A voir également:
- Besoin d'aide pour supprimer un keylogger.
- Supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Supprimer edge - Guide
- Impossible de supprimer un fichier - Guide
- Comment recuperer un message supprimé sur whatsapp - Guide
17 réponses
Utilisateur anonyme
5 déc. 2012 à 07:00
5 déc. 2012 à 07:00
Comment faut-il que je fasse pour désinfecter mon pc sans perdre ma connexion ?
On fera u nouveau script Otl plus tard.Pour l'instant le plus important est de supprimer zeroAccess.
* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
Je serais de retour vers 16 h.
On fera u nouveau script Otl plus tard.Pour l'instant le plus important est de supprimer zeroAccess.
* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
Je serais de retour vers 16 h.
Utilisateur anonyme
2 déc. 2012 à 11:09
2 déc. 2012 à 11:09
Bonjour
Infections pup adware et Tdss :(
Anthony est actuellement absent donc si tu le veux bien je prends la desinfection .
-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
Infections pup adware et Tdss :(
Anthony est actuellement absent donc si tu le veux bien je prends la desinfection .
-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
J'ai fais ca mais je n'ai aucun de ces virus mais plutot un Virus.Win64.ZAcess.a
Ca dit que c'est un Malware object high risk.
Ca dit que c'est un Malware object high risk.
J'ai réussi a récupérer mon adresse e-mail et mon PayPal grace a mon iPod Touch et mon téléphone portable mais je ne me connecterai pas tant que tu me dit que le keylogger ou TOUT les virus de mon pc sont disparu !
Mais j'ai penser a un truc, a toi de me dire si c'est la seule facon de régler mon problème, mon idée est d'acheter un cd Windows 7 de mettre tout mes trucs important dans des clés usb et de formater mon disque dur, a toi dme dire quoi faire :P
Mais j'ai penser a un truc, a toi de me dire si c'est la seule facon de régler mon problème, mon idée est d'acheter un cd Windows 7 de mettre tout mes trucs important dans des clés usb et de formater mon disque dur, a toi dme dire quoi faire :P
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
Modifié par nanard4700 le 3/12/2012 à 08:36
Modifié par nanard4700 le 3/12/2012 à 08:36
Tu viens demander de l'aide pour désinfecter ton pc et ensuite tu veux formater??
J'arrive pas a te suivre dans ton raisonnement...............
Tu es infecté par ZeroAccess qui a été supprimé par Tdskiller.Par contre un fichier a été patché et non restauré.
On va devoir recherchr un fichier sain sur ton pc pour le remplacer sinon je demanderais a la communauté anti malware un fichier sain.
J'ai réussi a récupérer mon adresse e-mail et mon PayPal grace a mon iPod Touch et mon téléphone portable mais je ne me connecterai pas tant que tu me dit que le keylogger ou TOUT les virus de mon pc sont disparu !
ZeroAccess t'avait bloqué quelques fonctionnalités mais en le retirant tu as eu la possibilité de tous récupérer.
ZeroAccess est un rootkit qui vole les mots de passe donc en fin de désinfection il te faudra les remplacer.
Si tu souhaites continuer fais OTL .
* Télécharge OTL sur ton bureau.
* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.
* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
services.exe
/md5stop
%systemroot%\system32\consrv.dll
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
nslookup www.google.fr /c
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
SAVEMBR:0
CREATERESTOREPOINT
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum
PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un
J'arrive pas a te suivre dans ton raisonnement...............
Tu es infecté par ZeroAccess qui a été supprimé par Tdskiller.Par contre un fichier a été patché et non restauré.
On va devoir recherchr un fichier sain sur ton pc pour le remplacer sinon je demanderais a la communauté anti malware un fichier sain.
J'ai réussi a récupérer mon adresse e-mail et mon PayPal grace a mon iPod Touch et mon téléphone portable mais je ne me connecterai pas tant que tu me dit que le keylogger ou TOUT les virus de mon pc sont disparu !
ZeroAccess t'avait bloqué quelques fonctionnalités mais en le retirant tu as eu la possibilité de tous récupérer.
ZeroAccess est un rootkit qui vole les mots de passe donc en fin de désinfection il te faudra les remplacer.
Si tu souhaites continuer fais OTL .
* Télécharge OTL sur ton bureau.
* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.
* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
services.exe
/md5stop
%systemroot%\system32\consrv.dll
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
nslookup www.google.fr /c
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
SAVEMBR:0
CREATERESTOREPOINT
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum
PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un
Voila le rapport : http://cjoint.com/12dc/BLdvzCI9jM5.htm
Mais pour formater c'était plutot une question que je te posais, si c'est la meilleure chose a faire,
mais si je me connecte a hotmail, gmail ect, mes mots de passes seront encore volés ?
Et aussi j'ai un autre probleme je t'envoie le screenshot... http://image.noelshack.com/fichiers/2012/49/1354566611-dwm-2012-12-03-15-28-50-44.jpg
Ca dit que j'ai un probleme de cookie.
Je les active et ils se bloquent tout seul.
PS : Je ne me suis pas connecté pour vrai mais quand je me connectais avant-hier ca disais la meme chose :(
Mais pour formater c'était plutot une question que je te posais, si c'est la meilleure chose a faire,
mais si je me connecte a hotmail, gmail ect, mes mots de passes seront encore volés ?
Et aussi j'ai un autre probleme je t'envoie le screenshot... http://image.noelshack.com/fichiers/2012/49/1354566611-dwm-2012-12-03-15-28-50-44.jpg
Ca dit que j'ai un probleme de cookie.
Je les active et ils se bloquent tout seul.
PS : Je ne me suis pas connecté pour vrai mais quand je me connectais avant-hier ca disais la meme chose :(
Tu as posté le rapport extra.txt.Il me faut aussi le rapport OTL.Txt
PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
si je me connecte a hotmail, gmail ect, mes mots de passes seront encore volés ?
Non
Et aussi j'ai un autre probleme je t'envoie le screenshot... http://image.noelshack.com/fichiers/2012/49/1354566611-dwm-2012-12-03-15-28-50-44.jpg
Ca dit que j'ai un probleme de cookie.
Pour firefox
Clic sur l'onglet ==>outils===>option===>vie privée.
A régle de conservation indiquer la référence==>conserver l'historique.Finir sur ok.
PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
si je me connecte a hotmail, gmail ect, mes mots de passes seront encore volés ?
Non
Et aussi j'ai un autre probleme je t'envoie le screenshot... http://image.noelshack.com/fichiers/2012/49/1354566611-dwm-2012-12-03-15-28-50-44.jpg
Ca dit que j'ai un probleme de cookie.
Pour firefox
Clic sur l'onglet ==>outils===>option===>vie privée.
A régle de conservation indiquer la référence==>conserver l'historique.Finir sur ok.
Utilisateur anonyme
4 déc. 2012 à 17:41
4 déc. 2012 à 17:41
relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll File not found
[2012/11/28 16:16:25 | 000,031,465 | ---- | M] () -- C:\Users\Marc\AppData\Local\funmoods.crx
[2012/11/28 16:16:28 | 000,031,465 | ---- | C] () -- C:\Users\Marc\AppData\Local\funmoods.crx
DRV - (HssDrv) -- C:\Windows\SysNative\drivers\HssDrv.sys (AnchorFree Inc.)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
CHR - plugin: Wajam (Enabled) = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll
CHR - Extension: Wajam = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\
CHR - Extension: PricePeep = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\licjnkifamhpbaefhdpacpmihicfbomb\2.1.355.0_0\
O2 - BHO: (Expat Shield Class) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Program Files (x86)\Expat Shield\HssIE\ExpatIE_64.dll (AnchorFree Inc.)
O2 - BHO: (Expat Shield Class) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Program Files (x86)\Expat Shield\HssIE\ExpatIE.dll (AnchorFree Inc.)
IE - HKLM\..\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=18616
IE - HKCU\..\SearchScopes,DefaultScope = {21A51130-7285-49FE-B3F6-2385CC71CDEA}
IE - HKCU\..\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=18616
IE - HKLM\..\SearchScopes,DefaultScope = {21A51130-7285-49FE-B3F6-2385CC71CDEA}
[2011/11/17 01:41:18 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\@
[2012/11/30 11:05:29 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L
[2012/11/30 11:05:28 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U
[2012/12/03 15:06:44 | 000,000,804 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\00000004.@
[2012/09/20 21:23:55 | 000,002,048 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\00000004.@
[2012/09/22 17:12:36 | 000,232,960 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\00000008.@
[2012/09/22 17:12:29 | 000,001,632 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\000000cb.@
[2012/10/28 16:00:25 | 000,015,360 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000000.@
[2012/11/30 11:05:28 | 000,096,256 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000032.@
[2012/11/30 11:05:28 | 000,083,456 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000064.@
[2012/12/03 15:06:43 | 000,004,608 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
[2012/12/03 15:06:43 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
:files
C:\Windows\SysNative\services.exe | C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe /replace
:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll File not found
[2012/11/28 16:16:25 | 000,031,465 | ---- | M] () -- C:\Users\Marc\AppData\Local\funmoods.crx
[2012/11/28 16:16:28 | 000,031,465 | ---- | C] () -- C:\Users\Marc\AppData\Local\funmoods.crx
DRV - (HssDrv) -- C:\Windows\SysNative\drivers\HssDrv.sys (AnchorFree Inc.)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
CHR - plugin: Wajam (Enabled) = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll
CHR - Extension: Wajam = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\
CHR - Extension: PricePeep = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\licjnkifamhpbaefhdpacpmihicfbomb\2.1.355.0_0\
O2 - BHO: (Expat Shield Class) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Program Files (x86)\Expat Shield\HssIE\ExpatIE_64.dll (AnchorFree Inc.)
O2 - BHO: (Expat Shield Class) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Program Files (x86)\Expat Shield\HssIE\ExpatIE.dll (AnchorFree Inc.)
IE - HKLM\..\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=18616
IE - HKCU\..\SearchScopes,DefaultScope = {21A51130-7285-49FE-B3F6-2385CC71CDEA}
IE - HKCU\..\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=18616
IE - HKLM\..\SearchScopes,DefaultScope = {21A51130-7285-49FE-B3F6-2385CC71CDEA}
[2011/11/17 01:41:18 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\@
[2012/11/30 11:05:29 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L
[2012/11/30 11:05:28 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U
[2012/12/03 15:06:44 | 000,000,804 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\00000004.@
[2012/09/20 21:23:55 | 000,002,048 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\00000004.@
[2012/09/22 17:12:36 | 000,232,960 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\00000008.@
[2012/09/22 17:12:29 | 000,001,632 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\000000cb.@
[2012/10/28 16:00:25 | 000,015,360 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000000.@
[2012/11/30 11:05:28 | 000,096,256 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000032.@
[2012/11/30 11:05:28 | 000,083,456 | ---- | M] () -- C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000064.@
[2012/12/03 15:06:43 | 000,004,608 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
[2012/12/03 15:06:43 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
:files
C:\Windows\SysNative\services.exe | C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe /replace
:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
Utilisateur anonyme
4 déc. 2012 à 19:47
4 déc. 2012 à 19:47
Rends toi a cette endroit.===> C:_OTLMovedFiles
Ouvres ce dossier et clic jusqu' a ce que tu trouves ce fichier.
DRV - (HssDrv) -- C:\Windows\SysNative\drivers\HssDrv.sys (AnchorFree Inc.)
Il te reste a le remettre a sa place c'est a dire ici===>C:\Windows\SysNative\drivers\HssDrv.sys
Ouvres ce dossier et clic jusqu' a ce que tu trouves ce fichier.
DRV - (HssDrv) -- C:\Windows\SysNative\drivers\HssDrv.sys (AnchorFree Inc.)
Il te reste a le remettre a sa place c'est a dire ici===>C:\Windows\SysNative\drivers\HssDrv.sys
Utilisateur anonyme
4 déc. 2012 à 21:54
4 déc. 2012 à 21:54
Le fichier nvm62x64.sys n'a pas été supprimé par le script otl.
On va faire une restauration du systéme antérieur a ton probléme.
Restaurer le système à une date antérieure, suivez ces étapes :
Cliquer sur Démarrer / Tous les programmes / Accessoires / Outils système / Restauration système.
Faites un clic sur Suivant :
Choisis la date d'avant le script OTL, cliquez sur Suivant.
Cliquez sur Terminer.
La restauration système devrait commencer.
À la fin, votre PC va redémarrer pour continuer la restauration. Vous serez averti de la fin de la restauration.
Si vous avez un message d'erreur après le redémarrage, il faut tenter la restauration système en mode sans échec.
Normalement tu dois retrouver ta connexion.
On va faire une restauration du systéme antérieur a ton probléme.
Restaurer le système à une date antérieure, suivez ces étapes :
Cliquer sur Démarrer / Tous les programmes / Accessoires / Outils système / Restauration système.
Faites un clic sur Suivant :
Choisis la date d'avant le script OTL, cliquez sur Suivant.
Cliquez sur Terminer.
La restauration système devrait commencer.
À la fin, votre PC va redémarrer pour continuer la restauration. Vous serez averti de la fin de la restauration.
Si vous avez un message d'erreur après le redémarrage, il faut tenter la restauration système en mode sans échec.
Normalement tu dois retrouver ta connexion.
Utilisateur anonyme
4 déc. 2012 à 22:49
4 déc. 2012 à 22:49
Tu peut me dire ce qu'il faut comment faire pour le faire sans perdre a connexion ? stp :D
Je ne comprends pas ta question .
Fais la restauration après on avisera pour les infections.
Je ne comprends pas ta question .
Fais la restauration après on avisera pour les infections.
Utilisateur anonyme
5 déc. 2012 à 18:07
5 déc. 2012 à 18:07
* ReLancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
J'ai fais ca :
le rapport :
RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Suppression -- Date : 05/12/2012 12:13:10
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\@ --> SUPPRIMÉ AU REBOOT
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\00000004.@ --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\00000008.@ --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\000000cb.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000000.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000032.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000064.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000064.@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\00000004.@ --> SUPPRIMÉ
[Del.Parent][FILE] 201d3dde : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\201d3dde --> SUPPRIMÉ
[Del.Parent][FILE] 4cce1f70 : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\4cce1f70 --> SUPPRIMÉ
[Del.Parent][FILE] 55490ac4 : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\55490ac4 --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[3]_D_05122012_121310.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt
le rapport :
RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Suppression -- Date : 05/12/2012 12:13:10
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\@ --> SUPPRIMÉ AU REBOOT
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\00000004.@ --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\00000008.@ --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\000000cb.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000000.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000032.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000064.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U\80000064.@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\00000004.@ --> SUPPRIMÉ
[Del.Parent][FILE] 201d3dde : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\201d3dde --> SUPPRIMÉ
[Del.Parent][FILE] 4cce1f70 : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\4cce1f70 --> SUPPRIMÉ
[Del.Parent][FILE] 55490ac4 : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L\55490ac4 --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[3]_D_05122012_121310.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt
Utilisateur anonyme
5 déc. 2012 à 18:42
5 déc. 2012 à 18:42
Super pour tes cookies.Zeroaccess devait les bloquer.
on va faire une vérification.Tu dois refaire un scan OTL et cette fois il apparaitra un seul rapport.
https://forums.commentcamarche.net/forum/affich-26587149-besoin-d-aide-pour-supprimer-un-keylogger#7
on va faire une vérification.Tu dois refaire un scan OTL et cette fois il apparaitra un seul rapport.
https://forums.commentcamarche.net/forum/affich-26587149-besoin-d-aide-pour-supprimer-un-keylogger#7
Voila le rapport : http://cjoint.com/12dc/BLfvvl5QNvV.htm
Mais RogueKiller a supprimer ZeroAccess ? Et si oui ou était-il situé car dans le rapport RogueKiller je vois un [ZeroAccess] desktop.ini qui est la config du bureau, non ?
Je crois que j'ai poster le bon rapport, dans le cas inverse fais moi le savoir.
Et dernière question, je peux accéder a mon compte youtube, Paypal, Hotmail ect sans me faire voler mes mots de passe ?
Mais RogueKiller a supprimer ZeroAccess ? Et si oui ou était-il situé car dans le rapport RogueKiller je vois un [ZeroAccess] desktop.ini qui est la config du bureau, non ?
Je crois que j'ai poster le bon rapport, dans le cas inverse fais moi le savoir.
Et dernière question, je peux accéder a mon compte youtube, Paypal, Hotmail ect sans me faire voler mes mots de passe ?
Utilisateur anonyme
5 déc. 2012 à 22:18
5 déc. 2012 à 22:18
Mais RogueKiller a supprimer ZeroAccess ?
oui mais il reste le fichier patché que l'on va remplacer avec le script.
desktop.ini qui est la config du bureau, non ?
Non il fait partie de zeroaccess
Et dernière question, je peux accéder a mon compte youtube, Paypal, Hotmail ect sans me faire voler mes mots de passe ?
Maintenant oui
relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll File not found
[2012/11/28 16:16:25 | 000,031,465 | ---- | M] () -- C:\Users\Marc\AppData\Local\funmoods.crx
[2012/11/28 16:16:28 | 000,031,465 | ---- | C] () -- C:\Users\Marc\AppData\Local\funmoods.crx
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
CHR - plugin: Wajam (Enabled) = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll
CHR - Extension: Wajam = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\
CHR - Extension: PricePeep = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\licjnkifamhpbaefhdpacpmihicfbomb\2.1.355.0_0\
IE - HKLM\..\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=18616
IE - HKCU\..\SearchScopes,DefaultScope = {21A51130-7285-49FE-B3F6-2385CC71CDEA}
IE - HKCU\..\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=18616
IE - HKLM\..\SearchScopes,DefaultScope = {21A51130-7285-49FE-B3F6-2385CC71CDEA}
[2012/12/05 12:14:28 | 000,004,608 | ---- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
[2012/12/05 12:14:28 | 000,006,144 | ---- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
:files
C:\Windows\SysNative\services.exe | C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe /replace
:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
oui mais il reste le fichier patché que l'on va remplacer avec le script.
desktop.ini qui est la config du bureau, non ?
Non il fait partie de zeroaccess
Et dernière question, je peux accéder a mon compte youtube, Paypal, Hotmail ect sans me faire voler mes mots de passe ?
Maintenant oui
relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll File not found
[2012/11/28 16:16:25 | 000,031,465 | ---- | M] () -- C:\Users\Marc\AppData\Local\funmoods.crx
[2012/11/28 16:16:28 | 000,031,465 | ---- | C] () -- C:\Users\Marc\AppData\Local\funmoods.crx
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=186167724
CHR - plugin: Wajam (Enabled) = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll
CHR - Extension: Wajam = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\
CHR - Extension: PricePeep = C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\licjnkifamhpbaefhdpacpmihicfbomb\2.1.355.0_0\
IE - HKLM\..\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=18616
IE - HKCU\..\SearchScopes,DefaultScope = {21A51130-7285-49FE-B3F6-2385CC71CDEA}
IE - HKCU\..\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=as1211&chnl=as1211&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEtBtB0FtBtA0B0CzyzyyCtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=18616
IE - HKLM\..\SearchScopes,DefaultScope = {21A51130-7285-49FE-B3F6-2385CC71CDEA}
[2012/12/05 12:14:28 | 000,004,608 | ---- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
[2012/12/05 12:14:28 | 000,006,144 | ---- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
:files
C:\Windows\SysNative\services.exe | C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe /replace
:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
Voila le rapport :
All processes killed
========== OTL ==========
Use Chrome's Settings page to remove the default_search_provider items.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
File C:\Users\Marc\AppData\Local\funmoods.crx not found.
File C:\Users\Marc\AppData\Local\funmoods.crx not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
File C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll not found.
File C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0 not found.
File C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\licjnkifamhpbaefhdpacpmihicfbomb\2.1.355.0_0 not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21A51130-7285-49FE-B3F6-2385CC71CDEA}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21A51130-7285-49FE-B3F6-2385CC71CDEA}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
C:\Windows\assembly\GAC_32\Desktop.ini moved successfully.
C:\Windows\assembly\GAC_64\Desktop.ini moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
========== FILES ==========
File C:\Windows\SysNative\services.exe successfully replaced with C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Frédérick
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Marc
->Temp folder emptied: 832 bytes
->Temporary Internet Files folder emptied: 163077 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 13792175 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 720 bytes
User: Public
User: Vince
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 13.00 mb
[EMPTYFLASH]
User: All Users
User: Default
->Flash cache emptied: 0 bytes
User: Default User
->Flash cache emptied: 0 bytes
User: Frédérick
->Flash cache emptied: 0 bytes
User: Marc
->Flash cache emptied: 0 bytes
User: Public
User: Vince
->Flash cache emptied: 0 bytes
Total Flash Files Cleaned = 0.00 mb
Restore point Set: OTL Restore Point
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.69.0 log created on 12052012_170305
Files\Folders moved on Reboot...
C:\Users\Marc\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
All processes killed
========== OTL ==========
Use Chrome's Settings page to remove the default_search_provider items.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
File C:\Users\Marc\AppData\Local\funmoods.crx not found.
File C:\Users\Marc\AppData\Local\funmoods.crx not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
File C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll not found.
File C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0 not found.
File C:\Users\Marc\AppData\Local\Google\Chrome\User Data\Default\Extensions\licjnkifamhpbaefhdpacpmihicfbomb\2.1.355.0_0 not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21A51130-7285-49FE-B3F6-2385CC71CDEA}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{21A51130-7285-49FE-B3F6-2385CC71CDEA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21A51130-7285-49FE-B3F6-2385CC71CDEA}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
C:\Windows\assembly\GAC_32\Desktop.ini moved successfully.
C:\Windows\assembly\GAC_64\Desktop.ini moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
========== FILES ==========
File C:\Windows\SysNative\services.exe successfully replaced with C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Frédérick
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Marc
->Temp folder emptied: 832 bytes
->Temporary Internet Files folder emptied: 163077 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 13792175 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 720 bytes
User: Public
User: Vince
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 13.00 mb
[EMPTYFLASH]
User: All Users
User: Default
->Flash cache emptied: 0 bytes
User: Default User
->Flash cache emptied: 0 bytes
User: Frédérick
->Flash cache emptied: 0 bytes
User: Marc
->Flash cache emptied: 0 bytes
User: Public
User: Vince
->Flash cache emptied: 0 bytes
Total Flash Files Cleaned = 0.00 mb
Restore point Set: OTL Restore Point
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.69.0 log created on 12052012_170305
Files\Folders moved on Reboot...
C:\Users\Marc\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Utilisateur anonyme
6 déc. 2012 à 19:49
6 déc. 2012 à 19:49
Et en fais j'ai vu dans le rapport SysNative services.exe successfully replaced mais lui a remplacer est System32 services.exe, non ?
C'est la méme chose.
Et tu pourrais me conseiller sur l'anti-virus que je dois prendre ? (payant ou non)
Si tu installes avast pense a supprimer Avg.
avast free===> Télécharges et installes l'antivirus
Parametres Avast comme indiqué dans ce tuto
==============================================
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
C'est la méme chose.
Et tu pourrais me conseiller sur l'anti-virus que je dois prendre ? (payant ou non)
Si tu installes avast pense a supprimer Avg.
avast free===> Télécharges et installes l'antivirus
Parametres Avast comme indiqué dans ce tuto
==============================================
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
Voila le rapport :
RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 06/12/2012 15:17:33
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[5]_S_06122012_151733.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt ; RKreport[4]_S_05122012_121625.txt ; RKreport[5]_S_06122012_151733.txt
Mais j'ai vu que dans le rapport il est encore écrit Infection : ZeroAccess :(
RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 06/12/2012 15:17:33
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[5]_S_06122012_151733.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt ; RKreport[4]_S_05122012_121625.txt ; RKreport[5]_S_06122012_151733.txt
Mais j'ai vu que dans le rapport il est encore écrit Infection : ZeroAccess :(
Utilisateur anonyme
6 déc. 2012 à 22:14
6 déc. 2012 à 22:14
Vachement dur a eradiquer le zeroaccess ;)
* ReLancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
==========================================================
Aprés Roguekiller.
Tu dois refaire un scan OTL et cette fois encore il apparaitra un seul rapport.
https://forums.commentcamarche.net/forum/affich-26587149-besoin-d-aide-pour-supprimer-un-keylogger#7
* ReLancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
==========================================================
Aprés Roguekiller.
Tu dois refaire un scan OTL et cette fois encore il apparaitra un seul rapport.
https://forums.commentcamarche.net/forum/affich-26587149-besoin-d-aide-pour-supprimer-un-keylogger#7
Le rapport du scan :
RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 09/12/2012 21:26:04
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[6]_S_09122012_212604.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt ; RKreport[4]_S_05122012_121625.txt ; RKreport[5]_S_06122012_151733.txt ;
RKreport[6]_S_09122012_212604.txt
Rapport suppression :
45RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Suppression -- Date : 09/12/2012 21:26:50
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[7]_D_09122012_212650.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt ; RKreport[4]_S_05122012_121625.txt ; RKreport[5]_S_06122012_151733.txt ;
RKreport[6]_S_09122012_212604.txt ; RKreport[7]_D_09122012_212650.txt
RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 09/12/2012 21:26:04
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[6]_S_09122012_212604.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt ; RKreport[4]_S_05122012_121625.txt ; RKreport[5]_S_06122012_151733.txt ;
RKreport[6]_S_09122012_212604.txt
Rapport suppression :
45RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Suppression -- Date : 09/12/2012 21:26:50
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[7]_D_09122012_212650.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt ; RKreport[4]_S_05122012_121625.txt ; RKreport[5]_S_06122012_151733.txt ;
RKreport[6]_S_09122012_212604.txt ; RKreport[7]_D_09122012_212650.txt
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
10 déc. 2012 à 12:30
10 déc. 2012 à 12:30
insiste pas ya un bug
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
Utilisateur anonyme
10 déc. 2012 à 13:26
10 déc. 2012 à 13:26
Hello Tigzy
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
Tu peux m'expliquer stp.
Services .exe est il patché?
Quelle démarche a adopter?
Merci de tes réponses ;)
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
Tu peux m'expliquer stp.
Services .exe est il patché?
Quelle démarche a adopter?
Merci de tes réponses ;)
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
10 déc. 2012 à 14:15
10 déc. 2012 à 14:15
J'ai fini de corriger le truc, il y avait bien un bug.
Je te dit quand refaire télécharger RK pour corriger les lignes restantes.
En gros RK n'arrivait pas à trouver de remplacement pour le fichier (en fait il essayait même pas)
Je te dit quand refaire télécharger RK pour corriger les lignes restantes.
En gros RK n'arrivait pas à trouver de remplacement pour le fichier (en fait il essayait même pas)
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
10 déc. 2012 à 15:29
10 déc. 2012 à 15:29
C'est bon tu peux faire retélécharger RK, ça devrait pouvoir supprimer l'infection maintenant
Utilisateur anonyme
10 déc. 2012 à 17:09
10 déc. 2012 à 17:09
Merci Tigzy
Supprimes RogueKiller et télécharges le new version a cette adresse.
https://www.luanagames.com/index.fr.html (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
Supprimes RogueKiller et télécharges le new version a cette adresse.
https://www.luanagames.com/index.fr.html (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
Désoler de mon absence j'était occupé le rapport : RogueKiller V8.4.0 _x64_ [Dec 20 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 20/12/2012 15:23:15
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[TASK][SUSP PATH] {8E220659-FDDD-4B4D-BE31-087721502E11} : C:\Users\Marc\Desktop\Ibot Crack.exe -> TROUVÉ
[TASK][SUSP PATH] {D6172F60-D65F-41D0-A1B3-3536BCFB2E48} : C:\Users\Marc\Desktop\Ibot Crack.exe -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[8]_S_20122012_152315.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt ; RKreport[4]_S_05122012_121625.txt ; RKreport[5]_S_06122012_151733.txt ;
RKreport[6]_S_09122012_212604.txt ; RKreport[7]_D_09122012_212650.txt ; RKreport[8]_S_20122012_152315.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 20/12/2012 15:23:15
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[TASK][SUSP PATH] {8E220659-FDDD-4B4D-BE31-087721502E11} : C:\Users\Marc\Desktop\Ibot Crack.exe -> TROUVÉ
[TASK][SUSP PATH] {D6172F60-D65F-41D0-A1B3-3536BCFB2E48} : C:\Users\Marc\Desktop\Ibot Crack.exe -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[8]_S_20122012_152315.txt >>
RKreport[1]_S_05122012_115603.txt ; RKreport[2]_S_05122012_121257.txt ; RKreport[3]_D_05122012_121310.txt ; RKreport[4]_S_05122012_121625.txt ; RKreport[5]_S_06122012_151733.txt ;
RKreport[6]_S_09122012_212604.txt ; RKreport[7]_D_09122012_212650.txt ; RKreport[8]_S_20122012_152315.txt
Utilisateur anonyme
20 déc. 2012 à 21:28
20 déc. 2012 à 21:28
* ReLancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad
Je crois qu'il n'y a plus rien sur mon pc car j'ai lors de mon scan RogueKiller plus rien n'indiquant ZeroAccess ou autres n'a apparu voici le rapport :
RogueKiller V8.4.0 _x64_ [Dec 20 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 21/12/2012 17:13:23
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[6]_S_21122012_171323.txt >>
RKreport[5]_S_06122012_151733.txt ; RKreport[6]_S_21122012_171323.txt
RogueKiller V8.4.0 _x64_ [Dec 20 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 21/12/2012 17:13:23
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
ÿþ1
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[6]_S_21122012_171323.txt >>
RKreport[5]_S_06122012_151733.txt ; RKreport[6]_S_21122012_171323.txt
5 déc. 2012 à 17:57
RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 05/12/2012 11:56:03
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 6 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{3b724ebd-e491-7c24-c39e-1534654399ab}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050DLE SCSI Disk Device +++++
--- User ---
[MBR] f158a4099945ded297920d7b7bb4e18f
[BSP] 7584112b74cf07e7ea820fa1feb8888d : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1]_S_05122012_115603.txt >>
RKreport[1]_S_05122012_115603.txt