[Tigzy]

As you said EP, nothing complicated. RK uses only documented APIs, and all userland to do this.

Code: Select all

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB49812$ >> \systemroot\system32\config --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB49812$\2696372771\U\00000004.@ --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\Windows\$NtUninstallKB49812$\2696372771\U\00000008.@ --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\Windows\$NtUninstallKB49812$\2696372771\U\000000cb.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB49812$\2696372771\U\80000000.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB49812$\2696372771\U\80000032.@ --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB49812$\2696372771\U --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB49812$\2696372771 --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB49812$ --> SUPPRIMÉ AU REBOOT
[Faked.Drv|ZeroAccess][FILE] afd.sys : C:\Windows\system32\drivers\afd.sys --> REMPLACÉ AU REBOOT (C:\Windows\snack\afd.sys)

[EP_X0FF]

Wow