Elimination trojan Zero Acces
Posté : jeu. 16 janv. 2014 14:28
Bonjour,
Mon ordinateur était infecté par le trojan Zero Acces.
Après avoir téléchargé RogueKiller, j'ai lancé un scan dont le rapport vous est adressé en PJ.
Dans l'onglet DSN, il reste 3 PUM non supprimés :
PUM HKEY_LOCAL_MACHINE:
Pouvez-vous m'apporter l'aide nécessaire pour les supprimer et corriger d'éventuelles corruptions liées à cette infection ?
Vous en remerciant par avance,
Cordialement,
Orchidée
Rapport du scan effectué ce jour :
Spoiler: RogueKiller V8.8.1 [Jan 14 2014] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Régine [Droits d'admin]
Mode : Suppression -- Date : 01/16/2014 12:56:22
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : SearchProtect (C:\Users\Régine\AppData\Roaming\SearchProtect\cltmng.exe [x]) - SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : Badoo Desktop (C:\ProgramData\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe [x][x]) - SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-4023013389-3796208622-3039126302-1000\[...]\Run : SearchProtect (C:\Users\Régine\AppData\Roaming\SearchProtect\cltmng.exe [x]) - [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-4023013389-3796208622-3039126302-1000\[...]\Run : Badoo Desktop (C:\ProgramData\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe [x][x]) - [0x2] Le fichier spécifié est introuvable.
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - REMPLACÉ (0)
¤¤¤ Tâches planifiées : 8 ¤¤¤
[V1][SUSP PATH] MySearchDial.job : C:\Users\RGINE~1\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE - /Check [-] - SUPPRIMÉ
[V1][ROGUE ST] Plus-HD-3.5-chromeinstaller.job : C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-chromeinstaller.exe - /installcrx /agentregpath='Plus-HD-3.5' /extensionfilepath='C:\Program Files (x86)\Plus-HD-3.5\37180.crx' /appid=37180 /srcid='000489' /subid='0' /zdata='0' /bic=0A3FF839E75A4BF2883C5C278A5F222AIE /verifier=74447784858ccb5b72a7203f3bd16a71 /installerversion=1_28_153 /installerfullversion=1.28.153.4 /installationtime=1383754402 /statsdomain=hxxp://stats.srvstatsdata.com /errorsdomain=hxxp://errors.srvstatsdata.com /waitforbrowser=300 /extensionid=ldikpdnngdmeceeameoaannjilbjppnm /extensionversion=1.24.47 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0Og+0O/iUTSSLoomGFEn+0rpQIZoq10aFT0vQs8LsNr9444eE6uT/BIuG10LlGwGyrfFcofsRwySJRs86eW6TfxW7A9LWjrwX0EzraxUs8jXwFiHodYzfpcQZPN/NX9tavjy2xbLLoZun4F8pQspCqepsAeGmAiFT6BFGuENEzwIDAQAB /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x] - SUPPRIMÉ
[V1][ROGUE ST] Plus-HD-3.5-firefoxinstaller.job : C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-3.5' /extensionfilepath='C:\Program Files (x86)\Plus-HD-3.5\37180.xpi' /appid=37180 /srcid='000489' /subid='0' /zdata='0' /bic=0A3FF839E75A4BF2883C5C278A5F222AIE /verifier=74447784858ccb5b72a7203f3bd16a71 /installerversion=1_28_153 /installerfullversion=1.28.153.4 /installationtime=1383754402 /statsdomain=hxxp://stats.srvstatsdata.com /errorsdomain=hxxp://errors.srvstatsdata.com /waitforbrowser=300 /extensionid=d8222698-19e5-4827-b79e-0a077ea8eb7a@7b662f6d-3899-41e4-8864-6393447568da.com /extensionversion=0.92 /prefsbranch=ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/37180.rdf /allusers /allprofiles /externallog='' [7][x][x][x][x][x][x][x][x] - SUPPRIMÉ
[V2][SUSP PATH] MySearchDial : C:\Users\RGINE~1\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE - /Check [-] - SUPPRIMÉ
[V2][ROGUE ST] Plus-HD-3.5-chromeinstaller : C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-chromeinstaller.exe - /installcrx /agentregpath='Plus-HD-3.5' /extensionfilepath='C:\Program Files (x86)\Plus-HD-3.5\37180.crx' /appid=37180 /srcid='000489' /subid='0' /zdata='0' /bic=0A3FF839E75A4BF2883C5C278A5F222AIE /verifier=74447784858ccb5b72a7203f3bd16a71 /installerversion=1_28_153 /installerfullversion=1.28.153.4 /installationtime=1383754402 /statsdomain=hxxp://stats.srvstatsdata.com /errorsdomain=hxxp://errors.srvstatsdata.com /waitforbrowser=300 /extensionid=ldikpdnngdmeceeameoaannjilbjppnm /extensionversion=1.24.47 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0Og+0O/iUTSSLoomGFEn+0rpQIZoq10aFT0vQs8LsNr9444eE6uT/BIuG10LlGwGyrfFcofsRwySJRs86eW6TfxW7A9LWjrwX0EzraxUs8jXwFiHodYzfpcQZPN/NX9tavjy2xbLLoZun4F8pQspCqepsAeGmAiFT6BFGuENEzwIDAQAB /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x] - ERROR DELETING TASK
[V2][ROGUE ST] Plus-HD-3.5-firefoxinstaller : C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-3.5' /extensionfilepath='C:\Program Files (x86)\Plus-HD-3.5\37180.xpi' /appid=37180 /srcid='000489' /subid='0' /zdata='0' /bic=0A3FF839E75A4BF2883C5C278A5F222AIE /verifier=74447784858ccb5b72a7203f3bd16a71 /installerversion=1_28_153 /installerfullversion=1.28.153.4 /installationtime=1383754402 /statsdomain=hxxp://stats.srvstatsdata.com /errorsdomain=hxxp://errors.srvstatsdata.com /waitforbrowser=300 /extensionid=d8222698-19e5-4827-b79e-0a077ea8eb7a@7b662f6d-3899-41e4-8864-6393447568da.com /extensionversion=0.92 /prefsbranch=ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/37180.rdf /allusers /allprofiles /externallog='' [7][x][x][x][x][x][x][x][x] - ERROR DELETING TASK
[V2][SUSP PATH] Updater12767.exe : C:\Users\Régine\AppData\Local\Updater12767\Updater12767.exe - /extensionid=12767 /extensionname="Tiger Savings" /chromeid=akdojefgphalhhkagafpcoakgboeokdl [7][x] - SUPPRIMÉ
[V2][SUSP PATH] {9392B93A-9F99-4409-8A10-07139823D2AD} : C:\Users\Régine\Desktop\incredimail-backup-install.exe [x] - SUPPRIMÉ
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD2500BPVT-22JJ5T0 ATA Device +++++
--- User ---
[MBR] fb1f7ec37494b2811f914fe693c29c68
[BSP] afccd8245bfda5b026696cc5279286f0 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 225061 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine :
RKreport[0]_S_01162014_122446.txt
Mon ordinateur était infecté par le trojan Zero Acces.
Après avoir téléchargé RogueKiller, j'ai lancé un scan dont le rapport vous est adressé en PJ.
Dans l'onglet DSN, il reste 3 PUM non supprimés :
PUM HKEY_LOCAL_MACHINE:
Pouvez-vous m'apporter l'aide nécessaire pour les supprimer et corriger d'éventuelles corruptions liées à cette infection ?
Vous en remerciant par avance,
Cordialement,
Orchidée
Rapport du scan effectué ce jour :
Spoiler: RogueKiller V8.8.1 [Jan 14 2014] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Régine [Droits d'admin]
Mode : Suppression -- Date : 01/16/2014 12:56:22
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : SearchProtect (C:\Users\Régine\AppData\Roaming\SearchProtect\cltmng.exe [x]) - SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : Badoo Desktop (C:\ProgramData\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe [x][x]) - SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-4023013389-3796208622-3039126302-1000\[...]\Run : SearchProtect (C:\Users\Régine\AppData\Roaming\SearchProtect\cltmng.exe [x]) - [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-4023013389-3796208622-3039126302-1000\[...]\Run : Badoo Desktop (C:\ProgramData\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe [x][x]) - [0x2] Le fichier spécifié est introuvable.
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - REMPLACÉ (0)
¤¤¤ Tâches planifiées : 8 ¤¤¤
[V1][SUSP PATH] MySearchDial.job : C:\Users\RGINE~1\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE - /Check [-] - SUPPRIMÉ
[V1][ROGUE ST] Plus-HD-3.5-chromeinstaller.job : C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-chromeinstaller.exe - /installcrx /agentregpath='Plus-HD-3.5' /extensionfilepath='C:\Program Files (x86)\Plus-HD-3.5\37180.crx' /appid=37180 /srcid='000489' /subid='0' /zdata='0' /bic=0A3FF839E75A4BF2883C5C278A5F222AIE /verifier=74447784858ccb5b72a7203f3bd16a71 /installerversion=1_28_153 /installerfullversion=1.28.153.4 /installationtime=1383754402 /statsdomain=hxxp://stats.srvstatsdata.com /errorsdomain=hxxp://errors.srvstatsdata.com /waitforbrowser=300 /extensionid=ldikpdnngdmeceeameoaannjilbjppnm /extensionversion=1.24.47 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0Og+0O/iUTSSLoomGFEn+0rpQIZoq10aFT0vQs8LsNr9444eE6uT/BIuG10LlGwGyrfFcofsRwySJRs86eW6TfxW7A9LWjrwX0EzraxUs8jXwFiHodYzfpcQZPN/NX9tavjy2xbLLoZun4F8pQspCqepsAeGmAiFT6BFGuENEzwIDAQAB /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x] - SUPPRIMÉ
[V1][ROGUE ST] Plus-HD-3.5-firefoxinstaller.job : C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-3.5' /extensionfilepath='C:\Program Files (x86)\Plus-HD-3.5\37180.xpi' /appid=37180 /srcid='000489' /subid='0' /zdata='0' /bic=0A3FF839E75A4BF2883C5C278A5F222AIE /verifier=74447784858ccb5b72a7203f3bd16a71 /installerversion=1_28_153 /installerfullversion=1.28.153.4 /installationtime=1383754402 /statsdomain=hxxp://stats.srvstatsdata.com /errorsdomain=hxxp://errors.srvstatsdata.com /waitforbrowser=300 /extensionid=d8222698-19e5-4827-b79e-0a077ea8eb7a@7b662f6d-3899-41e4-8864-6393447568da.com /extensionversion=0.92 /prefsbranch=ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/37180.rdf /allusers /allprofiles /externallog='' [7][x][x][x][x][x][x][x][x] - SUPPRIMÉ
[V2][SUSP PATH] MySearchDial : C:\Users\RGINE~1\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE - /Check [-] - SUPPRIMÉ
[V2][ROGUE ST] Plus-HD-3.5-chromeinstaller : C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-chromeinstaller.exe - /installcrx /agentregpath='Plus-HD-3.5' /extensionfilepath='C:\Program Files (x86)\Plus-HD-3.5\37180.crx' /appid=37180 /srcid='000489' /subid='0' /zdata='0' /bic=0A3FF839E75A4BF2883C5C278A5F222AIE /verifier=74447784858ccb5b72a7203f3bd16a71 /installerversion=1_28_153 /installerfullversion=1.28.153.4 /installationtime=1383754402 /statsdomain=hxxp://stats.srvstatsdata.com /errorsdomain=hxxp://errors.srvstatsdata.com /waitforbrowser=300 /extensionid=ldikpdnngdmeceeameoaannjilbjppnm /extensionversion=1.24.47 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0Og+0O/iUTSSLoomGFEn+0rpQIZoq10aFT0vQs8LsNr9444eE6uT/BIuG10LlGwGyrfFcofsRwySJRs86eW6TfxW7A9LWjrwX0EzraxUs8jXwFiHodYzfpcQZPN/NX9tavjy2xbLLoZun4F8pQspCqepsAeGmAiFT6BFGuENEzwIDAQAB /allusers /allprofiles /externallog='' [x][x][x][x][x][x][x] - ERROR DELETING TASK
[V2][ROGUE ST] Plus-HD-3.5-firefoxinstaller : C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-firefoxinstaller.exe - /installxpi /agentregpath='Plus-HD-3.5' /extensionfilepath='C:\Program Files (x86)\Plus-HD-3.5\37180.xpi' /appid=37180 /srcid='000489' /subid='0' /zdata='0' /bic=0A3FF839E75A4BF2883C5C278A5F222AIE /verifier=74447784858ccb5b72a7203f3bd16a71 /installerversion=1_28_153 /installerfullversion=1.28.153.4 /installationtime=1383754402 /statsdomain=hxxp://stats.srvstatsdata.com /errorsdomain=hxxp://errors.srvstatsdata.com /waitforbrowser=300 /extensionid=d8222698-19e5-4827-b79e-0a077ea8eb7a@7b662f6d-3899-41e4-8864-6393447568da.com /extensionversion=0.92 /prefsbranch=ad822269819e54827b79e0a077ea8eb7a7b662f6d389941e488646393447568dacom37180 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/37180.rdf /allusers /allprofiles /externallog='' [7][x][x][x][x][x][x][x][x] - ERROR DELETING TASK
[V2][SUSP PATH] Updater12767.exe : C:\Users\Régine\AppData\Local\Updater12767\Updater12767.exe - /extensionid=12767 /extensionname="Tiger Savings" /chromeid=akdojefgphalhhkagafpcoakgboeokdl [7][x] - SUPPRIMÉ
[V2][SUSP PATH] {9392B93A-9F99-4409-8A10-07139823D2AD} : C:\Users\Régine\Desktop\incredimail-backup-install.exe [x] - SUPPRIMÉ
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD2500BPVT-22JJ5T0 ATA Device +++++
--- User ---
[MBR] fb1f7ec37494b2811f914fe693c29c68
[BSP] afccd8245bfda5b026696cc5279286f0 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 225061 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine :
RKreport[0]_S_01162014_122446.txt
Bonjour,