)

Le rapport de l'opération Racc. RAZ ci-dessous :

 

--

 

RogueKiller V8.4.0 [Dec 14 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Mélissa [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 14/12/2012 15:16:34

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 1 / Fail 0

Lancement rapide: Success 1 / Fail 0

Programmes: Success 14 / Fail 0

Menu demarrer: Success 1 / Fail 0

Dossier utilisateur: Success 103 / Fail 0

Mes documents: Success 3 / Fail 3

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 16 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 252 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[D:] \Device\CdRom0 -- 0x5 --> Skipped

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

Termine : << RKreport[12]_SC_14122012_151634.txt >>

RKreport[10]_PR_14122012_151218.txt ; RKreport[11]_DN_14122012_151328.txt ; RKreport[12]_SC_14122012_151634.txt ; RKreport[1]_S_14122012_145454.txt ; RKreport[2]_D_14122012_150123.txt ;

RKreport[3]_H_14122012_150456.txt ; RKreport[4]_H_14122012_150544.txt ; RKreport[5]_H_14122012_150552.txt ; RKreport[6]_H_14122012_150827.txt ; RKreport[7]_S_14122012_150926.txt ;

RKreport[8]_D_14122012_150941.txt ; RKreport[9]_H_14122012_150957.txt

Haltèrego Junior Member

Haltèrego

Posté(e)
  • Auteur
Posté(e)

A titre d'info, je suis allé après ces rapports dans l'onglet Fichiers et j'ai constaté que trois fichiers ont été supprimés dont 2 que je voyais tt le tps ds mon rapport d'Avira (antivirus) et que j'arrivais pas trop a supprimer ni a mettre en quarantaine. Bonne info sans doute... :)

 

Je passe à MBAM ..

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...