Windows Repair :(
Tigzy Messages postés 7983 Statut Contributeur sécurité -
J'ai attrapé le virus Windows repair, et j'aimerai donc évidemment m'en débarasser...
Je suis en train de télécharger RogueKiller, que dois-je faire ensuite ?
14 réponses
Le problème central est la suppression du malware Windows Repair sur Windows Vista, avec les premières démarches utilisant RogueKiller et l'évaluation des outils et méthodes recommandées par les contributeurs pour nettoyer le système. Des solutions variées sont proposées: Malwarebytes, ZHPDiag, AD-Remover et des rapports à héberger sur cijoint, des étapes comme lancer en mode administrateur, capturer et partager les rapports. Parallèlement, des symptômes persistants tels que changement de page d'accueil, historiques inhabituels et annonces audio apparaissent, et des échanges évoquent des précautions ainsi que l'échec potentiel lorsque RogueKiller est renommé.
-
Salut
Le passer en mode 2 (Suppression), poster le rapport, et faire un scan complet avec Malwarebytes
-
ok
* Télécharge ZHPDiag
Capture
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: cijoint et colle le lien dans la réponse
-
Voici le rapport du mode 2 :
RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Utilisateur [Droits d'admin]
Mode: Suppression -- Date : 03/04/2011 20:40:22
Processus malicieux: 2
[APPDT/TMP/DESKTOP] ceNQJDAVBWkpog.exe -- c:\programdata\cenqjdavbwkpog.exe -> KILLED
[APPDT/TMP/DESKTOP] 43376392.exe -- c:\programdata\43376392.exe -> KILLED
Entrees de registre: 7
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : ceNQJDAVBWkpog (C:\ProgramData\ceNQJDAVBWkpog.exe) -> DELETED
[APPDT/TMP/DESKTOP] HKLM\[...]\Run : sysgif32 (C:\Users\UTILIS~1\AppData\Local\Temp\~TM6192.tmp) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp)
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt -
Voilà le rapport mbam :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6268
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999
04/04/2011 22:23:15
mbam-log-2011-04-04 (22-23-09).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 408512
Temps écoulé: 2 heure(s), 52 minute(s), 13 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor (Backdoor.Agent) -> Value: NVIDIA driver monitor -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\(default) (Hijack.SearchPage) -> Bad: (http://www.cherche.us/keyword/%s) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com/) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\$Recycle.Bin\s-1-5-21-2643859111-1106682878-1366801574-1004\$R4I5XLL\minecraftcrack.exe (Backdoor.Bot) -> No action taken.
c:\programdata\43376392.exe (Rogue.FakeHDD) -> No action taken.
c:\programdata\cenqjdavbwkpog.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\utilisateur\AppData\Local\Temp\jar_cache44203.tmp (Trojan.FakeAlert) -> No action taken.
c:\Users\utilisateur\AppData\Roaming\minecraftcrack.exe (Backdoor.Bot) -> No action taken.
c:\Users\utilisateur\Desktop\rk_quarantine\43376392.exe.vir (Rogue.FakeHDD) -> No action taken.
c:\Users\utilisateur\Desktop\rk_quarantine\cenqjdavbwkpog.exe.vir (Trojan.FakeAlert) -> No action taken.
c:\Users\utilisateur\téléchargements\facebook-pic000934519.exe (Backdoor.Bot) -> No action taken.
c:\Users\utilisateur\AppData\Roaming\data.dat (Stolen.Data) -> No action taken. -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-
Télécharger sur le bureau
AD-Remover
= Double-Clic AD-R pour l'installer
= Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
= Faire Nettoyer
= En fin de scan donner le rapport -
-
-
bah ya d'autres problèmes qui apparaissent :
- Déjà ma page de démarrage internet a été changée... (Il y a d'ailleur eu une fenêtre d'avertissement comme qui un programme avait corrompu la page d'acceuil...)
- J'ai des sites dans l'historique qui s'ajoutent intempestivement
- et De temps en temps, un son se lance (une musique ou une pub) sans que j'en connaisse la source... Merci de l'aide -
-
-
-
Télécharger et dézipper sur le bureau TDSSKiller
= Lancer TDSSKiller en faisant un double clique
= Une fois le scan fini, un rapport s'ouvre
= Copier coller le contenu dans la prochaine réponse
= Le rapport se trouve également dans C:\TDSSKiller.XXXXXX_log.txt.( X correspondant a la version, la date et l'heure )
-
ok, on va essayer autre chose
Télécharger et enregistrer sur le bureau
Combofix
=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
-
-
-
J'ai un fichier combofix.txt :
ComboFix 11-04-11.01 - Utilisateur 11/04/2011 23:26:17.1.2 - x86
Microsoft® Windows Vista(TM) Professionnel 6.0.6002.2.1252.33.1036.18.3065.1803 [GMT 2:00]
Lancé depuis: C:\Users\Utilisateur\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un antivirus résident est actif -
-
-
-
Même en relançant, ça ne donne rien de mieux, mais mon PC a du mal avec ce logiciel, il bug qd je le lance et redémarre très difficilement automatiquement après...
-
Télécharger sur le bureau
Gmer
= Clic sur ==> GMER Application: Gmer.zip
= Clic-droit sur l'archive Gmer
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= Double-clic sur Gmer qui vient de se créer
= Une fenêtre s'ouvre, clic Scan
Patienter jusqu'à la fin du scan
= Clic Save
= Choisir => bureau => nommer : rapport
-
Bon, ça sent pas très bon ton histoire.
Tu as un CD windows?
*Télécharge ce fichier : Bootkit_remover
*Tu le dérar et tu le lances.
*Tu fais un screenshot de la fenetre noire et tu attaches l'image ici et tu donnes le lien
-
Recommence Combofix, mais en mode sans échec.
J'ai l'impression que ton PC est verrouillé de partout par le rootkit.