Security protection

Fermé
Doluxxx Messages postés 24 Statut Membre -  
 irongege -
Bonjour,

Mon autre ordinateur sous XP est infecté par ce programme, je n'ai plus accès à mes programmes et logiciels, ni me connecter à internet, tout est bloqué, sauf avast avec lequel j'ai fait un scan mais aucune détection.

Quelqu'un peut-il m'aider à le supprimer s'il vous plait ?

Merci d'avance.

30 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Maintenant que ta clé USB est vaccinée :
    A partir du PC sain, télécharge l'outil suivant, et tu vas le mettre dans la clé USB
    Tu met l'outil dans le PC infecté sur le bureau

    Ensuite tu vas suivre la procédure avec le PC infecté
    Télécharge sur le bureau RogueKiller
    * Quitte tous les programmes en cours, c'est important
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lance simplement RogueKiller.exe
    * Lorsque demandé, tape 1 et valide
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste
    le contenu
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    Relance Rogue Killer, et tape 2, puis poste le rapport

    Le rapport, tu le transfère dans la clé USB et tu le mets sur le PC sain, et tu
    le postes ici

    1
  2. Utilisateur anonyme
     
    Bonjour
    Tu vas télécharger les outils à partir du PC sain, et les mettre dans une clé USB
    Tu dois d'abord vacciner ta clé USB pour éviter qu'elle soit infectée
    Fait ceci sur le PC sain :

    Télécharge UsbFix (de El Desaparecido, C_XX) sur ton bureau­
    http://www.teamxscript.org/usbfixTelechargement.html
    ou
    http://teamxscript.changelog.fr/UsbFix.html (miroir)

    # Clic droit sur UsbFix présent sur ton bureau, et clique sur
    exécuter en tant qu'administrateur
    , puis clique sur exécuter
    pour lancer l'installation qui se fera automatiquement

    # Clique sur Suppression

    # Branche toutes tes sources et données externes (clé USB, disque dur
    externe...) sans les ouvrir sur ton PC, et clique sur OK

    # La suppression est lancée. Le bureau va disparaitre, c'est normal

    # Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

    # Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
    0
  3. Doluxxx Messages postés 24 Statut Membre
     
    Merci de ton aide Jawaryinti, voici le rapport UsbFix du PC sain :

    ############################## | UsbFix 7.046 | [Suppression]

    Utilisateur: DELY (Administrateur) # MON-AMOUR [Sony Corporation VGN-N31Z_W]
    Mis à jour le 23/05/2011 par TeamXscript
    Lancé à 15:33:51 | 01/06/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
    CPU 2: Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-Bit) #
    Internet Explorer 7.0.6000.16982

    Pare-feu Windows: Désactivé /!\
    Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
    RAM -> 2038 Mo
    C:\ (%systemdrive%) -> Disque fixe # 102 Go (32 Go libre(s) - 31%) [] # NTFS
    F:\ -> CD-ROM
    G:\ -> Disque amovible # 948 Mo (946 Mo libre(s) - 100%) [DUCON] # FAT32
    I:\ -> CD-ROM

    ################## | Éléments infectieux |

    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1748464832-1655131027-3402209802-500
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2152478756-3922319563-605102323-500
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3826889837-3659617912-1135289372-1003
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-817354571-708611635-3722737073-500
    Non supprimé ! I:\autorun.inf

    ################## | Registre |

    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{42bac6a6-d801-11d3-b1a9-0013a9c6aa9c}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{616fee0b-bcfa-11db-ab94-0013a9c6aa9c}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b63ab952-5894-11dc-b581-0013a9c6aa9c}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e816ffcb-24ac-11dc-a61a-0013a9c6aa9c}

    ################## | Listing |

    [01/06/2011 - 15:36:55 | SHD ] C:\$Recycle.Bin
    [18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
    [16/09/1999 - 13:51:05 | HD ] C:\autorun.inf
    [01/03/2007 - 00:58:41 | SHD ] C:\Boot
    [02/11/2006 - 11:53:57 | RASH | 438840] C:\bootmgr
    [01/03/2007 - 00:58:42 | RAS | 8192] C:\BOOTSECT.BAK
    [20/01/2007 - 19:15:54 | N | 5069] C:\Bug.txt
    [18/09/2006 - 23:43:37 | N | 10] C:\config.sys
    [01/09/2007 - 00:07:01 | N | 192405] C:\DEBUGLOG.TXT
    [01/03/2007 - 10:47:29 | D ] C:\Documentation
    [02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
    [28/02/2007 - 17:39:15 | D ] C:\Drivers
    [01/06/2011 - 14:20:30 | ASH | 2137186304] C:\hiberfil.sys
    [01/03/2007 - 11:06:32 | N | 0] C:\IO.SYS
    [27/02/2007 - 22:26:37 | D ] C:\MES DOCUMENTS
    [01/03/2007 - 11:06:32 | N | 0] C:\MSDOS.SYS
    [01/06/2011 - 14:20:28 | ASH | 2451111936] C:\pagefile.sys
    [02/08/2007 - 01:55:02 | D ] C:\perflogs
    [04/02/2007 - 17:33:57 | D ] C:\Program Files
    [03/06/2008 - 21:59:36 | HD ] C:\ProgramData
    [03/06/2008 - 20:53:09 | D ] C:\QooBox
    [19/08/2006 - 12:53:36 | SHD ] C:\System Volume Information
    [01/06/2011 - 15:36:55 | D ] C:\UsbFix
    [01/06/2011 - 15:33:58 | A | 2989] C:\UsbFix.txt
    [26/06/2007 - 18:52:21 | D ] C:\Users
    [16/09/1999 - 13:51:10 | N | 800] C:\Vaccin.txt
    [26/03/2007 - 21:12:22 | N | 390804] C:\vcredist_x86.log
    [26/03/2007 - 21:31:59 | D ] C:\WAUUPGRD
    [11/08/2006 - 19:16:32 | D ] C:\Windows
    [01/01/1995 - 02:00:00 | R | 44] F:\Track01.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track02.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track03.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track04.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track05.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track06.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track07.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track08.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track09.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track10.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track11.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track12.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track13.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track14.cda
    [01/01/1995 - 02:00:00 | R | 44] F:\Track15.cda
    [06/01/2009 - 21:24:46 | HD ] G:\System
    [11/02/2011 - 14:38:32 | D ] G:\Documents
    [13/02/2006 - 18:09:04 | N | 921600] G:\LaunchU3.exe
    [16/09/1999 - 13:51:08 | D ] G:\autorun.inf
    [27/05/2011 - 19:27:56 | N | 25195] G:\acs-roue-libre-.jpg
    [08/10/2009 - 00:02:08 | D ] G:\.Trashes
    [08/10/2009 - 00:02:08 | D ] G:\.Spotlight-V100
    [13/02/2006 - 19:09:04 | R | 921600] I:\LaunchU3.exe
    [25/04/2006 - 16:37:24 | R | 2992834] I:\Launchpad.zip
    [13/02/2006 - 19:08:58 | R | 145] I:\autorun.inf

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    I:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MON-AMOUR.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    0
  4. Doluxxx Messages postés 24 Statut Membre
     
    Impossible d'exécuter RogueKiller, même renommé, une bulle s'ouvre et me dit :

    "file cmd.exe is infected by W32/Blaster.worm
    Please activate Security Protection to protect your computer"
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    C'est une plaie ces rogues, ils affichent n'importe quoi comme message d'alerte
    Essaye en mode sans échec
    As tu un CD Windows ?
    0
  7. Doluxxx Messages postés 24 Statut Membre
     
    Une vraie plaie en effet ! J'essaye en mode sans échec.. Et non malheureusement je n'ai pas de cd Windows mais je peux éventuellement en récupérer un par un ami..
    0
  8. Doluxxx Messages postés 24 Statut Membre
     
    Bon en mode sans échec çà fonctionne, le rapport :

    RogueKiller V5.1.9 [29/05/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Recherche -- Date : 01/06/2011 16:54:26

    Processus malicieux: 0

    Entrees de registre: 7
    [SUSP PATH] HKCU\[...]\Run : Security Protection (C:\Documents and Settings\All Users\Application Data\defender.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-448539723-1637723038-725345543-500[...]\Run : Security Protection (C:\Documents and Settings\All Users\Application Data\defender.exe) -> FOUND
    [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> FOUND
    [BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  9. Utilisateur anonyme
     
    Relance Rogue Killer toujours, et tape 2, puis poste le rapport
    0
  10. Doluxxx Messages postés 24 Statut Membre
     
    RogueKiller V5.1.9 [29/05/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Suppression -- Date : 02/06/2011 01:47:08

    Processus malicieux: 0

    Entrees de registre: 3
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
    1. gen-hackman
       
      bonsoir bizarre il a rien supprimé....
      0
  11. Doluxxx Messages postés 24 Statut Membre
     
    Oui c'est ce que je voyais... Je crois savoir, en fait je l'ai lancé une 1ère fois mais il s'est fermé à la fin du scan sans qu'il laisse de rapport, je l'ai donc relancé et là il a mis un rapport alors peut-être que la suppression a eu lieu au 1er passage mais dans ce cas où est le rapport? Je ne l'ai pas trouvé en tout cas...
    0
  12. Doluxxx Messages postés 24 Statut Membre
     
    Voilà :

    RogueKiller V5.1.9 [29/05/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Recherche -- Date : 02/06/2011 02:43:40

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  13. Lillydolly
     
    Bonsoir j'ai le même souci, ce stupide rogue s'est logé sur l'un de mes PC. Puis-je également te poster les rapports, Jawaryinti? Merci d'avance, je suis bien emmerdée avec tous mes documents urgents sur le PC infecté...
    0
  14. Utilisateur anonyme
     
    Bonjour Doluxxx
    On va vérifier ce qu'il reste sur le PC
    * Télécharge ZHPDiag (de Nicolas Coolman)
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
    ftp://zebulon.fr/ZHPDiag2.exe

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Surtout, n'oublie pas d'installer son icône sur le bureau
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI
    0
  15. Utilisateur anonyme
     
    Met à jour Malwarebytes, et fait un scan complet
    'ai vu des restants du rogue
    0
  16. Doluxxx Messages postés 24 Statut Membre
     
    Je viens de faire un scan complet, voici le rapport :

    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6753

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    02/06/2011 16:35:16 am
    mbam-log-2011-06-02 (16-34-45).txt

    Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
    Elément(s) analysé(s): 293017
    Temps écoulé: 37 minute(s), 33 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 9

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\5GUTNY6MFK (Trojan.FakeAlert.SA) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\administrateur\application data\Sun\Java\deployment\cache\6.0\45\2dee7c6d-2b3917ec (Trojan.Downloader) -> No action taken.
    c:\documents and settings\administrateur\Bureau\downloaded sounds banks today\sugarpack\thesys (4pc)\keygen.exe (RiskWare.Tool.CK) -> No action taken.
    c:\documents and settings\administrateur\local settings\Temp\0.16801621561278468.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\administrateur\local settings\temporary internet files\Content.IE5\Y567QLSB\windows-update-sp2-kb77999-setup[1].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\program files\Adobe\illustrator 10\Modules\filtres photoshop\accentuation.8bf (Trojan.Spambot) -> No action taken.
    g:\plugins etc\Plugs\keygen.exe (RiskWare.Tool.CK) -> No action taken.
    c:\documents and settings\all users\application data\defender.exe (Trojan.FakeAlert) -> No action taken.
    c:\documents and settings\administrateur\application data\Adobe\shed\thr1.chm (Malware.Trace) -> No action taken.
    c:\documents and settings\administrateur\application data\Adobe\plugs\mmc56.exe (Trojan.Agent.Gen) -> No action taken.
    0
  17. Utilisateur anonyme
     
    Va dans la quarantaine de Malwarebytes et clique sur tout supprimer, et après le redémarrage du PC, poste le rapport
    0
  • 1
  • 2