CommentCaMarche
Recherche
Posez votre question Signaler

Virus cheval de troie, impossible de supprimer

thesky 18Messages postés samedi 3 novembre 2012Date d'inscription 13 mars 2013Dernière intervention - Dernière réponse le 2 déc. 2012 à 22:59
Bonjour,
Depuis hier j'ai eu un message d'alerte 'Cheval de troie detecter' sof que mon antivirus 'Mc Afee' est dans l'ncapaciter de le(s) suprimmé(s) car pour le supprimer il faut un droit d'administrateur : Elements infectés
Desktop.ini
Emplacement :
C:\windows\assembly\GAC_32\Desktop.ini
Menace detectées :
ZeroAcess.hi ( cheval de troie )
C:\windows\assemby\GAC_64\Desktop.ini
Menace detectées:
ZeroAcess.hi ( cheval de troie )
Lire la suite 
Réponse
+0
moins plus
Bonjour

* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse


Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un
Ajouter un commentaire
Réponse
+0
moins plus
voila,

RogueKiller V8.3.1 [Nov 25 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Alexandre [Droits d'admin]
Mode : Recherche -- Date : 25/11/2012 12:10:17

¤¤¤ Processus malicieux : 5 ¤¤¤
[SUSP PATH] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]
[SUSP PATH] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]
[SUSP PATH] AsScrPro.exe -- C:\Windows\AsScrPro.exe -> TUÉ [TermProc]
[RESIDUE] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]
[RESIDUE] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 6 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{a114766e-9a35-d129-82fb-b46b1194c257}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{a114766e-9a35-d129-82fb-b46b1194c257}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{a114766e-9a35-d129-82fb-b46b1194c257}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST1000LM024 HN-M101MBB +++++
--- User ---
[MBR] 4bab0c1ffb51c050f06eca8810ba3da2
[BSP] 78f7608cc260d6fb4f2411d043dd0570 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 953869 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_25112012_121017.txt >>
RKreport[1]_S_25112012_121017.txt
Ajouter un commentaire
Réponse
+0
moins plus
* ReLancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
Ajouter un commentaire
Réponse
+0
moins plus
apres suppresion :

RogueKiller V8.3.1 [Nov 25 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Alexandre [Droits d'admin]
Mode : Suppression -- Date : 25/11/2012 13:33:09

¤¤¤ Processus malicieux : 7 ¤¤¤
[SUSP PATH] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]
[SUSP PATH] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]
[SUSP PATH] AsScrPro.exe -- C:\Windows\AsScrPro.exe -> TUÉ [TermProc]
[RESIDUE] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]
[RESIDUE] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]
[RESIDUE] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]
[RESIDUE] mngr.exe -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST1000LM024 HN-M101MBB +++++
--- User ---
[MBR] 4bab0c1ffb51c050f06eca8810ba3da2
[BSP] 78f7608cc260d6fb4f2411d043dd0570 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 953869 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[11]_D_25112012_133309.txt >>
RKreport[10]_S_25112012_133117.txt ; RKreport[11]_D_25112012_133309.txt ; RKreport[1]_S_25112012_130159.txt ; RKreport[2]_D_25112012_130234.txt ; RKreport[3]_S_25112012_130710.txt ;
RKreport[4]_D_25112012_130717.txt ; RKreport[5]_S_25112012_131114.txt ; RKreport[6]_D_25112012_131145.txt ; RKreport[7]_S_25112012_131609.txt ; RKreport[8]_S_25112012_131708.txt ;
RKreport[9]_D_25112012_131731.txt
Ajouter un commentaire
Réponse
+0
moins plus
* Télécharge OTL sur ton bureau.

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"


netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
services.exe
/md5stop
%systemroot%\system32\consrv.dll
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
nslookup www.google.fr /c
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
SAVEMBR:0
CREATERESTOREPOINT



* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum

PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Ajouter un commentaire
Réponse
+0
moins plus
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20121125_g11x12r5k10d12

voila
Ajouter un commentaire
Réponse
+0
moins plus
Bingo Services.exe est bien patché.Ont va devoir le remplacer

relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:

:OTL
PRC - C:\Program Files (x86)\Iminent\Iminent.exe (Iminent)
PRC - C:\Program Files (x86)\Iminent\Iminent.Messengers.exe (Iminent)
PRC - C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe ()
MOD - C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe ()
MOD - c:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll ()
SRV - (Browser Manager) -- C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe ()
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2012/11/24 17:58:16 | 000,000,000 | ---D | M]
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.4.9\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files (x86)\Iminent\Iminent.WebBooster.InternetExplorer.dll (Iminent)
O4 - HKLM..\Run: [Iminent] C:\Program Files (x86)\Iminent\Iminent.exe (Iminent)
O4 - HKLM..\Run: [IminentMessenger] C:\Program Files (x86)\Iminent\Iminent.Messengers.exe (Iminent)
O20 - AppInit_DLLs: (c:\progra~3\browse~1\25911~1.18\{c16c1~1\mngr.dll) - c:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll ()
[2012/11/24 17:58:17 | 000,000,000 | ---D | C] -- C:\Users\Alexandre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Browser Manager
[2012/11/24 17:58:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Browser Manager
[2012/11/24 17:57:30 | 000,000,000 | ---D | C] -- C:\Users\Alexandre\AppData\Roaming\BabylonToolbar
[2012/11/24 17:57:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BabylonToolbar
[2012/11/24 17:56:47 | 000,000,000 | ---D | C] -- C:\Users\Alexandre\AppData\Roaming\Babylon
[2012/11/24 17:56:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
[2012/11/16 23:43:10 | 000,000,000 | ---D | C] -- C:\Users\Alexandre\AppData\Roaming\Iminent
[2012/11/16 23:42:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Iminent
[2012/11/16 23:42:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
[2012/11/16 23:42:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Iminent
[2009/07/29 06:21:06 | 000,000,223 | ---- | C] () -- C:\ProgramData\setwallpaper.cmd
[2012/11/24 17:56:47 | 000,000,000 | ---D | M] -- C:\Users\Alexandre\AppData\Roaming\Babylon
[2012/11/24 17:57:30 | 000,000,000 | ---D | M] -- C:\Users\Alexandre\AppData\Roaming\BabylonToolbar
[2012/11/16 23:43:10 | 000,000,000 | ---D | M] -- C:\Users\Alexandre\AppData\Roaming\Iminent
[2012/11/24 18:00:16 | 000,230,547 | R--- | M] () -- C:\Users\Alexandre\AppData\Roaming\Microsoft\Installer\{F21ABA47-CE22-4B3D-8F47-8BF08C21C094}\_41AEE37AA709DB5DEA5006.exe
[2012/11/24 18:00:16 | 000,230,547 | R--- | M] () -- C:\Users\Alexandre\AppData\Roaming\Microsoft\Installer\{F21ABA47-CE22-4B3D-8F47-8BF08C21C094}\_752891DB163AFFB96743FE.exe

:files
C:\Windows\SysNative\services.exe | C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe /replace

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0AC543AE-7A7D-44A8-A667-364E126985EA}" =-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" =-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"BabylonToolbar" =-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"IMBoosterARP" =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{6750B5C8-697A-4B5C-8B76-764F7715AEAC}" =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{C20759F5-A000-47BA-991E-282CF7FF3462}" =-

:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]




===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .


Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un
Ajouter un commentaire
Réponse
+0
moins plus
hein ? je n'est pas compris.
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour, je viens juste de découvrir vos messages et par la même occasion roguekiller car j'ai eu des soucis virus (trojan), et après un 1er scan il a tué les 2, j'ai refait un 2ème scan dont voici le rapport :

RogueKiller V8.3.1 [Nov 25 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Eric [Droits d'admin]
Mode : Recherche -- Date : 25/11/2012 15:21:32

¤¤¤ Processus malicieux : 3 ¤¤¤
[][DLL] rundll32.exe -- C:\Windows\System32\rundll32.exe : C:\Users\Eric\AppData\Local\Temp\_132deb6_.ocx -> TUÉ [TermProc]
[SUSP PATH] conime.exe -- C:\Users\Public\AppData\eMuleMorphXT\conime.exe -> TUÉ [TermProc]
[SUSP PATH] ctfldr.ExE -- C:\Users\Public\AppData\Aobj\ctfldr.ExE -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 12 ¤¤¤
[TASK][RESIDUE] ProgramDataUpdater : C:\Windows\System32\rundll32.exe aepdu.dll,AePduRunUpdate -> TROUVÉ
[TASK][RESIDUE] Proxy : C:\Windows\System32\rundll32.exe /d acproxy.dll,PerformAutochkOperations -> TROUVÉ
[TASK][RESIDUE] SR : C:\Windows\System32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation -> TROUVÉ
[TASK][RESIDUE] IpAddressConflict1 : C:\Windows\System32\rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem -> TROUVÉ
[TASK][RESIDUE] IpAddressConflict2 : C:\Windows\System32\rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPDefendingSystem -> TROUVÉ
[STARTUP][RESIDUE] {A3DADA41-8875-4c6c-987E-387A9ED4573D}.lnk @Common : C:\Windows\System32\rundll32.exe|"\{A3DADA41-8875-4c6c-987E-387A9ED4573D}.dll",AppStartup CommonStartup -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[107] : NtDeviceIoControlFile @ 0x82E14EC3 -> HOOKED (\??\C:\{A3DADA41-8875-4c6c-987E-387A9ED4573D}.sys @ 0x9294EBBE)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HM321HI +++++
--- User ---
[MBR] 1f15deac7206372a88e9364acbb78989
[BSP] e36c1b250e2e8fb33d1ab7febcf6e2b5 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 285576 Mo
2 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 585066496 | Size: 19566 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_25112012_152132.txt >>
RKreport[1]_S_25112012_152132.txt

Est ce que tout est ok ?
Ajouter un commentaire
Réponse
+0
moins plus
aussi je voulais savoir, j'ai telecharger malwarebyte et celui ci ne me detecte aucun programme malveillant.. je ne comprend pas alors que mon anti virus et roguekiller me montre que j'ai choper ZeroAcess qui est un cheval de troie..
Ajouter un commentaire
Réponse
+0
moins plus
ZeroAcess est un rootkit qui a été éliminé précédemment.
Par contre il a patché services .exe et tu est obligé de le remplacer a l'aide du script OTL.
http://www.commentcamarche.net/forum/affich-26546170-virus-cheval-de-troie-impossible-de-supprimer#8

Ajouter un commentaire
Réponse
+0
moins plus
Bonjour à tous...

J'ai tout essayé avec plusieurs logiciels, en mode sans échec aussi...

Rien n'y fait malheureusement.


Voici le rapport RK, à priori mes fichiers services.exe et desktop.ini sont infectés :


RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Martouf [Droits d'admin]
Mode : Recherche -- Date : 02/12/2012 21:24:35

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D0B4642E-DEB9-4217-BA9F-CEC50910D2B1} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D0B4642E-DEB9-4217-BA9F-CEC50910D2B1} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> D:\windows\system32\config\SOFTWARE
-> D:\Users\Default\NTUSER.DAT
-> D:\Users\Default User\NTUSER.DAT
-> D:\Users\Martouf\NTUSER.DAT
-> D:\Documents and Settings\Default\NTUSER.DAT
-> D:\Documents and Settings\Default User\NTUSER.DAT

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 adobe.activate.com
127.0.0.1 adobeereg.com
127.0.0.1 www.adobeereg.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 125.252.224.90
127.0.0.1 125.252.224.91
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: INTEL SSDSA2M040G2GC ATA Device +++++
--- User ---
[MBR] c2e3a781d51f233c07095e544e8fd380
[BSP] 77a93f05e49929d0246c507ba5f15f97 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 38164 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: OCZ-VERTEX2 ATA Device +++++
--- User ---
[MBR] 11020f78254b1a364f2e9d7e203fd55f
[BSP] a56ad19ed8d117317c3c52e2bb23cd57 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 47701 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: MDT MD7500AAKS-00RBA0 ATA Device +++++
--- User ---
[MBR] 7e681fff072a57dbd8f71ebedb30d80f
[BSP] 013d237cd11076f78a754adc6020e521 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 715402 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive3: SAMSUNG HD753LJ ATA Device +++++
--- User ---
[MBR] c3163200c95cdbbc2054b8b9f4c74889
[BSP] becb9e480e49b3e3863e75056bc3196c : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 715402 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_02122012_212435.txt >>
RKreport[1]_S_02122012_212435.txt



On peut d'après Nanard les remplacer avec OTL, mais je ne sais pas m'en servir. J'ai le rapport OTL aussi au cas ou!

Merci de votre aide!
Ajouter un commentaire
Réponse
+0
moins plus
@Martouf11

* ReLancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
Ajouter un commentaire
Ce document intitulé «  Virus cheval de troie, impossible de supprimer  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.