Se connecter / S'enregistrer
Votre question

PC infecté TR/Agent.8704.76

Tags :
  • Agent
  • Navigateurs
  • Internet
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Août 2012 14:07:50

Bonjour,

Depuis quelques jours, mon PC connait plusieurs problèmes :
- Mes navigateurs internet (IE, Firefox) ne fonctionnent plus
- Antivir me remonte régulièrement un virus ou programme indésirable TR/Agent.8704.76
- Les applications se ferment toutes seules
- Le pc est très très lent

Auriez vous une solution pour désinfecter proprement mon PC (je suis sous vista)
Je suis désespéré .....

Merci par avance

Autres pages sur : infecte agent 8704

a c 556 8 Sécurité
a b 2 Internet
4 Août 2012 19:59:13

Bonjour,

Peux-tu nous fournir le fichier et son emplacement, détecté par ton antivirus ? (le nom ne nous sert à rien tel qu'il est)

Puis fais ceci :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    4 Août 2012 20:42:41

    Bonsoir,

    Merci pour votre reponse rapide, voici les liens des rapports

    Le rapport Antivir sur le fichier :
    Recherche débutant dans 'C:\Users\le basque\AppData\Local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\80000032.@'
    C:\Users\le basque\AppData\Local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\80000032.@
    [RESULTAT] Contient le cheval de Troie TR/Agent.8704.76
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '547b84ae.qua' !


    Fichier OTL.txt :
    http://pjjoint.malekal.com/files.php?id=20120804_u9y9z1...

    Fichier Extras.txt :
    http://pjjoint.malekal.com/files.php?id=20120804_k14c15...
    m
    0
    l
    Contenus similaires
    a c 556 8 Sécurité
    a b 2 Internet
    4 Août 2012 23:06:11

    Re,

    Rootkit zeroaccess, reste de rogue, et divers adwares (logiciels publicitaires) ... pc pas à jour ...
    y'a du boulot.

    /!\ Cette infection, dans son approche initiale, vole les données stockées de l’utilisateur lié à la gestion de site : FTP, etc ...
    Il convient donc si tu gères des sites/forum ou utilise des logiciels de type FTP, de modifier les mot de passe /!\


    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !



    1) Suppression des restes de Norton 360 :

    Utilise cet utilitaire pour supprimer les restes de cet antivirus :
    http://www.inforumatique.fr/index.php/utilitaires/netto...


    2) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    Note : si tu rencontres une erreurs, passe au programme suivant et poursuit la procédure.

    - Trojan Killer 2.1 (strictement inutile et limite arnaque)
    - Favorit (adware: logiciel publicitaire)
    - Uninstall 1.0.0.1 (lié à un adware)


    3) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    4) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - File not found [File_System | Auto | Stopped] -- C:\Windows\system\svchost.exe -- (svhost)
    DRV - [2012/08/04 20:09:20 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\mscwb.sys -- (nmbvxv)
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=414&sr=0&q={searchTerms}
    IE - HKU\S-1-5-21-2341125326-1605391489-1593827746-1002\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}
    IE - HKU\S-1-5-21-2341125326-1605391489-1593827746-1002\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
    IE - HKU\S-1-5-21-2341125326-1605391489-1593827746-1002\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=414&sr=0&q={searchTerms}
    IE - HKU\S-1-5-21-2341125326-1605391489-1593827746-1002\..\SearchScopes\{A0B271A9-D8AA-8E74-7392-2164D6A1C03C}: "URL" = http://www2.iesearch.com/s/?q={searchTerms}&s=sbox
    [2012/03/19 17:51:57 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\le basque\AppData\Roaming\mozilla\Firefox\Profiles\342i0w02.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
    [2012/05/02 20:26:25 | 000,002,515 | ---- | M] () -- C:\Users\le basque\AppData\Roaming\Mozilla\Firefox\Profiles\342i0w02.default\searchplugins\Search_Results.xml
    [2012/03/19 17:52:02 | 000,003,916 | ---- | M] () -- C:\Users\le basque\AppData\Roaming\Mozilla\Firefox\Profiles\342i0w02.default\searchplugins\sweetim.xml
    [2010/06/07 22:34:50 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    [2010/08/12 20:46:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    [2011/01/26 21:36:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
    [2011/03/04 12:00:41 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
    [2011/06/29 20:37:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
    [2012/05/02 20:26:25 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
    CHR - default_search_provider: search_url = http://dts.search-results.com/sr?src=crb&appid=0&systemid=414&sr=0&q={searchTerms}
    O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe File not found
    O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe File not found
    [2012/07/29 23:24:32 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF98CDB4AC8AC099E117C2E33E28
    [2012/07/29 23:11:11 | 000,000,000 | ---D | C] -- C:\Users\le basque\AppData\Roaming\xsecva
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [1 C:\Users\le basque\Documents\*.tmp files -> C:\Users\le basque\Documents\*.tmp -> ]
    [1 C:\Users\le basque\Desktop\*.tmp files -> C:\Users\le basque\Desktop\*.tmp -> ]
    [2012/05/04 11:31:18 | 000,161,280 | ---- | C] () -- C:\Users\le basque\AppData\Roaming\kitre0.exe
    [2011/06/25 15:28:27 | 000,031,130 | -HS- | C] () -- C:\Users\le basque\AppData\Local\5jc4jd82gw4
    [2011/06/25 15:28:27 | 000,031,130 | -HS- | C] () -- C:\ProgramData\5jc4jd82gw4
    [2012/08/04 13:50:57 | 000,000,000 | ---D | M] -- C:\ProgramData\Application Data\036DFF98CDB4AC8AC099E117C2E33E28
    [2010/01/11 13:59:34 | 000,000,000 | ---D | M] -- C:\ProgramData\Application Data\McAfee
    [2010/01/09 11:57:21 | 000,000,000 | ---D | M] -- C:\ProgramData\Application Data\McAfee Security Scan
    [2011/04/04 10:09:55 | 000,000,000 | ---D | M] -- C:\Users\le basque\AppData\Roaming\OfferBox
    @Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:8CEFE51A
    @Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:A73B0434

    :Files
    C:\Windows\System32\services.exe|C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe /replace

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    5) Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt



    Dans ta prochaine réponse il ma faudra donc les rapports :
    - AdwCleaner (suppression)
    - OTL (correction)
    - Combofix

    :jap: 
    m
    0
    l
    5 Août 2012 17:41:45

    Bonsoir,

    J'ai effectué toutes les étapes que vous m'avez donné, par contre lors de l’exécution de Combofix, à la fin de celle ci, mon PC a redémarré et maintenant il redémarre tout seul quelques secondes après avoir démarré.
    Je ne peux donc pas poster les rapports :-(.

    Auriez vous une solution pour que mon PC ne redémarre pas tout le temps.

    Merci par avance

    m
    0
    l
    5 Août 2012 20:41:45

    Bonsoir,

    Oui le mode sans échec fonctionne : l’ordinateur ne redémarre pas tout seul.

    Merci
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    5 Août 2012 22:18:36

    Re,

    Tu dois donc pouvoir accéder aux différents rapports, fournis-les moi, en pensant à les héberger comme les premiers :
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici



    Tu transfères via clé usb sur un pc fonctionnel.
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    6 Août 2012 22:07:09

    Re,

    Le pc avait redémarré normalement après le script d'OTL et avant le lancement de Combofix ?

    Refais ceci en mode sans échec s'il te plait :

    Relance OTL
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, seul le rapport OTL.Txt s'ouvrira cette fois.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    7 Août 2012 10:29:00

    Re,

    Regarde ici ou à la base de ton disque dur C: s'il n'y a pas un rapport nommé Combofix.txt :
    - C:\ComboFix

    Fournis-le moi si tu le trouves.
    m
    0
    l
    7 Août 2012 18:54:34

    RE,

    Il n'y a pas de fichiers Combofix.txt, j'ai chercher sur tout le disque C

    Dois je relancer Combofix en mode sans echec?

    Merci
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    7 Août 2012 20:50:18

    Re,

    Oui, fais-le car il a pu être stoppé en cours d'exécution, d'où le souci de démarrage. Cela pourrait arranger la chose.

    :jap: 
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    7 Août 2012 23:00:58

    Re,

    Et si tu redémarres, il ne reprend pas l'analyse et affiche le rapport ? (en mode sans échec au besoin)

    Si rien de mieux on testera d'autres outils.
    m
    0
    l
    7 Août 2012 23:22:45

    Re,

    Non, il ne reprend pas :-( et pas de rapport
    Tu as pu voir les messages ? Il ne te disent rien ?

    Merci encore pour ton aide en espérant que tu me trouves une solution à mon problème

    ++
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    7 Août 2012 23:45:21

    Re,

    Les messages sont "normaux" face à cette infection, mais normalement Combofix termine son travail au redémarrage.

    On va tester ceci : (toujours en mode sans échec)

    Télécharge ZeroAccessRemover (de Webroot) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur ZeroAccessRemover.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre de commande noire apparait pour confirmer la demande de scan, répond avec "Y" pour "oui" et valide avec "entrée"

    Deux cas sont possible à l'issu du scan :

  • L'outil détecte l'infection, et indique que des fichiers sont patchés (lignes rouge à l'écran), il va te proposer de lancer le nettoyage, répond avec "Y" pour "oui" et valide avec "entrée"
  • L'outil va travailler et tu verras apparaitre un message "Cleaned", appuie alors sur une touche pour laisser le pc redémarrer.
  • Un rapport nommé "AntiZeroAccess_Log.txt " a été crée sur ton bureau, copie-colle son contenu dans ta prochaine réponse.

  • Si l'outil ne détecte rien, (que des lignes vertes), dis-le moi.
    m
    0
    l
    8 Août 2012 00:14:45


    Message VERT dans la fenetre DOS :
    Your system is not infected by ZeroAccess/Max++ Rootkit!

    rapport :
    Webroot AntiZeroAccess 0.8 Log File
    Execution time: 08/08/2012 - 00:10
    Host operation System: Windows Vista X86 version 6.0.6000
    00:10:36 - CheckSystem - Begin to check system...
    00:10:36 - OpenRootDrive - Opening system root volume and physical drive....
    00:10:36 - C Root Drive: Disk number: 0 Start sector: 0x010003B0 Partition Size: 0x11A19300 sectors.
    00:10:36 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys".
    00:10:36 - InstallAndStartDriver - Unable to start AntiZeroAccess driver. StartService last error: 1084
    00:10:47 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
    00:10:47 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
    00:10:47 - Execution Ended!




    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    8 Août 2012 10:05:57

    Re,

    Mouais, ça veut rien dire puisque :
    Citation :
    00:10:36 - InstallAndStartDriver - Unable to start AntiZeroAccess driver. StartService last error: 1084


    On teste un autre :
    Télécharge AswMBR sur ton bureau.

  • Double-clique sur aswMBR.exe situé sur ton Bureau pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Refuse la demande de mise à jour.
  • Clique sur le bouton Scan et laisse l'outil travailler.

  • Clique sur Save Log, enregistre le rapport sur le bureau et poste son contenu dans ta prochaine réponse.
    m
    0
    l
    8 Août 2012 20:27:20

    Re,

    Voici le rapport

    aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
    Run date: 2012-08-08 20:05:26
    -----------------------------
    20:05:26.753 OS Version: Windows 6.0.6000
    20:05:26.753 Number of processors: 2 586 0xF0D
    20:05:26.753 ComputerName: PC-DU-BASQUE UserName: le basque
    20:05:27.518 Initialize success
    20:05:45.083 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
    20:05:45.083 Disk 0 Vendor: ST916082 3.AL Size: 152627MB BusType: 3
    20:05:45.161 Disk 0 MBR read successfully
    20:05:45.161 Disk 0 MBR scan
    20:05:45.161 Disk 0 Windows VISTA default MBR code
    20:05:45.177 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 8192 MB offset 63
    20:05:45.193 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 144434 MB offset 16778160
    20:05:45.239 Disk 0 scanning sectors +312579760
    20:05:45.317 Disk 0 scanning C:\Windows\system32\drivers
    20:05:51.511 Service scanning
    20:06:06.518 Modules scanning
    20:06:12.025 Disk 0 trace - called modules:
    20:06:12.071 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys
    20:06:12.103 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85de8978]
    20:06:12.118 3 ntkrnlpa.exe[82cb07e2] -> nt!IofCallDriver -> [0x85418720]
    20:06:12.134 5 acpi.sys[8046932a] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8541d030]
    20:06:12.149 Scan finished successfully
    20:25:50.402 Disk 0 MBR has been saved successfully to "C:\Users\le basque\Desktop\MBR.dat"
    20:25:50.417 The log file has been saved successfully to "C:\Users\le basque\Desktop\aswMBR.txt"


    MERci
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    8 Août 2012 22:12:51

    Re,

    Bon pas mieux.

    Un dernier et on cherchera une autre solution ensuite.

    Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!
    m
    0
    l
    9 Août 2012 20:59:55

    GMER 1.0.15.15641 - http://www.gmer.net
    Rootkit scan 2012-08-09 20:55:22
    Windows 6.0.6000 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 ST916082 rev.3.AL
    Running: 6obr5tv9.exe; Driver: C:\Users\LEBASQ~1\AppData\Local\Temp\pgrdauoc.sys


    ---- Kernel code sections - GMER 1.0.15 ----

    .text C:\Windows\system32\drivers\afd.sys section is writeable [0x8C62D000, 0xDCB3, 0xE8000020]
    ? C:\Users\LEBASQ~1\AppData\Local\Temp\aswMBR.sys Le fichier spécifié est introuvable. !

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74C3FBC8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [74C0B9AA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [74BFA31F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74BFCBFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [74BF8AB2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [74C0CF28] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [74BF7D98] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74BF7CFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74BF6A64] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [74C8C1D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [74C17F56] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [74BF90CD] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [74C02179] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [74C021A4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74C07F1C] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74C07D3E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [74C383D5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072ec96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
    AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
    AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

    Device \Driver\00001415 \GLOBAL??\90dd1e72 86855880

    ---- EOF - GMER 1.0.15 ----
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    9 Août 2012 22:07:23

    Re,

    Supprime combofix.exe et télécharge une nouvelle version, puis retente de le lancer en mode sans échec s'il te plait :

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    10 Août 2012 10:04:23

    Re,

    Tu le lances bien en faisant ceci ?
    Citation :
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)
    m
    0
    l
    10 Août 2012 14:09:28

    Re,

    Oui je le lance bien comme tu dis, mais j'ai toujours le premier message (fenetre dos) que j'ai poste dans ma précédente réponse

    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    10 Août 2012 14:15:33

    Re,

    Et si tu redémarres le pc, Combofix ne termine toujours pas ?

    Si le pc ne démarre toujours pas et que combofix ne se termine pas en mode sans échec, fais ceci en mode sans échec :

    Clique sur "démarrer" (logo windows)
    Puis "exécuter" (si non présent, va dans "tous les programmes" -> "accessoires"

    Tape exactement ceci :
    Citation :
    "%userprofile%\Bureau\combofix.exe" /killall


    Valide avec "entrée"

    Regarde si cette fois-ci il s'exécute mieux et finis au redémarrage. (normal ou mode sans échec)
    m
    0
    l
    12 Août 2012 20:41:51

    Bonsoir,

    Toujours pareil (lancement en ligne de commande avec option /killall), lors du redémarrage du PC,
    ComboFix ne se relance pas :-(


    ...
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    12 Août 2012 22:38:48

    Re,

    Lorsque tu redémarres actuellement, c'est toujours en mode sans échec n'est-ce pas ?

    Est-ce que tu choisis bien la session sur laquelle tu as lancé combofix ? (normalement la tienne)

    Est-ce que lorsque tu démarres en mode sans échec, la session "administrateur" est présente ?
    Est-ce que tu peux copier et lancer Combofix du bureau de cette session pour voir ?

    m
    0
    l
    12 Août 2012 23:00:19

    Re,

    Lorsque tu redémarres actuellement, c'est toujours en mode sans échec n'est-ce pas ?
    [RE]Oui

    Est-ce que tu choisis bien la session sur laquelle tu as lancé combofix ? (normalement la tienne)
    [RE]Oui (mon compte qui est admin

    Est-ce que lorsque tu démarres en mode sans échec, la session "administrateur" est présente ?
    [RE]Oui
    Est-ce que tu peux copier et lancer Combofix du bureau de cette session pour voir ?
    [RE]Cest ce que je fais
    m
    0
    l
    14 Août 2012 11:43:51

    Bonjour,

    Auriez vous d'autres solutions pour résoudre mon problème. :/ 

    Merci
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    14 Août 2012 11:52:54

    Re,

    J'attendais le résultat de combofix de la session "administrateur" :
    Citation :
    Est-ce que tu peux copier et lancer Combofix du bureau de cette session pour voir ?
    [RE]Cest ce que je fais


    Quand je disais "cette session", je parlais de la session "administrateur", pas la tienne en fait ;) 

    En mode sans échec tu dois avoir une nouvelle session, nommé "administrateur", c'est d'elle qu'il faut tenter de lancer Combofix à présent.
    m
    0
    l
    14 Août 2012 12:09:12

    Re,

    Je ne comprends pas très bien, en fait lorsque mon PC démarre, j'ai 2 comptes proposés :
    - Le mien (qui est configuré administrateur)
    - Le compte invité

    Je n'ai pas de compte 'purement' administrateur !
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    14 Août 2012 12:12:23

    Re,

    Quand tu démarres en mode sans échec, un troisième compte nommé "administrateur" n'apparait pas ?
    m
    0
    l
    14 Août 2012 12:15:34

    Re,

    Ben non :/ 
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    14 Août 2012 13:35:37

    Re,

    Bon je t'avoue franchement que je ne sais pas si on va pouvoir récupérer ton pc sans passer par un formatage alors.

    On va encore essayer quelques outils :

    Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis l'option 1 et valide.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    18 Août 2012 13:56:49

    Re,

    Voici le rapport :

    RogueKiller V7.6.6 [10/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode sans echec
    Utilisateur: le basque [Droits d'admin]
    Mode: Recherche -- Date: 18/08/2012 13:55:00

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\n --> FOUND
    [ZeroAccess][FILE] @ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\@ --> FOUND
    [ZeroAccess][FOLDER] U : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U --> FOUND
    [ZeroAccess][FOLDER] L : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\L --> FOUND

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9160821AS +++++
    --- User ---
    [MBR] c0b674b4a492639158ce85db3a05e023
    [BSP] 33c7f5ddc1911bca47bff7d72bf2abf0 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8192 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16778160 | Size: 144434 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: usb 2.0 Flash Disk USB Device +++++
    --- User ---
    [MBR] a21685770d77554fddbc76f9736dd709
    [BSP] 2ca67e0be0f4718158488cd96493f96d : MBR Code unknown
    Partition table:
    0 - [XXXXXX] UNKNOWN (0x0d) [VISIBLE] Offset (sectors): 1679830642 | Size: 962094 Mo
    1 - [XXXXXX] LYNX (0x50) [VISIBLE] Offset (sectors): 544892275 | Size: 265389 Mo
    2 - [XXXXXX] UNKNOWN (0x68) [VISIBLE] Offset (sectors): 544372079 | Size: 1068172 Mo
    3 - [XXXXXX] UNKNOWN (0x65) [VISIBLE] Offset (sectors): 0 | Size: 1710165 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt




    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    18 Août 2012 14:19:56

    Re,

    à suivre :

    Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis l'option 2 et valide.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    18 Août 2012 14:34:03

    Re,

    Quand tu parles d'options, c'est a dire les case a cocher en bas à droite ?.
    1 - Scan MBR
    2 - Scan FAKED
    3 - AntiRootkit
    m
    0
    l
    18 Août 2012 14:42:23

    1 - Scan MBR
    RogueKiller V7.6.6 [10/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: le basque [Droits d'admin]
    Mode: Recherche -- Date: 18/08/2012 14:37:22

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\n --> FOUND
    [ZeroAccess][FILE] @ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\@ --> FOUND
    [ZeroAccess][FOLDER] U : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U --> FOUND
    [ZeroAccess][FOLDER] L : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\L --> FOUND

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9160821AS +++++
    --- User ---
    [MBR] c0b674b4a492639158ce85db3a05e023
    [BSP] 33c7f5ddc1911bca47bff7d72bf2abf0 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8192 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16778160 | Size: 144434 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    2 - Scan FAKED
    RogueKiller V7.6.6 [10/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: le basque [Droits d'admin]
    Mode: Recherche -- Date: 18/08/2012 14:38:20

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\n --> FOUND
    [ZeroAccess][FILE] @ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\@ --> FOUND
    [ZeroAccess][FOLDER] U : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U --> FOUND
    [ZeroAccess][FOLDER] L : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\L --> FOUND

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt





    3 - AntiRootkit
    RogueKiller V7.6.6 [10/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: le basque [Droits d'admin]
    Mode: Recherche -- Date: 18/08/2012 14:38:48

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\n --> FOUND
    [ZeroAccess][FILE] @ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\@ --> FOUND
    [ZeroAccess][FOLDER] U : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U --> FOUND
    [ZeroAccess][FOLDER] L : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\L --> FOUND

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    Termine : << RKreport[5].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt



    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    18 Août 2012 14:46:06

    Re,

    Non le bouton "suppression" en dessous du bouton "scan" ;) 

    Il ne doit plus être grisé suite au scan fait.
    m
    0
    l
    18 Août 2012 14:50:05

    Non, il n'est pas grise, je clicke dessus apres le scan ?
    Voici le rapport apres Suppression :

    RogueKiller V7.6.6 [10/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: le basque [Droits d'admin]
    Mode: Suppression -- Date: 18/08/2012 14:56:32

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\n --> REMOVED
    [ZeroAccess][FILE] @ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\@ --> REMOVED
    [Del.Parent][FILE] 00000004.@ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\00000004.@ --> REMOVED
    [Del.Parent][FILE] 00000008.@ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\00000008.@ --> REMOVED
    [Del.Parent][FILE] 000000cb.@ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\000000cb.@ --> REMOVED
    [Del.Parent][FILE] 80000000.@ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\80000000.@ --> REMOVED
    [ZeroAccess][FOLDER] U : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U --> REMOVED
    [ZeroAccess][FOLDER] L : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\L --> REMOVED

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9160821AS +++++
    --- User ---
    [MBR] c0b674b4a492639158ce85db3a05e023
    [BSP] 33c7f5ddc1911bca47bff7d72bf2abf0 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8192 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16778160 | Size: 144434 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt



    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    18 Août 2012 14:56:38

    Re,

    Ben oui, tu cliques dessus :D 
    Pas besoin d'appuyer sur "scan", c'est déjà fait. ;) 
    m
    0
    l
    18 Août 2012 15:01:39

    Voici le rapport apres Suppression :

    RogueKiller V7.6.6 [10/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: le basque [Droits d'admin]
    Mode: Suppression -- Date: 18/08/2012 14:56:32

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\n --> REMOVED
    [ZeroAccess][FILE] @ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\@ --> REMOVED
    [Del.Parent][FILE] 00000004.@ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\00000004.@ --> REMOVED
    [Del.Parent][FILE] 00000008.@ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\00000008.@ --> REMOVED
    [Del.Parent][FILE] 000000cb.@ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\000000cb.@ --> REMOVED
    [Del.Parent][FILE] 80000000.@ : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U\80000000.@ --> REMOVED
    [ZeroAccess][FOLDER] U : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\U --> REMOVED
    [ZeroAccess][FOLDER] L : c:\users\le basque\appdata\local\{73c50827-393e-746f-aedd-5d11c5f22a86}\L --> REMOVED

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9160821AS +++++
    --- User ---
    [MBR] c0b674b4a492639158ce85db3a05e023
    [BSP] 33c7f5ddc1911bca47bff7d72bf2abf0 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8192 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16778160 | Size: 144434 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    18 Août 2012 22:18:40

    Re,

    Bon, on va voir si y'a du mieux :

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    m
    0
    l
    19 Août 2012 17:51:14

    Re,

    J'ai toujours le même comportement :
    2 messages (postés precedement) et Combofix qui ne se termine pas après le redemarage,
    donc toujours pas de rapport.
    :/ 

    En gros cela n'a rien changé
    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    19 Août 2012 19:21:10

    Re,

    Tu peux me refaire un scan avec Roguekiller et me fournir le rapport s'il te plait ?
    m
    0
    l
    19 Août 2012 20:09:03

    RogueKiller V7.6.6 [10/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode sans echec
    Utilisateur: le basque [Droits d'admin]
    Mode: Recherche -- Date: 19/08/2012 20:07:23

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9160821AS +++++
    --- User ---
    [MBR] c0b674b4a492639158ce85db3a05e023
    [BSP] 33c7f5ddc1911bca47bff7d72bf2abf0 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8192 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16778160 | Size: 144434 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt



    m
    0
    l
    a c 556 8 Sécurité
    a b 2 Internet
    19 Août 2012 22:15:23

    Re,

    Antivir t'alerte encore régulièrement ou non ?

    On va tester ceci, voir si en réinstallant ce qu'alerte Combofix on nettoie ce qu'il voit :

    /!\ Tu risques de perdre la connexion pendant la manipulation, alors enregistre la procédure avant ou garde un autre pc à porté.

    Réinstaller le protocole TCP/IP

  • Clique sur Démarrer, puis sur Exécuter. (si non présent : Tous les programmes -> accessoires )
  • Dans la zone Ouvrir, tape regedit, puis sur OK.
  • Recherche les sous-clés de Registre suivantes :

    Citation :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2


    Clique avec le bouton droit sur chaque clé, puis "Supprimer".



  • Clique sur Oui pour confirmer la suppression de chaque clé.
  • Ferme Regedit.


  • Recherchez le fichier Nettcpip.inf dans %winroot%\inf, puis ouvre-le dans le Bloc-notes
    (clic-droit "Ouvrir avec" -> "bloc-note" )

  • Recherche la section [MS_TCPIP.PrimaryInstall].



  • Modifiez l'entrée Characteristics = 0xa0 et remplace 0xa0 par 0x80.
  • Enregistre le fichier, puis quitte le Bloc-notes.


  • Dans le Panneau de configuration, double-clique sur Centre réseau et partage, clique sur ta Connexion actuel, puis sélectionne Propriétés.

  • Sous l'onglet Gestion du réseau, clique sur Installer, sélectionne Protocole, puis clique sur Ajouter.
  • Dans la fenêtre Sélection de protocole réseau, clique sur Disque fourni.
  • Dans la zone Copier les fichiers constructeur à partir de, tape c:\windows\inf, puis clique sur OK.

  • Clique sur Protocole Internet (TCP/IP), puis sur OK.

    Remarque : cette étape renverra à l'écran Propriétés de Connexion au réseau local, mais maintenant le bouton Désinstaller est disponible.

  • Sélectionne Protocole Internet (TCP/IP), clique sur Désinstaller, puis sur Oui.
  • Redémarre l'ordinateur.

  • Dans le Panneau de configuration, double-clique sur Centre réseau et partage, clique sur ta Connexion actuel, puis sélectionne Propriétés.

  • Sous l'onglet Gestion du réseau, clique sur Installer, sélectionnez Protocole, puis cliquez sur Ajouter.
  • Dans la fenêtre Sélection de protocole réseau, clique sur Disque fourni.
  • Dans la zone Copier les fichiers constructeur à partir de, tape c:\windows\inf, puis cliquez sur OK.
  • Clique sur Protocole Internet (TCP/IP), puis sur OK.
  • Redémarre l'ordinateur.


    Dis-moi si tout s'est correctement déroulé.
    m
    0
    l
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS