Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Virus w32/patched.uc

catetmic

Par catetmic
dans Analyses et éradication malwares

 Partager

Messages recommandés

catetmic Power Member

catetmic

Posté(e)
Posté(e)

Bonjour à tous

 

Après plusieurs scan avec antivir, j'ai toujours un résultat positif "w32/patched.uc" et impossible de m'en débarrasser

j'aurais besoins d'un peu d'aide :bigglasses:

Merci

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Zeroaccess!!

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

((Lignes à décocher:celles que vous avez volontairement modifiées)

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des index)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Il y aura 6 rapports à poster

 

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

catetmic Power Member

catetmic

Posté(e)
  • Auteur
Posté(e)

Merci pear ;) voici mon premier rapport :

 

RogueKiller V8.4.0 _x64_ [Dec 15 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mickael [Droits d'admin]

Mode : Recherche -- Date : 17/12/2012 15:00:23

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FOLDER] U : C:\Windows\Installer\{98dcaf16-3887-d869-3e13-26d3fdd32c3c}\U --> TROUVÉ

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 activate.adobe.com

127.0.0.1 practivate.adobe.com

127.0.0.1 ereg.adobe.com

127.0.0.1 activate.wip3.adobe.com

127.0.0.1 wip3.adobe.com

127.0.0.1 activate.wip4.adobe.com

127.0.0.1 wip4.adobe.com

127.0.0.1 3dns-3.adobe.com

127.0.0.1 3dns-2.adobe.com

127.0.0.1 adobe-dns.adobe.com

127.0.0.1 adobe-dns-2.adobe.com

127.0.0.1 adobe-dns-3.adobe.com

127.0.0.1 ereg.wip3.adobe.com

127.0.0.1 activate-sea.adobe.com

127.0.0.1 wwis-dubc1-vip60.adobe.com

127.0.0.1 activate-sjc0.adobe.com

127.0.0.1 wwis-dubc1-vip60.adobe.com

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD10EZRX-00A8LB0 ATA Device +++++

--- User ---

[MBR] c13eb374e992557f81f6b23aabe94325

[bSP] ad7c1930da55425a07c5d7aace9e9ac1 : Windows 7/8 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 482342 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 988043264 | Size: 471424 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Hitachi HDS721616PLA380 ATA Device +++++

--- User ---

[MBR] 8e3af9ebc0e04837ce6fe4a1faa1e016

[bSP] 54ab0828c464779f74b659a062fe11cc : Acer tatooed MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 157064 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_17122012_150023.txt >>

RKreport[1]_S_17122012_150023.txt

catetmic Power Member

catetmic

Posté(e)
  • Auteur
Posté(e)

Dans l'onglet "Registre", décocher les lignes suivantes:

((Lignes à décocher:celles que vous avez volontairement modifiées)

 

Je ne comprend pas ? je n'ai rien modié ?

Quelles sont les lignes a décocher ?

catetmic Power Member

catetmic

Posté(e)
  • Auteur
Posté(e)

RogueKiller V8.4.0 _x64_ [Dec 15 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mickael [Droits d'admin]

Mode : Suppression -- Date : 17/12/2012 15:21:53

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)

[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)

[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{98dcaf16-3887-d869-3e13-26d3fdd32c3c}\U --> SUPPRIMÉ

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 activate.adobe.com

127.0.0.1 practivate.adobe.com

127.0.0.1 ereg.adobe.com

127.0.0.1 activate.wip3.adobe.com

127.0.0.1 wip3.adobe.com

127.0.0.1 activate.wip4.adobe.com

127.0.0.1 wip4.adobe.com

127.0.0.1 3dns-3.adobe.com

127.0.0.1 3dns-2.adobe.com

127.0.0.1 adobe-dns.adobe.com

127.0.0.1 adobe-dns-2.adobe.com

127.0.0.1 adobe-dns-3.adobe.com

127.0.0.1 ereg.wip3.adobe.com

127.0.0.1 activate-sea.adobe.com

127.0.0.1 wwis-dubc1-vip60.adobe.com

127.0.0.1 activate-sjc0.adobe.com

127.0.0.1 wwis-dubc1-vip60.adobe.com

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD10EZRX-00A8LB0 ATA Device +++++

--- User ---

[MBR] c13eb374e992557f81f6b23aabe94325

[bSP] ad7c1930da55425a07c5d7aace9e9ac1 : Windows 7/8 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 482342 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 988043264 | Size: 471424 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Hitachi HDS721616PLA380 ATA Device +++++

--- User ---

[MBR] 8e3af9ebc0e04837ce6fe4a1faa1e016

[bSP] 54ab0828c464779f74b659a062fe11cc : Acer tatooed MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 157064 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2]_D_17122012_152153.txt >>

RKreport[1]_S_17122012_150023.txt ; RKreport[2]_D_17122012_152153.txt

catetmic Power Member

catetmic

Posté(e)
  • Auteur
Posté(e)

RogueKiller V8.4.0 _x64_ [Dec 15 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mickael [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 17/12/2012 15:30:05

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 1 / Fail 0

Lancement rapide: Success 1 / Fail 0

Programmes: Success 18 / Fail 0

Menu demarrer: Success 1 / Fail 0

Dossier utilisateur: Success 77 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 67 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume4 -- 0x3 --> Restored

[E:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[F:] \Device\CdRom0 -- 0x5 --> Skipped

 

Termine : << RKreport[3]_SC_17122012_153005.txt >>

RKreport[1]_S_17122012_150023.txt ; RKreport[2]_D_17122012_152153.txt ; RKreport[3]_SC_17122012_153005.txt

catetmic Power Member

catetmic

Posté(e)
  • Auteur
Posté(e)

je n'ai rien dans les onglets DNS et Proxy,

voici le rapport Racc RAZ :

 

RogueKiller V8.4.0 _x64_ [Dec 15 2012] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : RogueKiller

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mickael [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 17/12/2012 15:40:33

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 0 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 5 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 2 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume4 -- 0x3 --> Restored

[E:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[F:] \Device\CdRom0 -- 0x5 --> Skipped

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

Termine : << RKreport[5]_SC_17122012_154033.txt >>

RKreport[1]_S_17122012_150023.txt ; RKreport[2]_D_17122012_152153.txt ; RKreport[3]_SC_17122012_153005.txt ; RKreport[4]_S_17122012_153528.txt ; RKreport[5]_SC_17122012_154033.txt

pear Devil Member !

pear

Posté(e)
Posté(e)
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT

 

Si vous n'avez pas redémarré, faites le avant de poursuivre avec Mbam.

catetmic Power Member

catetmic

Posté(e)
  • Auteur
Posté(e)

je viens de redémarrer et je lance Mbam ;)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...