Infection Rogue Vista Alerte Securité 2011

Résolu
laurence -  
sherred Messages postés 8605 Statut Membre -
Bonjour,

Voila, tout est dans le titre ou presque.
Infection avec ce fameux rogue bien connu: j'ai exécuté RogueKiller puis MBAM comme vous le préconisez et je n'ai plus d'alertes mais car il y a un mais, sur les icones des executables de nombreux de mes logiciels il y a encore de rajouté l'imitation de logo window et je me demande ce que ca veut dire ? Toujours infection ?
Merci de m'aider !!!

31 réponses

  • 1
  • 2
Résumé de la discussion

L'interrogation porte sur une infection supposée après l'exécution de RogueKiller et MBAM, avec des icônes d'exécutables affichant un bouclier similaire à celui de Windows sur les postes. Des utilisateurs décrivent des tests et nettoyages, recommandant AD-Remover, des rapports post-scan et le redémarrage en mode sans échec; certains insistent sur la vérification des éléments comme autorun.inf. D'autres évoquent Malwarebytes, les rapports ZHDiag et des précautions comme désactiver temporairement le contrôle des comptes utilisateurs et vérifier les paramètres de sécurité, sans conclure à une infection avérée. Plusieurs témoignages indiquent que l'apparition du bouclier sur les icônes peut être liée à des paramètres de sécurité ou à des outils d'administration, et non nécessairement à une infection active.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sherred Messages postés 8605 Statut Membre 351
     
    Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html
    * Quitte tous tes programmes en cours
    * Lance le.
    Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    0
  2. laurence
     
    Désolée du retard mais voila le rapport de RogueKiller.
    D's que je l'ai télécharger sur le bureau, un petit bouclier au couleurs de microsoft s'est mis sur l'icone de roguekiller, ce même bouclier que je signalait dans mon précédant post.
    Pourtant il ne semble rien y avoir ???

    Merci de m'aider !!!

    RogueKiller V4.3.12 [30/04/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: QUAD & MOTION [Droits d'admin]
    Mode: Suppression -- Date : 04/05/2011 16:34:25

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. sherred Messages postés 8605 Statut Membre 351
     
    * Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Rend toi sur Cijoint http://www.cijoint.fr/
    et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
    Un lien sera généré, copie et colle-le dans ta prochaine réponse.

    si les outils de désinfections que je te recommande ne fonctionnent pas
    sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
    Aller dans démarrer puis panneau de configuration
    Double Cliquer sur l'icône "Comptes d'utilisateurs"
    Cliquer ensuite sur désactiver et valider.
    puis
    clic droit sur le raccourci du programme d'analyse ou de desinfection et choisir démarrer en tant qu'administrateur
    0
  4. laurence
     
    Voila le lien du rapport ZHPDiag
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijnCglzVS.txt

    Est-ce que je refais roguekiller en faisant la manip que tu m'indiques plus haut ?

    Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sherred Messages postés 8605 Statut Membre 351
     
    ok
    Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
    http://www.teamxscript.org/too/AD-R.exe
    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-remover située sur ton bureau

    au menu principal choisi l'option "nettoyage" .

    --> le programme va travailler ...

    * Postes le rapport qui apparait à la fin
    ( le rapport est sauvegardé aussi sous C:\Ad-report.log ) adreport(clean)

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\

    sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
    Aller dans démarrer puis panneau de configuration
    Double Cliquer sur l'icône "Comptes d'utilisateurs"
    Cliquer ensuite sur désactiver et valider.
    Puis
    sur vista et/ou sur windows seven
    clic droit sur le raccourci Ad-remover et choisi démarrer en tant qu'administrateur

    ensuite

    télécharge Malwarebyte's ici
    http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
    ou ici
    https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
    le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > click sur supprimer la sélection.

    si il t'es demandé de redémarrer > click sur "yes".

    A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log

    0
  7. laurence
     
    SUPER !!! Tout à l'air OK, l'imitation de logo window a disparu de mes icones.
    Merci beaucoup du coup de main.

    Y a t il autre chose à faire pour compléter la désinfection ?
    Encore une fois merci de ton aide
    0
    1. laurence
       
      Euh quand je colles les rapports de AD-R et MBAM je n'arrive pas a valider ma réponse, ca me dit qu'il manque le titre du message ???
      Dois-je les mettre sur: Cijoint http://www.cijoint.fr/ ?
      0
  8. sherred Messages postés 8605 Statut Membre 351
     
    en faisant repondre il n'y a pas de titre de message
    normalement?
    0
    1. gen-hackman
       
      salut inscris-toi sur commentcamarche et ca passera
      0
  9. laurence
     
    Voila le lien pour le rapport AD-R: http://www.cijoint.fr/cjlink.php?file=cj201105/cijCjGRrGw.txt

    Pour MBAM: aucun processus malicieux découvert.

    Merci
    0
  10. sherred Messages postés 8605 Statut Membre 351
     
    refait un ZHPDiag avant de conclure
    0
  11. laurence
     
    OK, voila le rapport ZHDiag:

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijr6bV0st.txt

    Merci
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      tu avait bien fait la mise a jour de MBAM ??

      car il reste des infection qu'il aurai tu résoudre

      fait bien la mise a jour et fait un noveau scan
      mais cette fois un scan COMPLET , beaucoup plus long , mais plus profond
      comme dit ma copine
      0
  12. laurence
     
    Oui, MBAM mis à jour, scan complet et rien de détecté.
    Rapport ZHDiag: http://www.cijoint.fr/cjlink.php?file=cj201105/cijTicUDNt.txt

    Quand j'ai fait parcourir dans cijoint.fr pour trouver le rapport ZHDiag, il y a eu réaparition du petit bouclier aux couleurs de window sur tous les icones de logiciels de désinfection (MBAM, ZHDiag, ...) alors que sur mon bureau je ne voit pas ce bouclier sur ces icones !!!!

    Comprend rien de rien !!!
    0
    1. laurence
       
      Le rapport MBAM:

      Malwarebytes' Anti-Malware 1.50.1.1100
      www.malwarebytes.org

      Version de la base de données: 6526

      Windows 6.0.6002 Service Pack 2
      Internet Explorer 7.0.6002.18005

      07/05/11 12:34:20
      mbam-log-2011-05-07 (12-34-20).txt

      Type d'examen: Examen complet (C:\|E:\|)
      Elément(s) analysé(s): 347946
      Temps écoulé: 2 heure(s), 0 minute(s), 25 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  13. laurence
     
    Bon alors j'ai refait toutes les manips: RogueKiller et AD-Remover ...
    MBAM ne détecte toujours rien mais toutes mes icones ont ce petit bouclier aux couleurs de window !!!
    Même AD-R n'arien fait cette fois !!!

    Au secours !!!!

    Voila le dernier rapport ZHDiag:
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijZRQm3t8.txt

    Merci de m'aider ca commence à me rendre dingue cette histoire !!!
    0
  14. sherred Messages postés 8605 Statut Membre 351
     
    je pense que le rogue nous bloque

    1)
    démarrer en mode sans échec avec prise en charge réseau

    >>1--demarre ou redémarre l'ordinateur. L'affichage affichent la progression du BIOS,

    >>2--A la fin du chargement du BIOS, » et avant que windows ne démarre « tapote sur la touche F8 de ton clavier. jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu appuie sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Dans ce cas redémarre l'ordinateur et essaye de nouveau.

    >>3--En utilisant les flèches de ton clavier, sélectionne « Mode sans échec avec prise en charge réseau » dans le menu puis appuie sur Entrée.

    2) repasse roguekiller , mais avant
    si possible tu le supprime de ton pc , tu le re-telecharge propre
    ici https://www.luanagames.com/index.fr.html
    et tu le renomme iexplore.exe

    pour le renommer , fait le au telechargement
    de cette facon:
    Fait un clic droit sur le lien de roguekiller.exe
    tu choisi enregistrer sous ou enregistrer le lien sous
    et là tu le renomme

    Quand les bornes sont franchies, il n'y a plus de limite
    Ce que j'ai écrit, je l'ai écrit
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      si ca ne donne rien UNIQUEMENT
      fait ce qui suit

      Télécharge combofix.exe sur ton bureau

      1. Faites un clic droit sur le lien de Combofix (de sUBs) : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

      et renomme le iexplore2.exe

      double clique iexplore2.exe
      touche 1 (Yes) pour démarrer le scan.
      une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
      Le rapport se trouve également ici : C:\Combofix.txt

      Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.

      arrête provisoirement les anti virus et autres protections pendant l'analyse





      durant la durée de l'analyse ne te sert pas de ton pc


      une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares


      Si, par malchance, tu as plus accès à ta connexion Internet après avoir fait tourner ComboFix

      http://www.memoclic.com/393-windows/7497-connexion-internet-limitee-inexistante-reparer.html

      ou
      Cliquez sur le bouton Démarrer.
      Cliquez sur l'option de menu Paramètres.
      Cliquez sur l'option Panneau de configuration.
      Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau. Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.
      Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.
      Cliquez simplement sur l'option de menu Réparer.
      0
  15. laurence
     
    Bon j'ai du essayer combofix !!!
    Voila le lien du rapport:

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijPxIpR3A.txt

    L'écusson a disparu des icones pour le reste a toi de me dire !!!!

    Merci de ta patience
    0
  16. sherred Messages postés 8605 Statut Membre 351
     
    tu a sur ton bureau ZHPFix que l'on va utiliser plus bas

    1)
    * Copie le tout le texte présent en gras ci-dessous ( tu le sélectionne avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKCU\Software\BearShare]
    [HKCR\AppID\{937936af-28ca-4973-b8ae-f250406149a2}]
    [HKCR\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}]
    [HKLM\Software\Classes\AppID\{937936af-28ca-4973-b8ae-f250406149a2}]
    [HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}]
    [HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]
    [HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]


    2)
    Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

    Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
    0
  17. laurence
     
    Petit problème: j'avais enlevé ZHP de l'ordi et quand je l'ai re-téléchargé pour suivre ta procédure et bien ré-apparition du petit bouclier maudit sur tous les icones de ZHP uniquement.
    J'ai quand même fait ce que tu m'avais dit mais le bouclier est toujours présent sur les icones ZHP.

    Voila le rapport:
    Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
    Fichier d'export Registre :
    Run by QUAD & MOTION at 09/05/11 19:45:16
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    HKCU\Software\BearShare => Clé supprimée avec succès
    HKCR\AppID\{937936af-28ca-4973-b8ae-f250406149a2} => Clé supprimée avec succès
    HKCR\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2} => Clé supprimée avec succès
    HKLM\Software\Classes\AppID\{937936af-28ca-4973-b8ae-f250406149a2} => Clé absente
    HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2} => Clé absente
    HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé supprimée avec succès
    HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé absente

    ========== Récapitulatif ==========
    7 : Clé(s) du Registre

    End of the scan

    Dois-je refaire combofix ?
    0
    1. laurence
       
      Au fait si j'ai l'air un peu longue dans les réponses c'est que je suis au Québec, alors avec 6H de décallage !!!!
      0
  18. sherred Messages postés 8605 Statut Membre 351
     
    humm
    pour le decalage horaire , ca n'a aucune importance pour moi
    je suis ton rythme

    effectivement repasse combo
    0
  19. laurence
     
    Bon combofix n'a rien changé: toujours le petit bouclier sur tous les icones ZHP sauf celui avec la seringue.
    Pour l'instant impossible de coller le rapport, le site cijoint.fr plante !!!

    Je vais me coucher, ça ira mieux demain !!!
    0
    1. laurence
       
      le rapport combofix: http://www.cijoint.fr/cjlink.php?file=cj201105/cijrGdyLz3.txt
      0
  20. sherred Messages postés 8605 Statut Membre 351
     
    tu a des traces de norton
    La désinstallation de Norton s'avère souvent incomplète, il faut systématiquement utiliser l'utilitaire de désinstallation Norton pour tout supprimer : Norton Removal Tool
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

    --------------------------------------------

    Télécharge Navilog1.exe http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe?thread
    Choisis Enregistrer sous.... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Si, lors du téléchargement, ton Antivirus fais une alerte, ignore-là
    c'est un faux positif, une fausse alerte..
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau
    Au menu principal, choisis 1 et valide.

    Analyse Terminée
    Appuie sur une touche , le bloc-note va s'ouvrir.
    Copie/colle l'intégralité du rapport

    Quand les bornes sont franchies, il n'y a plus de limite
    Ce que j'ai écrit, je l'ai écrit
    0
  21. laurence
     
    J'ai utilisé l'utilitaire Norton qui est apparu sur le bureau accompagné du petit bouclier !!!

    Pour Navilog, voila le rapport:
    Fix Navipromo version 4.1.0 commencé le 10/05/11 11:05:00.86

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\navilog1

    Mise à jour le 20.04.2011 à 09h00 par IL-MAFIOSO

    Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz )
    BIOS : Ver 1.00PARTTBL
    USER : QUAD & MOTION ( Administrator )
    BOOT : Normal boot

    C:\ (Local Disk) - NTFS - Total:93 Go (Free:20 Go)
    E:\ (Local Disk) - NTFS - Total:91 Go (Free:43 Go)
    F:\ (CD or DVD)

    Recherche executée en mode normal

    [b]Aucune Infection Navipromo/Egdaccess trouvée/b

    *** Scan terminé 10/05/11 11:05:27.32 ***
    0
  • 1
  • 2