Infection Rogue Vista Alerte Securité 2011 [Résolu/Fermé]

Signaler
-
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
-
Bonjour,

Voila, tout est dans le titre ou presque.
Infection avec ce fameux rogue bien connu: j'ai exécuté RogueKiller puis MBAM comme vous le préconisez et je n'ai plus d'alertes mais car il y a un mais, sur les icones des executables de nombreux de mes logiciels il y a encore de rajouté l'imitation de logo window et je me demande ce que ca veut dire ? Toujours infection ?
Merci de m'aider !!!

31 réponses

Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
* Quitte tous tes programmes en cours
* Lance le.
Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
Désolée du retard mais voila le rapport de RogueKiller.
D's que je l'ai télécharger sur le bureau, un petit bouclier au couleurs de microsoft s'est mis sur l'icone de roguekiller, ce même bouclier que je signalait dans mon précédant post.
Pourtant il ne semble rien y avoir ???

Merci de m'aider !!!

RogueKiller V4.3.12 [30/04/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: QUAD & MOTION [Droits d'admin]
Mode: Suppression -- Date : 04/05/2011 16:34:25

Processus malicieux: 0

Entrees de registre: 0

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
* Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Rend toi sur Cijoint http://www.cijoint.fr/
et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
Un lien sera généré, copie et colle-le dans ta prochaine réponse.

si les outils de désinfections que je te recommande ne fonctionnent pas
sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
Aller dans démarrer puis panneau de configuration
Double Cliquer sur l'icône "Comptes d'utilisateurs"
Cliquer ensuite sur désactiver et valider.
puis
clic droit sur le raccourci du programme d'analyse ou de desinfection et choisir démarrer en tant qu'administrateur
Voila le lien du rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201105/cijnCglzVS.txt

Est-ce que je refais roguekiller en faisant la manip que tu m'indiques plus haut ?

Merci
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
ok
Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
http://www.teamxscript.org/too/AD-R.exe
/!\ Déconnectes toi et fermes toutes applications en cours

? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
? Double clique sur l'icône Ad-remover située sur ton bureau


au menu principal choisi l'option "nettoyage" .


--> le programme va travailler ...

* Postes le rapport qui apparait à la fin
( le rapport est sauvegardé aussi sous C:\Ad-report.log ) adreport(clean)

/!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\

sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
Aller dans démarrer puis panneau de configuration
Double Cliquer sur l'icône "Comptes d'utilisateurs"
Cliquer ensuite sur désactiver et valider.
Puis
sur vista et/ou sur windows seven
clic droit sur le raccourci Ad-remover et choisi démarrer en tant qu'administrateur


ensuite

télécharge Malwarebyte's ici
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
ou ici
https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des éléments on été trouvés > click sur supprimer la sélection.

si il t'es demandé de redémarrer > click sur "yes".

A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log


SUPER !!! Tout à l'air OK, l'imitation de logo window a disparu de mes icones.
Merci beaucoup du coup de main.


Y a t il autre chose à faire pour compléter la désinfection ?
Encore une fois merci de ton aide
Euh quand je colles les rapports de AD-R et MBAM je n'arrive pas a valider ma réponse, ca me dit qu'il manque le titre du message ???
Dois-je les mettre sur: Cijoint http://www.cijoint.fr/ ?
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
en faisant repondre il n'y a pas de titre de message
normalement?
Utilisateur anonyme
salut inscris-toi sur commentcamarche et ca passera
Voila le lien pour le rapport AD-R: http://www.cijoint.fr/cjlink.php?file=cj201105/cijCjGRrGw.txt

Pour MBAM: aucun processus malicieux découvert.

Merci
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
refait un ZHPDiag avant de conclure
OK, voila le rapport ZHDiag:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijr6bV0st.txt

Merci
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
tu avait bien fait la mise a jour de MBAM ??

car il reste des infection qu'il aurai tu résoudre

fait bien la mise a jour et fait un noveau scan
mais cette fois un scan COMPLET , beaucoup plus long , mais plus profond
comme dit ma copine
Oui, MBAM mis à jour, scan complet et rien de détecté.
Rapport ZHDiag: http://www.cijoint.fr/cjlink.php?file=cj201105/cijTicUDNt.txt

Quand j'ai fait parcourir dans cijoint.fr pour trouver le rapport ZHDiag, il y a eu réaparition du petit bouclier aux couleurs de window sur tous les icones de logiciels de désinfection (MBAM, ZHDiag, ...) alors que sur mon bureau je ne voit pas ce bouclier sur ces icones !!!!

Comprend rien de rien !!!
Le rapport MBAM:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6526

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

07/05/11 12:34:20
mbam-log-2011-05-07 (12-34-20).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 347946
Temps écoulé: 2 heure(s), 0 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Bon alors j'ai refait toutes les manips: RogueKiller et AD-Remover ...
MBAM ne détecte toujours rien mais toutes mes icones ont ce petit bouclier aux couleurs de window !!!
Même AD-R n'arien fait cette fois !!!

Au secours !!!!

Voila le dernier rapport ZHDiag:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijZRQm3t8.txt

Merci de m'aider ca commence à me rendre dingue cette histoire !!!
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
je pense que le rogue nous bloque

1)
démarrer en mode sans échec avec prise en charge réseau

>>1--demarre ou redémarre l'ordinateur. L'affichage affichent la progression du BIOS,

>>2--A la fin du chargement du BIOS, » et avant que windows ne démarre « tapote sur la touche F8 de ton clavier. jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu appuie sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Dans ce cas redémarre l'ordinateur et essaye de nouveau.

>>3--En utilisant les flèches de ton clavier, sélectionne « Mode sans échec avec prise en charge réseau » dans le menu puis appuie sur Entrée.

2) repasse roguekiller , mais avant
si possible tu le supprime de ton pc , tu le re-telecharge propre
ici https://www.luanagames.com/index.fr.html
et tu le renomme iexplore.exe

pour le renommer , fait le au telechargement
de cette facon:
Fait un clic droit sur le lien de roguekiller.exe
tu choisi enregistrer sous ou enregistrer le lien sous
et là tu le renomme






Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
si ca ne donne rien UNIQUEMENT
fait ce qui suit

Télécharge combofix.exe sur ton bureau

1. Faites un clic droit sur le lien de Combofix (de sUBs) : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et renomme le iexplore2.exe

double clique iexplore2.exe
touche 1 (Yes) pour démarrer le scan.
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Le rapport se trouve également ici : C:\Combofix.txt

Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.

arrête provisoirement les anti virus et autres protections pendant l'analyse





durant la durée de l'analyse ne te sert pas de ton pc


une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares


Si, par malchance, tu as plus accès à ta connexion Internet après avoir fait tourner ComboFix

http://www.memoclic.com/393-windows/7497-connexion-internet-limitee-inexistante-reparer.html

ou
Cliquez sur le bouton Démarrer.
Cliquez sur l'option de menu Paramètres.
Cliquez sur l'option Panneau de configuration.
Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau. Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.
Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.
Cliquez simplement sur l'option de menu Réparer.
Bon j'ai du essayer combofix !!!
Voila le lien du rapport:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijPxIpR3A.txt

L'écusson a disparu des icones pour le reste a toi de me dire !!!!

Merci de ta patience
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
tu a sur ton bureau ZHPFix que l'on va utiliser plus bas


1)
* Copie le tout le texte présent en gras ci-dessous ( tu le sélectionne avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKCU\Software\BearShare]
[HKCR\AppID\{937936af-28ca-4973-b8ae-f250406149a2}]
[HKCR\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}]
[HKLM\Software\Classes\AppID\{937936af-28ca-4973-b8ae-f250406149a2}]
[HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}]
[HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]
[HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]




2)
Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Petit problème: j'avais enlevé ZHP de l'ordi et quand je l'ai re-téléchargé pour suivre ta procédure et bien ré-apparition du petit bouclier maudit sur tous les icones de ZHP uniquement.
J'ai quand même fait ce que tu m'avais dit mais le bouclier est toujours présent sur les icones ZHP.

Voila le rapport:
Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre :
Run by QUAD & MOTION at 09/05/11 19:45:16
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\BearShare => Clé supprimée avec succès
HKCR\AppID\{937936af-28ca-4973-b8ae-f250406149a2} => Clé supprimée avec succès
HKCR\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2} => Clé supprimée avec succès
HKLM\Software\Classes\AppID\{937936af-28ca-4973-b8ae-f250406149a2} => Clé absente
HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2} => Clé absente
HKCR\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé supprimée avec succès
HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé absente


========== Récapitulatif ==========
7 : Clé(s) du Registre


End of the scan

Dois-je refaire combofix ?
Au fait si j'ai l'air un peu longue dans les réponses c'est que je suis au Québec, alors avec 6H de décallage !!!!
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
humm
pour le decalage horaire , ca n'a aucune importance pour moi
je suis ton rythme

effectivement repasse combo
Bon combofix n'a rien changé: toujours le petit bouclier sur tous les icones ZHP sauf celui avec la seringue.
Pour l'instant impossible de coller le rapport, le site cijoint.fr plante !!!

Je vais me coucher, ça ira mieux demain !!!
le rapport combofix: http://www.cijoint.fr/cjlink.php?file=cj201105/cijrGdyLz3.txt
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
352
tu a des traces de norton
La désinstallation de Norton s'avère souvent incomplète, il faut systématiquement utiliser l'utilitaire de désinstallation Norton pour tout supprimer : Norton Removal Tool
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

--------------------------------------------

Télécharge Navilog1.exe http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe?thread
Choisis Enregistrer sous.... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Si, lors du téléchargement, ton Antivirus fais une alerte, ignore-là
c'est un faux positif, une fausse alerte..
Une fois l'installation terminée, le fix s'exécutera automatiquement.
Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau
Au menu principal, choisis 1 et valide.

Analyse Terminée
Appuie sur une touche , le bloc-note va s'ouvrir.
Copie/colle l'intégralité du rapport

Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit
J'ai utilisé l'utilitaire Norton qui est apparu sur le bureau accompagné du petit bouclier !!!

Pour Navilog, voila le rapport:
Fix Navipromo version 4.1.0 commencé le 10/05/11 11:05:00.86

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 20.04.2011 à 09h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz )
BIOS : Ver 1.00PARTTBL
USER : QUAD & MOTION ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:93 Go (Free:20 Go)
E:\ (Local Disk) - NTFS - Total:91 Go (Free:43 Go)
F:\ (CD or DVD)


Recherche executée en mode normal


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 10/05/11 11:05:27.32 ***