Windows Repair :(

electro -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,

J'ai attrapé le virus Windows repair, et j'aimerai donc évidemment m'en débarasser...
Je suis en train de télécharger RogueKiller, que dois-je faire ensuite ?

14 réponses

Résumé de la discussion

Le problème central est la suppression du malware Windows Repair sur Windows Vista, avec les premières démarches utilisant RogueKiller et l'évaluation des outils et méthodes recommandées par les contributeurs pour nettoyer le système. Des solutions variées sont proposées: Malwarebytes, ZHPDiag, AD-Remover et des rapports à héberger sur cijoint, des étapes comme lancer en mode administrateur, capturer et partager les rapports. Parallèlement, des symptômes persistants tels que changement de page d'accueil, historiques inhabituels et annonces audio apparaissent, et des échanges évoquent des précautions ainsi que l'échec potentiel lorsque RogueKiller est renommé.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    Le passer en mode 2 (Suppression), poster le rapport, et faire un scan complet avec Malwarebytes
    1
  2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    ok

    * Télécharge ZHPDiag
    Capture

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Heberge le rapport ici: cijoint et colle le lien dans la réponse
    1
  3. electro
     
    Voici le rapport du mode 2 :
    RogueKiller V4.3.6 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Utilisateur [Droits d'admin]
    Mode: Suppression -- Date : 03/04/2011 20:40:22

    Processus malicieux: 2
    [APPDT/TMP/DESKTOP] ceNQJDAVBWkpog.exe -- c:\programdata\cenqjdavbwkpog.exe -> KILLED
    [APPDT/TMP/DESKTOP] 43376392.exe -- c:\programdata\43376392.exe -> KILLED

    Entrees de registre: 7
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : ceNQJDAVBWkpog (C:\ProgramData\ceNQJDAVBWkpog.exe) -> DELETED
    [APPDT/TMP/DESKTOP] HKLM\[...]\Run : sysgif32 (C:\Users\UTILIS~1\AppData\Local\Temp\~TM6192.tmp) -> DELETED
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
    [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Utilisateur\AppData\Roaming\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp)

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. electro
       
      Et Malwarbytes refuse de s'installer
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Après la manip avec RogueKiller Malwarebytes marche?
      0
    3. electro
       
      oui, j'ai lancé l'examen complet
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      ok, j'attends le rapport
      0
  4. electro
     
    Voilà le rapport mbam :
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6268

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18999

    04/04/2011 22:23:15
    mbam-log-2011-04-04 (22-23-09).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
    Elément(s) analysé(s): 408512
    Temps écoulé: 2 heure(s), 52 minute(s), 13 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 9


    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor (Backdoor.Agent) -> Value: NVIDIA driver monitor -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\(default) (Hijack.SearchPage) -> Bad: (http://www.cherche.us/keyword/%s) Good: (http://www.google.com/) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com/) -> No action taken.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\$Recycle.Bin\s-1-5-21-2643859111-1106682878-1366801574-1004\$R4I5XLL\minecraftcrack.exe (Backdoor.Bot) -> No action taken.
    c:\programdata\43376392.exe (Rogue.FakeHDD) -> No action taken.
    c:\programdata\cenqjdavbwkpog.exe (Trojan.FakeAlert) -> No action taken.
    c:\Users\utilisateur\AppData\Local\Temp\jar_cache44203.tmp (Trojan.FakeAlert) -> No action taken.
    c:\Users\utilisateur\AppData\Roaming\minecraftcrack.exe (Backdoor.Bot) -> No action taken.
    c:\Users\utilisateur\Desktop\rk_quarantine\43376392.exe.vir (Rogue.FakeHDD) -> No action taken.
    c:\Users\utilisateur\Desktop\rk_quarantine\cenqjdavbwkpog.exe.vir (Trojan.FakeAlert) -> No action taken.
    c:\Users\utilisateur\téléchargements\facebook-pic000934519.exe (Backdoor.Bot) -> No action taken.
    c:\Users\utilisateur\AppData\Roaming\data.dat (Stolen.Data) -> No action taken.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu as bien tout supprimé?
      0
    2. electro
       
      oui
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. electro
     
    http://www.cijoint.fr/cj201104/cijiRByhnd.txt
    0
  7. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Télécharger sur le bureau
    AD-Remover
    = Double-Clic AD-R pour l'installer
    = Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
    = Faire Nettoyer
    = En fin de scan donner le rapport
    0
  8. electro
     
    http://www.cijoint.fr/cj201104/cijFsgeNYK.txt
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      ça va mieux?
      0
    2. electro
       
      bah ya d'autres problèmes qui apparaissent :
      - Déjà ma page de démarrage internet a été changée... (Il y a d'ailleur eu une fenêtre d'avertissement comme qui un programme avait corrompu la page d'acceuil...)
      - J'ai des sites dans l'historique qui s'ajoutent intempestivement
      - et De temps en temps, un son se lance (une musique ou une pub) sans que j'en connaisse la source... Merci de l'aide
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      refait un scan avec ZHPDiag
      0
  9. electro
     
    http://www.cijoint.fr/cj201104/cijGNjHZRf.txt
    0
  10. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Télécharger et dézipper sur le bureau TDSSKiller

    = Lancer TDSSKiller en faisant un double clique
    = Une fois le scan fini, un rapport s'ouvre
    = Copier coller le contenu dans la prochaine réponse
    = Le rapport se trouve également dans C:\TDSSKiller.XXXXXX_log.txt.( X correspondant a la version, la date et l'heure )

    0
    1. electro
       
      le programme ne se lance pas...
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      essaie en mode sans échec
      0
    3. electro
       
      non toujours pas...
      0
  11. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    ok, on va essayer autre chose

    Télécharger et enregistrer sur le bureau
    Combofix

    =Desactiver l'antivirus
    =Double-clic sur Combofix
    = Presser 1 si demandé
    = Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
    =Copier/coller le rapport dans la réponse
    Un rapport dans C:\Combofix.txt à mettre dans la réponse
    Réactiver l'antivirus
    0
    1. electro
       
      J'ai lancé le programme mais aucun rapport n'apparaît à l'endroit indiqué, j'ai juste un dossier combofix avec plein de fichiers dans C: .
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Et dans le dossier Qoobox?
      0
    3. electro
       
      J'ai un fichier combofix.txt :
      ComboFix 11-04-11.01 - Utilisateur 11/04/2011 23:26:17.1.2 - x86
      Microsoft® Windows Vista(TM) Professionnel 6.0.6002.2.1252.33.1036.18.3065.1803 [GMT 2:00]
      Lancé depuis: C:\Users\Utilisateur\Desktop\ComboFix.exe
      SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      * Un antivirus résident est actif
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Yep, donne tout le contenu
      0
    5. electro
       
      ya rien d'autre ds le fichier
      0
  12. electro
     
    Même en relançant, ça ne donne rien de mieux, mais mon PC a du mal avec ce logiciel, il bug qd je le lance et redémarre très difficilement automatiquement après...
    0
  13. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Télécharger sur le bureau
    Gmer
    = Clic sur ==> GMER Application: Gmer.zip
    = Clic-droit sur l'archive Gmer
    = Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    = Double-clic sur Gmer qui vient de se créer
    = Une fenêtre s'ouvre, clic Scan
    Patienter jusqu'à la fin du scan
    = Clic Save
    = Choisir => bureau => nommer : rapport
    0
    1. electro
       
      Non, le pc refuse de finir le scan ( plantage et redémarrage...)
      On va y arriver ! ;)
      0
    2. electro
       
      en fait j'y suis arrivé en mode ss échec, voici le rapport :
      http://www.cijoint.fr/cj201104/cij1wx6BMK.txt
      0
  14. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Bon, ça sent pas très bon ton histoire.
    Tu as un CD windows?

    *Télécharge ce fichier : Bootkit_remover
    *Tu le dérar et tu le lances.

    *Tu fais un screenshot de la fenetre noire et tu attaches l'image ici et tu donnes le lien
    0
    1. electro
       
      http://up.sur-la-toile.com/iLPv
      0
    2. electro
       
      Si tu veux je peux rappeler les "symptômes" :
      -Des Sites s'ajoutent dans mon historique internet.
      -Des sons se lancent de tps en tps sur mon PC (pubs)
      -Quand je fais une recherche google et que je clique sur un résultat, il arrive que je sois redirigé vers un site ("gomeo"...)
      0
  15. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Recommence Combofix, mais en mode sans échec.
    J'ai l'impression que ton PC est verrouillé de partout par le rootkit.
    0