Virus Rogue

Fleur -  
 Fleur -
Bonjour,

Mon père a attrapé un virus sur son ordinateur récemment et je suis incapable de m'en débarasser. C'est un virus de type Rogue et il bloque toutes mes tentatives: je ne peux pas ouvrir le gestionnaire des tâches, je ne peux pas télécharger de logiciel antimalware et je n'ose pas m'aventurer dans le registre (le virus le bloque de toute façon).

Serait-il possible de m'aider? De plus, je ne suis pas la plus calée en informatique, j'aurais besoins de conseils simples a suivre.

Merci infiniement!

24 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Bonjour Fleur
    Pourrais tu essayer ceci
    Télécharge sur le bureau RogueKiller
    * Quitte tous les programmes en cours, c'est important
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lance simplement RogueKiller.exe
    * Lorsque demandé, tape 1 et valide
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste
    le contenu
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    Si le rogue le bloque ressaye de le lancer en mode sans échec

    2
  2. remi3211 Messages postés 521 Statut Membre 54
     
    Tu ne peux pas te servir de ton antivirus ?
    0
  3. Fleur
     
    Non, je ne peux même pas ouvrir mon antivirus. Le nom du Rogue est Spyware Protection, si cela peut vous aider.
    0
  4. remi3211 Messages postés 521 Statut Membre 54
     
    Tu ne peux réellement rien télécharger ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Fleur
     
    Je peux télécharger, mais dès que j'essaye d'ouvrir le fichier, le virus le bloque. Par exemple, j'ai téléchargé Malwarebytes, mais lorsque j'essaye d'exécuter le fichier, le virus le ferme.
    0
  7. remi3211 Messages postés 521 Statut Membre 54
     
    Alors essaie d'aller sur un autre ordinateur, de télécharger Malwarebytes, de le mettre sur clef et de le lancer à partir de la clef.
    0
  8. Fleur
     
    J'ai aussi essayé.. Pas de problème pour le mettre sur le port USB, je peux ouvrir la clef sur l'ordinateur infecté, mais quand j'essaye de lancer malewarebytes, le virus bloque encore. Je crois que si je renomme le fichier exécutable, je pourrais lancer malewarebytes sur l'ordinateur infecté, mais je ne sais pas comment m'y prendre... Une suggestion?
    0
  9. Fleur
     
    D'accord, je suis tes instructions. Donne moi un moment, je te reviens la dessus.
    0
  10. Fleur
     
    RogueKiller V5.0.0 [04/30/2011] by Tigzy
    contact at http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Started in : Normal mode
    User: pgloutnay [Admin rights]
    Mode: Scan -- Date : 05/01/2011 10:07:25

    Bad processes: 1
    [APPDT/TMP/DESKTOP] DEFENDER.EXE -- \\rootnfsb1\users\board office\staff\pgloutnay\application data\defender.exe -> KILLED

    Registry Entries: 6
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : WeatherEye (C:\Documents and Settings\pgloutnay.ADNFSB.000\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe) -> FOUND
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : Spyware Protection (\\ROOTNFSB1\Users\Board Office\Staff\pgloutnay\Application Data\defender.exe) -> FOUND
    [APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1272366781-1721382452-2136817461-1148[...]\Run : WeatherEye (C:\Documents and Settings\pgloutnay.ADNFSB.000\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe) -> FOUND
    [APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1272366781-1721382452-2136817461-1148[...]\Run : Spyware Protection (\\ROOTNFSB1\Users\Board Office\Staff\pgloutnay\Application Data\defender.exe) -> FOUND
    [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
    [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND

    HOSTS File:
    127.0.0.1 localhost

    Finished : << RKreport[1].txt >>
    RKreport[1].txt
    0
  11. Fleur
     
    Voici le rapport.. Je peux aussi héberger les fichiers si tu trouves ça plus facile.
    0
  12. Utilisateur anonyme
     
    Relance Rogue Killer et tape 2, puis poste le rapport
    0
  13. Fleur
     
    RogueKiller V5.0.0 [04/30/2011] by Tigzy
    contact at http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Started in : Normal mode
    User: pgloutnay [Admin rights]
    Mode: Remove -- Date : 05/01/2011 10:16:04

    Bad processes: 0

    Registry Entries: 4
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : WeatherEye (C:\Documents and Settings\pgloutnay.ADNFSB.000\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe) -> DELETED
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : Spyware Protection (\\ROOTNFSB1\Users\Board Office\Staff\pgloutnay\Application Data\defender.exe) -> DELETED
    [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
    [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)

    HOSTS File:
    127.0.0.1 localhost

    Finished : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  14. Utilisateur anonyme
     
    On va faire une recherche approfondie d'un éventuel présence de dropper
    Un dropper, cela installe des cochonneries tels que les rogues

    Fait attention aux sites de streaming qui cachent des rogues
    Ne clique jamais sur les bannières publicitaires

    Surtout ne redémarre pas ton PC

    * Télécharge ZHPDiag (de Nicolas Coolman)
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
    ftp://zebulon.fr/ZHPDiag2.exe

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Surtout, n'oublie pas d'installer son icône sur le bureau
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI
    Cette fois ci héberge le rapport, et donne le lien
    0
  15. Fleur
     
    Le site me donne deux liens:
    http://up.sur-la-toile.com/iMf5
    [url=http://up.sur-la-toile.com/sMf5]ZHPDiag.txt/url
    0
  16. Utilisateur anonyme
     
    Y'a un peu de nettoyage à faire

    Télécharge Ad-Remover (de C_XX) sur ton bureau:
    http://www.teamxscript.org/adremoverTelechargement.html
    ou
    https://www.androidworld.fr/
    Désactive l'anti-virus

    Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur Scanner.
    Laisse travailler l'outil.
    Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
    Il est sauvegardé dans C:\Ad-Remover-SCAN[1].txt
    0
  17. Fleur
     
    ======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

    Updated by TeamXscript on 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    website: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Launched at 10:42:07 on 01/05/2011, Normal boot

    Microsoft Windows XP Professional Service Pack 3 (X86)
    pgloutnay@BO-AE-PG-LP02 ( )

    ============== SEARCH ==============

    Folder found: \\ROOTNFSB1\Users\Board Office\Staff\PGloutnay\Application Data\PriceGong

    Key found: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
    Key found: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
    Key found: HKLM\Software\Classes\Conduit.Engine
    Key found: HKLM\Software\Classes\Toolbar.CT2857573
    Key found: HKLM\Software\Conduit
    Key found: HKCU\Software\PopCap
    Key found: HKCU\Software\PriceGong
    Key found: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

    Value found: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== ADDITIONNAL SCAN ==============

    **** Internet Explorer Version [7.0.5730.11] ****

    HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Start Page - hxxp://www.google.ca/
    HKLM_Main|Default_Page_URL - hxxp://lenovo.live.com
    HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Search bar - hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
    HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
    HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
    HKCU_SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} - "Elf 1.13 Customized Web Search" (hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...)
    HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)
    HKCU_ElevationPolicy\{8E66592B-8E7C-4A14-88A5-8BF21032F651} - C:\PROGRA~1\Yahoo!\companion\installs\cpn\ytbb.exe (x)
    HKCU_Extensions\{F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - "Correcteur" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.K.P100.ico)
    HKCU_Extensions\{F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - "Dictionnaires" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.D.P100.ico)
    HKCU_Extensions\{FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - "Guides" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.G.P100.ico)
    HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\ThinkPad\Bluetooth Software\bt_cold_icon.ico)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
    BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 File(s)
    C:\Program Files\Ad-Remover\Backup: 1 File(s)

    U:\Ad-Report-SCAN[1].txt - 454/23/ 0 62816:139:1816 (3348 Byte(s))

    End at: 10:44:33, 01/05/2011

    ============== E.O.F ==============
    0
  18. Utilisateur anonyme
     
    Relance AD Remover, et clique sur nettoyer, et poste
    le rapport C:\Ad-Remover-CLEAN[1].txt
    0
  19. Fleur
     
    ======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

    Updated by TeamXscript on 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    website: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 10:54:18 on 01/05/2011, Normal boot

    Microsoft Windows XP Professional Service Pack 3 (X86)
    pgloutnay@BO-AE-PG-LP02 ( )

    ============== ACTION(S) ==============

    Folder deleting error: \\ROOTNFSB1\Users\Board Office\Staff\PGloutnay\Application Data\PriceGong

    (!) -- Temporary files deleted.

    Key deleted: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
    Key deleted: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
    Key deleted: HKLM\Software\Classes\Conduit.Engine
    Key deleted: HKLM\Software\Classes\Toolbar.CT2857573
    Key deleted: HKLM\Software\Conduit
    Key deleted: HKCU\Software\PopCap
    Key deleted: HKCU\Software\PriceGong
    Key deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

    Value deleted: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== ADDITIONNAL SCAN ==============

    **** Internet Explorer Version [7.0.5730.11] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
    HKCU_ElevationPolicy\{8E66592B-8E7C-4A14-88A5-8BF21032F651} - C:\PROGRA~1\Yahoo!\companion\installs\cpn\ytbb.exe (x)
    HKCU_Extensions\{F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - "Correcteur" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.K.P100.ico)
    HKCU_Extensions\{F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - "Dictionnaires" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.D.P100.ico)
    HKCU_Extensions\{FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - "Guides" (C:\Program Files\Druide\Antidote 7\Texteurs\Internet Explorer\Antidote.InternetExplorer.G.P100.ico)
    HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\ThinkPad\Bluetooth Software\bt_cold_icon.ico)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
    BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 28 File(s)
    C:\Program Files\Ad-Remover\Backup: 14 File(s)

    U:\Ad-Report-SCAN[1].txt - 456/56/ 0 62816:139:1816 (3493 Byte(s))
    U:\Ad-Report-CLEAN[1].txt - 449/56/ 0 62816:139:1816 (3412 Byte(s))

    End at: 10:56:51, 01/05/2011

    ============== E.O.F ==============
    0
  20. Utilisateur anonyme
     
    Tu vas faire un scan généraliste pour nettoyer d'éventuels fichiers ou autres
    éléments infectés

    Télécharge malwarebytes' anti-malware
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    Enregistre le sur le bureau
    Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
    Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    Il va se mettre à jour une fois faite
    Va dans l'onglet recherche
    Sélectionne exécuter un examen complet
    Clique sur rechercher
    Le scan démarre
    A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
    Clique sur afficher les résultats pour afficher les objets trouvés
    Clique sur OK pour pousuivre
    Si des malwares ont été détectés, cliquer sur afficher les résultats
    Sélectionne tout (ou laisser coché)
    Clique sur supprimer la sélection
    Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
    copie dans la quarantaine
    Malewarebytes va ouvrir le bloc-note et y copier le rapport
    Redémarre le PC
    Une fois redémarré, double-clique sur Malewarebytes
    Va dans l'onglet rapport/log
    Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
    bloc-note puis sur sélectionner tout
    Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
    Clic droit dans le cadre de la réponse et coller
    0
  • 1
  • 2