Encore un infecté par windows xp recovery...

Résolu
Simon -  
 gen-hackman -
Bonjour,



J'ai été infecté par windows xp recovery, et j'aimerai être sûr d'être débarassé de toute menace....

j'ai exécuté RogueKiller à partir d'une clé usb (option 1 à 6) puis Malwarebytes AM (examen rapide). Mais mon antivirus Avira Antivir Personal trouve encore des virus, et j'ai des messages d'erreur au lancement d'XP.

je dispose d'HijackThis au passage...

Comment puis-je faire pour être certain d'être débarrassé complétement de toute infection?

Merci par avance;

48 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection Windows XP Recovery est détectée sur une configuration Windows XP et Firefox 4.0.1, et l’objectif est d’en être entièrement débarrassé. La solution recommandée passe par Delfix (DelFix v8.0) pour supprimer proprement les outils lancés et les traces laissées, après des analyses avec RogueKiller et des rapports RKreport. En mode suppression, DelFix élimine les dossiers et fichiers restants, réinitialise les paramètres et supprime les éléments de HijackThis et RogueKiller, tout en générant des rapports de nettoyage détaillés. Un redémarrage et une nouvelle analyse antivirus après l’opération renforcent la fiabilité du nettoyage, et la vérification des paramètres réseau et des proxies évite les redémarrages automatiques induits par des composants malveillants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut poste tous tes rapports de roguekiller stp
    0
  2. Simon
     
    Salut, le 1er

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: SIMON [Droits d'admin]
    Mode: Recherche -- Date : 06/06/2011 16:46:10

    Processus malicieux: 4
    [SUSP PATH] agrsmmsg.exe -- c:\windows\agrsmmsg.exe -> KILLED
    [SUSP PATH] VyuAmrmEfIELC.exe -- c:\documents and settings\all users\application data\vyuamrmefielc.exe -> KILLED
    [ROGUE ST] 16375588.exe -- c:\documents and settings\all users\application data\16375588.exe -> KILLED
    [SUSP PATH] F507.exe -- c:\windows\temp\f507.exe -> KILLED

    Entrees de registre: 10
    [SUSP PATH] HKCU\[...]\Run : VyuAmrmEfIELC (C:\Documents and Settings\All Users\Application Data\VyuAmrmEfIELC.exe) -> FOUND
    [SUSP PATH] HKLM\[...]\Run : BVRPLiveUpdate (C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRPSO~1\MOTORO~1\LIVEUP~1\LISTOF~1.DAT) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-2831024556-1495999977-73720416-1006[...]\Run : VyuAmrmEfIELC (C:\Documents and Settings\All Users\Application Data\VyuAmrmEfIELC.exe) -> FOUND
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
    [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
    [HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND
    [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.10sek.com
    127.0.0.1 10sek.com
    127.0.0.1 www.123topsearch.com
    [...]

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    2

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: SIMON [Droits d'admin]
    Mode: Suppression -- Date : 06/06/2011 16:46:58

    Processus malicieux: 0

    Entrees de registre: 9
    [SUSP PATH] HKCU\[...]\Run : VyuAmrmEfIELC (C:\Documents and Settings\All Users\Application Data\VyuAmrmEfIELC.exe) -> DELETED
    [SUSP PATH] HKLM\[...]\Run : BVRPLiveUpdate (C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRPSO~1\MOTORO~1\LIVEUP~1\LISTOF~1.DAT) -> DELETED
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
    [HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\SIMON\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.10sek.com
    127.0.0.1 10sek.com
    127.0.0.1 www.123topsearch.com
    [...]

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    3

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: SIMON [Droits d'admin]
    Mode: Recherche -- Date : 06/06/2011 16:53:08

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.10sek.com
    127.0.0.1 10sek.com
    127.0.0.1 www.123topsearch.com
    [...]

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    4

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: SIMON [Droits d'admin]
    Mode: Recherche -- Date : 06/06/2011 17:04:15

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.10sek.com
    127.0.0.1 10sek.com
    127.0.0.1 www.123topsearch.com
    [...]

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

    5

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: SIMON [Droits d'admin]
    Mode: Suppression -- Date : 06/06/2011 17:04:27

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.10sek.com
    127.0.0.1 10sek.com
    127.0.0.1 www.123topsearch.com
    [...]

    Termine : << RKreport[5].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

    6
    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: SIMON [Droits d'admin]
    Mode: HOSTS RAZ -- Date : 06/06/2011 17:04:34

    Processus malicieux: 0

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.10sek.com
    127.0.0.1 10sek.com
    127.0.0.1 www.123topsearch.com
    [...]

    Nouveau fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[6].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
    RKreport[6].txt

    Voila, j'en ai refait d'autres, mais je crois que ce sont les originaux...

    il me reste un raccourci windows xp recovery sur le bureau et les icones programme et Uninstall dans la liste programme ; est ce normal?

    merci
    0
  3. Simon
     
    je viens d'en refaire un pour me rassurer:

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: SIMON [Droits d'admin]
    Mode: Recherche -- Date : 06/06/2011 20:35:27

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    [...]

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  4. gen-hackman
     
    poste le rapport de malwarebytes ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Simon
     
    Voici

    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6788

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    06/06/2011 17:09:06
    mbam-log-2011-06-06 (17-09-06).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 146549
    Temps écoulé: 7 minute(s), 59 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\all users\application data\16375588.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
    c:\documents and settings\all users\application data\vyuamrmefielc.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
    c:\documents and settings\SIMON\local settings\Temp\0.8777333979213742.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\documents and settings\SIMON\local settings\temporary internet files\Content.IE5\FOY9JX20\windows-update-sp4-kb80986-setup[1].exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
    c:\documents and settings\SIMON\local settings\temporary internet files\Content.IE5\VUNLGNXC\windows-update-sp4-kb62110-setup[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
    c:\documents and settings\SIMON\local settings\Temp\0.7599540766661077.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    c:\documents and settings\SIMON\application data\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
    c:\documents and settings\SIMON\application data\Adobe\plugs\mmc154.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    0
  7. gen-hackman
     
    ok

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  8. Simon
     
    Ok j'ai réussi après plantages. Le fichier .txt était situé dans C: donc il doit y avoir plusieurs rapports en un:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijoFsMGVq.txt
    0
  9. gen-hackman
     
    explique ce que tu apelles plantages
    0
  10. Simon
     
    la 1ere fois il s'est lancé et a duré 15min, puis une boite de dialogue est apparue pour savoir si je voulais travailler hors connexion.

    Sinon le programme a cessé de fonctionner sans produire de fichier texte. je l'ai relancé puis j'ai cherché ce .txt et finalement il s'était crée mon répertoire C:
    0
  11. gen-hackman
     
    tu as bien desactivé le parapluie d'antivir ?

    0
  12. Simon
     
    oui j'avais décoché Antivir guard et le pare feu windows lors du lancement.
    0
  13. gen-hackman
     
    as-tu vi ce qu il affichait au moment ou il s'est arrêté ?
    0
  14. Simon
     
    la 1ere fois il s'est lancé et a duré 15min, puis une boite de dialogue est apparue pour savoir si je voulais travailler hors connexion.

    je me souviens que ton programme en était à %User%

    Pour les autres fois je suppose qu'il a fonctionné correctement.
    0
  15. gen-hackman
     
    desinstalle spybot

    supprime cette version , supprime le rapport , retelecharge-le et repasse-le
    0
  16. Simon
     
    desinstalle spybot ok c'est fait.

    j'ai supprimé Pre_scan et son rapport, l'ai re-telechargé et re lancé mais voila ce que cela fait:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijJno63VW.jpg
    0
  17. gen-hackman
     
    oups desole beug corrigé supprime-le et reprends-le
    0
  18. Simon
     
    ok; j'ai du relancer explorer.exe apres le scan, mais sinon ca a marché:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijTJo0sgU.txt
    0
  19. Simon
     
    Et hop...

    http://www.cijoint.fr/cjlink.php?file=cj201106/cij7uXIJRP.txt
    0
  • 1
  • 2
  • 3