Virus Rogue Fermé

Question

Bonjour, 

Mon père a attrapé un virus sur son ordinateur récemment et je suis incapable de m'en débarasser.  C'est un virus de type Rogue et il bloque toutes mes tentatives: je ne peux pas ouvrir le gestionnaire des tâches, je ne peux pas télécharger de logiciel antimalware et je n'ose pas m'aventurer dans le registre (le virus le bloque de toute façon).  

Serait-il possible de m'aider?  De plus, je ne suis pas la plus calée en informatique, j'aurais besoins de conseils simples a suivre.

Merci infiniement!

Configuration: Windows XP / Internet Explorer 7.0

Utilisateur anonyme · Accepted Answer

Bonjour Fleur
Pourrais tu essayer ceci
Télécharge sur le bureau RogueKiller
* Quitte tous les programmes en cours, c'est important
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lance simplement RogueKiller.exe
* Lorsque demandé, tape 1 et valide
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste
le contenu
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Si le rogue le bloque ressaye de le lancer en mode sans échec

remi3211 · Answer

Tu ne peux pas te servir de ton antivirus ?

Fleur · Answer

Non, je ne peux même pas ouvrir mon antivirus.  Le nom du Rogue est Spyware Protection, si cela peut vous aider.

remi3211 · Answer

Tu ne peux réellement rien télécharger ?

Fleur · Answer

Je peux télécharger, mais dès que j'essaye d'ouvrir le fichier, le virus le bloque.  Par exemple, j'ai téléchargé Malwarebytes, mais lorsque j'essaye d'exécuter le fichier, le virus le ferme.

remi3211 · Answer

Alors essaie d'aller sur un autre ordinateur, de télécharger Malwarebytes, de le mettre sur clef et de le lancer à partir de la clef.

Fleur · Answer

J'ai aussi essayé.. Pas de problème pour le mettre sur le port USB, je peux ouvrir la clef sur l'ordinateur infecté, mais quand j'essaye de lancer malewarebytes, le virus bloque encore.  Je crois que si je renomme le fichier exécutable, je pourrais lancer malewarebytes sur l'ordinateur infecté, mais je ne sais pas comment m'y prendre...  Une suggestion?

remi3211 · Answer

Télécharge un autre logiciel du genre ad-aware ou a-squared... Et ensuite lance un scan et détruit ce virus !

remi3211 · Answer

Sinon tu fais démarrer-->éxécuter---> MRT   et là tu te laisses guider, c'est un "antimalware" caché de windows.

Fleur · Answer

D'accord, je suis tes instructions.  Donne moi un moment, je te reviens la dessus.

Fleur · Answer

RogueKiller V5.0.0 [04/30/2011] by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: pgloutnay [Admin rights]
Mode: Scan -- Date : 05/01/2011 10:07:25

Bad processes: 1
[APPDT/TMP/DESKTOP] DEFENDER.EXE -- \\rootnfsb1\users\board office\staff\pgloutnay\application data\defender.exe -> KILLED

Registry Entries: 6
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : WeatherEye (C:\Documents and Settings\pgloutnay.ADNFSB.000\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : Spyware Protection (\\ROOTNFSB1\Users\Board Office\Staff\pgloutnay\Application Data\defender.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1272366781-1721382452-2136817461-1148[...]\Run : WeatherEye (C:\Documents and Settings\pgloutnay.ADNFSB.000\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1272366781-1721382452-2136817461-1148[...]\Run : Spyware Protection (\\ROOTNFSB1\Users\Board Office\Staff\pgloutnay\Application Data\defender.exe) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND

HOSTS File:
127.0.0.1 localhost

Finished : << RKreport[1].txt >>
RKreport[1].txt

Fleur · Answer

Voici le rapport.. Je peux aussi héberger les fichiers si tu trouves ça plus facile.

Utilisateur anonyme · Answer

Relance Rogue Killer et tape 2, puis poste le rapport

Fleur · Answer

RogueKiller V5.0.0 [04/30/2011] by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: pgloutnay [Admin rights]
Mode: Scan -- Date : 05/01/2011 10:07:25

Bad processes: 1
[APPDT/TMP/DESKTOP] DEFENDER.EXE -- \\rootnfsb1\users\board office\staff\pgloutnay\application data\defender.exe -> KILLED

Registry Entries: 6
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : WeatherEye (C:\Documents and Settings\pgloutnay.ADNFSB.000\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : Spyware Protection (\\ROOTNFSB1\Users\Board Office\Staff\pgloutnay\Application Data\defender.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1272366781-1721382452-2136817461-1148[...]\Run : WeatherEye (C:\Documents and Settings\pgloutnay.ADNFSB.000\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1272366781-1721382452-2136817461-1148[...]\Run : Spyware Protection (\\ROOTNFSB1\Users\Board Office\Staff\pgloutnay\Application Data\defender.exe) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND

HOSTS File:
127.0.0.1 localhost

Finished : << RKreport[1].txt >>
RKreport[1].txt

Utilisateur anonyme · Answer

On va faire une recherche approfondie d'un éventuel présence de dropper 
Un dropper, cela installe des cochonneries tels que les rogues

Fait attention aux sites de streaming qui cachent des rogues
Ne clique jamais sur les bannières publicitaires

Surtout ne redémarre pas ton PC

* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
Cette fois ci héberge le rapport, et donne le lien

Fleur · Answer

Le site me donne deux liens:
http://up.sur-la-toile.com/iMf5
[url=http://up.sur-la-toile.com/sMf5]ZHPDiag.txt/url

Utilisateur anonyme · Answer

Y'a un peu de nettoyage à faire


Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html    
ou
https://www.androidworld.fr/ 
Désactive l'anti-virus

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur Scanner.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans C:\Ad-Remover-SCAN[1].txt

Fleur · Answer

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Launched at 10:42:07 on 01/05/2011, Normal boot

Microsoft Windows XP Professional Service Pack 3 (X86) 
pgloutnay@BO-AE-PG-LP02 ( ) 
 
============== SEARCH ==============


Folder found: \ROOTNFSB1\Users\Board Office\Staff\PGloutnay\Application Data\PriceGong

Key found: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key found: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
Key found: HKLM\Software\Classes\Conduit.Engine
Key found: HKLM\Software\Classes\Toolbar.CT2857573
Key found: HKLM\Software\Conduit
Key found: HKCU\Software\PopCap
Key found: HKCU\Software\PriceGong
Key found: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Value found: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== ADDITIONNAL SCAN ==============

**** Internet Explorer Version [7.0.5730.11] ****

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://www.google.ca/
HKLM_Main|Default_Page_URL - hxxp://lenovo.live.com
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search bar - hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
HKCU_SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} - "Elf 1.13 Customized Web Search" (hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...)
HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)
HKCU_ElevationPolicy\{8E66592B-8E7C-4A14-88A5-8BF21032F651} - C:\PROGRA~1\Yahoo!\companion\installs\cpn\ytbb.exe (x)
HKCU_Extensions\{F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - "Correcteur" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.K.P100.ico)
HKCU_Extensions\{F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - "Dictionnaires" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.D.P100.ico)
HKCU_Extensions\{FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - "Guides" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.G.P100.ico)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\ThinkPad\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 File(s)
C:\Program Files\Ad-Remover\Backup: 1 File(s)

U:\Ad-Report-SCAN[1].txt - 454/23/   0 62816:139:1816 (3348 Byte(s)) 

End at: 10:44:33, 01/05/2011 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Relance AD Remover, et clique sur nettoyer, et poste
le rapport C:\Ad-Remover-CLEAN[1].txt

Fleur · Answer

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 10:54:18 on 01/05/2011, Normal boot

Microsoft Windows XP Professional Service Pack 3 (X86) 
pgloutnay@BO-AE-PG-LP02 ( ) 
 
============== ACTION(S) ==============


Folder deleting error: \ROOTNFSB1\Users\Board Office\Staff\PGloutnay\Application Data\PriceGong

(!) -- Temporary files deleted.


Key deleted: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key deleted: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
Key deleted: HKLM\Software\Classes\Conduit.Engine
Key deleted: HKLM\Software\Classes\Toolbar.CT2857573
Key deleted: HKLM\Software\Conduit
Key deleted: HKCU\Software\PopCap
Key deleted: HKCU\Software\PriceGong
Key deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Value deleted: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== ADDITIONNAL SCAN ==============

**** Internet Explorer Version [7.0.5730.11] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
HKCU_ElevationPolicy\{8E66592B-8E7C-4A14-88A5-8BF21032F651} - C:\PROGRA~1\Yahoo!\companion\installs\cpn\ytbb.exe (x)
HKCU_Extensions\{F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - "Correcteur" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.K.P100.ico)
HKCU_Extensions\{F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - "Dictionnaires" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.D.P100.ico)
HKCU_Extensions\{FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - "Guides" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.G.P100.ico)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\ThinkPad\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 28 File(s)
C:\Program Files\Ad-Remover\Backup: 14 File(s)

U:\Ad-Report-SCAN[1].txt - 456/56/   0 62816:139:1816 (3493 Byte(s)) 
U:\Ad-Report-CLEAN[1].txt - 449/56/   0 62816:139:1816 (3412 Byte(s)) 

End at: 10:56:51, 01/05/2011 
 
============== E.O.F ==============

Fleur · Answer

Et ensuite? :)

Utilisateur anonyme · Answer

Tu vas faire un scan généraliste pour nettoyer d'éventuels fichiers ou autres
éléments infectés

Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller

Fleur · Answer

D'accord, merci beaucoup!  Je te reviens un peu plus tard avec les résultats.

Fleur · Answer

J'ai un problème avec le scan de malwarebytes.  Pendant le scan, un écran bleu apparait tout d'un coup et dit qu'une erreure fatale s'est produite et que windows doit redémarrer. Après avoir redémarré, un message apparaît comme quoi Windows vient de réparer une erreur fatale.  Ça c'est produit 2 fois.  Voici quelques renseignements sur le problème:

Error signature
BCCode : 35     BCP1 : 869268B8     BCP2 : 00000000     BCP3 : 00000000     
BCP4 : 00000000     OSVer : 5_1_2600     SP : 3_0     Product : 256_1 

Windows me fournit aussi un rapport que j'ai hébergé:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijEI3KPOA.txt

Virus Rogue

24 réponses

Discussions similaires