Win 7 Home security nouvelle génération ?
Mustang13
Messages postés
9
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonsoir
Comme le titre le laisse supposé mon pc a été infecté par ce rogue, mais il à l'air diférent de ce que j'ai pu lire sur pleins de sujet le concernant.
Internet bloqué... un pseudo scan au démarage qui trouve des trojans en veux tu en voila... des alertes de sécurité pour tout est n'importe quoi, seulement je peux toujours lancer des exe (heuresement pour moi), d'ailleurs je trouve ça bisard d'après ce que j'ai lu il bloque les exe.
Seulement internet bloqué je ne peux pas télécharger un prog pour virer ce rogue... une clé usb ? oui mais non... en ouvrant la clé j'ai trouvé des dossiers du style "Documment" "Musiques" Vidéos" etc et biensur je ni ai pas trouvé le prog qui aurai pu m'aider :s et que j'avais placé dessus juste avant (depuis mon pc portable).
Mode sans échec ? le rogue s'est qd mm lancé..., internet tjrs bloqué et ma clé affiché toujours s'est dossiers là.
À cour de solution je me résigner à ré-instaler mon pc, et là mets venu une idée qui ma probablement sauvé la mise, sur mon pc j'ai Jdownloader, j'ai donc retapé à la main l'url du téléchargement de "RogueKiller" (trouvé sur le site officiel) et mircale ça la téléchargé, je l'ai lancé et aucun problème, il a toruvé les fichiers qui n'avaient rien à faire là et les entrées de registres touchés.
Il a créer plusieurs RKreport, il a fallut plusieurs fois pour tout enlever...
Je colle ci-dessous les RKreports dans l'ordre chronologique.
Je voulais avec ce sujet, avant tout demander à ceux qui si connaissent plus que moi si pour vous je doit encore faire quelque chose et si tout est rentré dans l'ordre (j'ai denouveau accès à internet, plus de scan bidon), mais aussi faire part de ce problème, si je n'avais pas eu jdownloader, quels auraient été vos conseils ? vos solutions ? le cas pourrai ce reproduire pour d'autres !!!
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Thibaud [Droits d'admin]
Mode: Recherche -- Date : 06/06/2011 22:40:50
Processus malicieux: 3
[SUSP PATH] wee.exe -- c:\users\thibaud\appdata\local\wee.exe -> KILLED
[SUSP PATH] qgxev.exe -- c:\users\thibaud\qgxev.exe -> KILLED
[SUSP PATH] wee.exe -- c:\users\thibaud\appdata\local\wee.exe -> KILLED
Entrees de registre: 9
[SUSP PATH] HKCU\[...]\Run : qgxev (C:\Users\Thibaud\qgxev.exe /V) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3691649121-3195899345-4112932984-1000[...]\Run : qgxev (C:\Users\Thibaud\qgxev.exe /V) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...]exefile\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") -> FOUND
Fichier HOSTS:
Termine : << RKreport[1].txt >>
RKreport[1].txt
----------------------------------------------------------------------
Mode: Suppression -- Date : 06/06/2011 22:44:27
Processus malicieux: 0
Entrees de registre: 6
[SUSP PATH] HKCU\[...]\Run : qgxev (C:\Users\Thibaud\qgxev.exe /V) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files (x86)\internet explorer\iexplore.exe")
Fichier HOSTS:
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
----------------------------------------------------------------------------
Mode: Suppression -- Date : 06/06/2011 22:44:57
Processus malicieux: 0
Entrees de registre: 0
Fichier HOSTS:
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
---------------------------------------------------------
Comme le titre le laisse supposé mon pc a été infecté par ce rogue, mais il à l'air diférent de ce que j'ai pu lire sur pleins de sujet le concernant.
Internet bloqué... un pseudo scan au démarage qui trouve des trojans en veux tu en voila... des alertes de sécurité pour tout est n'importe quoi, seulement je peux toujours lancer des exe (heuresement pour moi), d'ailleurs je trouve ça bisard d'après ce que j'ai lu il bloque les exe.
Seulement internet bloqué je ne peux pas télécharger un prog pour virer ce rogue... une clé usb ? oui mais non... en ouvrant la clé j'ai trouvé des dossiers du style "Documment" "Musiques" Vidéos" etc et biensur je ni ai pas trouvé le prog qui aurai pu m'aider :s et que j'avais placé dessus juste avant (depuis mon pc portable).
Mode sans échec ? le rogue s'est qd mm lancé..., internet tjrs bloqué et ma clé affiché toujours s'est dossiers là.
À cour de solution je me résigner à ré-instaler mon pc, et là mets venu une idée qui ma probablement sauvé la mise, sur mon pc j'ai Jdownloader, j'ai donc retapé à la main l'url du téléchargement de "RogueKiller" (trouvé sur le site officiel) et mircale ça la téléchargé, je l'ai lancé et aucun problème, il a toruvé les fichiers qui n'avaient rien à faire là et les entrées de registres touchés.
Il a créer plusieurs RKreport, il a fallut plusieurs fois pour tout enlever...
Je colle ci-dessous les RKreports dans l'ordre chronologique.
Je voulais avec ce sujet, avant tout demander à ceux qui si connaissent plus que moi si pour vous je doit encore faire quelque chose et si tout est rentré dans l'ordre (j'ai denouveau accès à internet, plus de scan bidon), mais aussi faire part de ce problème, si je n'avais pas eu jdownloader, quels auraient été vos conseils ? vos solutions ? le cas pourrai ce reproduire pour d'autres !!!
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Thibaud [Droits d'admin]
Mode: Recherche -- Date : 06/06/2011 22:40:50
Processus malicieux: 3
[SUSP PATH] wee.exe -- c:\users\thibaud\appdata\local\wee.exe -> KILLED
[SUSP PATH] qgxev.exe -- c:\users\thibaud\qgxev.exe -> KILLED
[SUSP PATH] wee.exe -- c:\users\thibaud\appdata\local\wee.exe -> KILLED
Entrees de registre: 9
[SUSP PATH] HKCU\[...]\Run : qgxev (C:\Users\Thibaud\qgxev.exe /V) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3691649121-3195899345-4112932984-1000[...]\Run : qgxev (C:\Users\Thibaud\qgxev.exe /V) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...]exefile\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") -> FOUND
Fichier HOSTS:
Termine : << RKreport[1].txt >>
RKreport[1].txt
----------------------------------------------------------------------
Mode: Suppression -- Date : 06/06/2011 22:44:27
Processus malicieux: 0
Entrees de registre: 6
[SUSP PATH] HKCU\[...]\Run : qgxev (C:\Users\Thibaud\qgxev.exe /V) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files (x86)\internet explorer\iexplore.exe")
Fichier HOSTS:
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
----------------------------------------------------------------------------
Mode: Suppression -- Date : 06/06/2011 22:44:57
Processus malicieux: 0
Entrees de registre: 0
Fichier HOSTS:
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
---------------------------------------------------------
A voir également:
- Win 7 Home security nouvelle génération ?
- Photofiltre 7 - Télécharger - Retouche d'image
- Clé windows 7 - Guide
- Darkino nouvelle adresse - Guide
- Microsoft security essentials windows 7 - Télécharger - Antivirus & Antimalwares
- Extreme download nouvelle adresse - Accueil - Outils
17 réponses
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
J'avais fait la vérification dans IE pour les proxy et même pendant que le rogue était installé il n'y avait pas de proxy ouvert, (sans doute grasse à seven qui bloquait un programme nommé "12022111.exe" (je ne me souviens plus des chiffres exactement) et biensur je mettais non, pareil à l'ouverture d'IE pour une page web.
Et je n'est pas de perte de débit, (toujours le même ping dans les jeux en ligne)
Et à ce que j'ai lu Pre_Scan sert à "retablir la clé HKCR\exefile\shell\open\command " qui à ce que je vois dans les RKreport est "Replaced" ce qui ma l'air impecceable , non ? de plus tout mes programmes fonctionnes, tout est en place (Si je n'avais pas eu en plein milieu de mon écran un scan bidon et internet bloqué, j'aurai très bien pu ne pas voir qu'il était là...)
PS: dans mon premier message je précise déjà que tout mes programmes fonctionne correctement !!!
Je te remercie pour l'intérêt que tu porte en répondant à ce post, mais même si je ne suis pas très callé en informatique, je ne suis pas non plus un novice et j'aime comprendre pourquoi je doit faire une chose ou une autre....
J'ai fait ce que tu a dit, il se fige sur "User" et y reste 10 mins sans avoir le moindre signe de faire quelque chose ><
Et je n'est pas de perte de débit, (toujours le même ping dans les jeux en ligne)
Et à ce que j'ai lu Pre_Scan sert à "retablir la clé HKCR\exefile\shell\open\command " qui à ce que je vois dans les RKreport est "Replaced" ce qui ma l'air impecceable , non ? de plus tout mes programmes fonctionnes, tout est en place (Si je n'avais pas eu en plein milieu de mon écran un scan bidon et internet bloqué, j'aurai très bien pu ne pas voir qu'il était là...)
PS: dans mon premier message je précise déjà que tout mes programmes fonctionne correctement !!!
Je te remercie pour l'intérêt que tu porte en répondant à ce post, mais même si je ne suis pas très callé en informatique, je ne suis pas non plus un novice et j'aime comprendre pourquoi je doit faire une chose ou une autre....
J'ai fait ce que tu a dit, il se fige sur "User" et y reste 10 mins sans avoir le moindre signe de faire quelque chose ><
oui il est présent, pour rappel c'est un 64 bit que j'ai (je ne sais pas si ça peut poser problème pour ce Pre_scan, mais je le rappel tout mes programmes fonctionne... toute mes données sont présentes également !
j'ai retéléchargé, toujours ce bug !!! Mais je ne crois pas avoir de proxy... débit identique à avant, pas de ralentissement système, pas de mémoire boufé
il y un souci c'est pas normal
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
