A voir également:
- Aude pour gen
- Xiaomi tv box s 2nd gen test - Accueil - TV & Vidéo
- E-gen - Forum Windows XP
- Win64 pup gen ✓ - Forum Virus
- Win64:miscx-gen - Forum Virus
- Oxy-gen - Télécharger - Généalogie
16 réponses
RogueKiller V4.3.7 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec
Utilisateur: r.dufour [Droits d'admin]
Mode: Suppression -- Date : 06/04/2011 23:22:01
Processus malicieux: 0
Entrees de registre: 1
[APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : lBc24512eOjEc24512 (C:\ProgramData\lBc24512eOjEc24512\lBc24512eOjEc24512.exe) -> DELETED
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Merci beaucoup!!
Mais en fait le virus est parti... Il faut quand même que tu fasses quelque chose avec le rapport?
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec
Utilisateur: r.dufour [Droits d'admin]
Mode: Suppression -- Date : 06/04/2011 23:22:01
Processus malicieux: 0
Entrees de registre: 1
[APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : lBc24512eOjEc24512 (C:\ProgramData\lBc24512eOjEc24512\lBc24512eOjEc24512.exe) -> DELETED
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Merci beaucoup!!
Mais en fait le virus est parti... Il faut quand même que tu fasses quelque chose avec le rapport?
Utilisateur anonyme
11 avril 2011 à 19:39
11 avril 2011 à 19:39
re
desactive tes protections puis enregistre ceci sur ton bureau
Pre_Scan
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
desactive tes protections puis enregistre ceci sur ton bureau
Pre_Scan
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
Voila:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.27 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤ XP | Vista | Seven - 32/64 ¤
Mis à jour le 11/04/2011 | 19.15 par g3n-h@ckm@n
Utilisateur : r.dufour (Administrateurs)
Ordinateur : PC-DUFOUR
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Architecture OS : X86
Internet Explorer : 8.0.6001.19019
Mozilla Firefox :
Scan : 12:29:45 | 12/04/2011
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\userinit.exe, -> C:\Windows\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : comfile
[comfile | command] : "%1" %*
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*
¤
[IE | Command] | @ -> Modification apportée : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1
[Chrome | Command] | @ -> Aucune modification : "C:\Program Files\Google\Chrome\Application\chrome.exe" -> "C:\Program Files\Google\Chrome\Application\chrome.exe"
¤
¤
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
[Ndisuio] | Start -> Aucune modification : 3 -> 3
[lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
[agp440] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
[Bits] | Start -> Aucune modification : 2 -> 2 : Service Actif
[CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[EapHost] | Start -> Modification apportée : 3 -> 2 : Service Actif
[Wlansvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[SharedAccess] | Start -> Modification apportée : 4 -> 2 : Service Redemarré
[windefend] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[WerSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKCU | Main] | Start Page -> Modification apportée : http://www.bluewin.ch/ -> http://www.google.com/
[HKCU | Main] | Local Page -> Aucune Modification : C:\Windows\system32\blank.htm -> C:\Windows\system32\blank.htm
[HKCU | Main] | Search Page -> Modification apportée : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[HKLM | Main] | Start Page -> Modification apportée : http://www.yahoo.com -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Aucune Modification : C:\Windows\System32\blank.htm -> C:\Windows\System32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Modification apportée : http://www.yahoo.com -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
C:\Windows\explorer.exe -> Processus stoppé
¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤
Supprimé : [HKCU\..\..\Mountpoints2\{b363fb3c-beb9-11dd-b973-001b24d6ba7f}] -> command : F:\setupSNK.exe
¤¤¤¤¤¤¤¤¤¤ MBR ¤¤¤¤¤¤¤¤¤¤
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line: -za C:\MBR\MBR.bin
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: Quanta
BIOS Manufacturer: Hewlett-Packard
System Manufacturer: Hewlett-Packard
System Product Name: HP Pavilion dv6500 Notebook PC
Logical Drives Mask: 0x0000000c
Analysis of file "C:\MBR\MBR.bin":
Unknown MBR code
Done!
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Fin : 12:29:53
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.27 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤ XP | Vista | Seven - 32/64 ¤
Mis à jour le 11/04/2011 | 19.15 par g3n-h@ckm@n
Utilisateur : r.dufour (Administrateurs)
Ordinateur : PC-DUFOUR
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Architecture OS : X86
Internet Explorer : 8.0.6001.19019
Mozilla Firefox :
Scan : 12:29:45 | 12/04/2011
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\userinit.exe, -> C:\Windows\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : comfile
[comfile | command] : "%1" %*
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*
¤
[IE | Command] | @ -> Modification apportée : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1
[Chrome | Command] | @ -> Aucune modification : "C:\Program Files\Google\Chrome\Application\chrome.exe" -> "C:\Program Files\Google\Chrome\Application\chrome.exe"
¤
¤
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
[Ndisuio] | Start -> Aucune modification : 3 -> 3
[lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
[agp440] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
[Bits] | Start -> Aucune modification : 2 -> 2 : Service Actif
[CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[EapHost] | Start -> Modification apportée : 3 -> 2 : Service Actif
[Wlansvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[SharedAccess] | Start -> Modification apportée : 4 -> 2 : Service Redemarré
[windefend] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[WerSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKCU | Main] | Start Page -> Modification apportée : http://www.bluewin.ch/ -> http://www.google.com/
[HKCU | Main] | Local Page -> Aucune Modification : C:\Windows\system32\blank.htm -> C:\Windows\system32\blank.htm
[HKCU | Main] | Search Page -> Modification apportée : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[HKLM | Main] | Start Page -> Modification apportée : http://www.yahoo.com -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Aucune Modification : C:\Windows\System32\blank.htm -> C:\Windows\System32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Modification apportée : http://www.yahoo.com -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
C:\Windows\explorer.exe -> Processus stoppé
¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤
Supprimé : [HKCU\..\..\Mountpoints2\{b363fb3c-beb9-11dd-b973-001b24d6ba7f}] -> command : F:\setupSNK.exe
¤¤¤¤¤¤¤¤¤¤ MBR ¤¤¤¤¤¤¤¤¤¤
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line: -za C:\MBR\MBR.bin
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: Quanta
BIOS Manufacturer: Hewlett-Packard
System Manufacturer: Hewlett-Packard
System Product Name: HP Pavilion dv6500 Notebook PC
Logical Drives Mask: 0x0000000c
Analysis of file "C:\MBR\MBR.bin":
Unknown MBR code
Done!
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Fin : 12:29:53
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
Utilisateur anonyme
12 avril 2011 à 13:52
12 avril 2011 à 13:52
hello le Vista qui est dessus est d'origine ou il a deja ete reinstallé ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
13 avril 2011 à 12:46
13 avril 2011 à 12:46
non
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Configuration
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Configuration
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
Utilisateur anonyme
13 avril 2011 à 13:39
13 avril 2011 à 13:39
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Bah rien, juste après avoir poster les liens j'ai éteins mon ordi et le soir je pouvais plus l'alumer... Je sais plus quoi essayer j'ai essayer de l'alumer en mode sans échec, j'ai fais "réparer l'ordinateur" en apuyant sur F1 ou Fqqchose mais ça n'a rien fait... Juste après le choix du mode de démarage l'écran devient tout noir avec la souri que je peux bouger mais c'est tout il reste comme ça...
Ahhhh ouiiiii j'ai réussi!!!
J'ai fais "configurer a un état antérieur" un truc comme ça..
Je peux continuer ce qu'on est en train de faire ou c'est justement a cause de ça qu'il a plante??
J'ai fais "configurer a un état antérieur" un truc comme ça..
Je peux continuer ce qu'on est en train de faire ou c'est justement a cause de ça qu'il a plante??
Utilisateur anonyme
14 avril 2011 à 14:30
14 avril 2011 à 14:30
rrelance l'utilitaire de demarrage , puis fais suivant , choisis le dernier choix , puis tape :
bootrec.exe /fixboot
entrée
bootrec.exe /fixmbr
entrée
exit
entrée
puis reessaie de redemarrer normalement
bootrec.exe /fixboot
entrée
bootrec.exe /fixmbr
entrée
exit
entrée
puis reessaie de redemarrer normalement
11 avril 2011 à 18:40
5- Il est important de suivre (lire entièrement) chaque procédure dans l'ordre proposé et jusqu'au bout !
6- Même si le PC va mieux, ou si le malware que tu nous as signalé est supprimé, ne pas partir tant que le helper n'a pas confirmé la fin de la désinfection ; en effet, il pourrait rester des traces, ou d'autres infections à traiter !
Al.