rapport rogue killer Fermé

Question

Bonjour,

Suite à des messages de type : Windows ne trouve pas d'espace sur le disque dur. Erreur du disque dur" - " Erreur critique du disque dur. Demarrez l'utilitaire de diagnostique du systéme pour detecter les erreurs sur votre DD" - "Des clusters endommages du disque dur ont ete détectés. Les données privées sont en dangers" ....J j'ai suivi les recommandations donné sur ce forum j'ai donc utilisé le programme rogue killer , voici le rapport :
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: johnny walker [Droits d'admin]
Mode: Suppression -- Date : 13/06/2011 16:59:59

Processus malicieux: 2
[SUSP PATH] VmBaxAOpYwYFlj.exe -- c:\programdata\vmbaxaopywyflj.exe -> KILLED
[ROGUE ST] 33742584.exe -- c:\programdata\33742584.exe -> KILLED

Entrees de registre: 13
[SUSP PATH] HKCU\[...]\Run : VmBaxAOpYwYFlj (C:\ProgramData\VmBaxAOpYwYFlj.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

Fichier HOSTS:
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Qu'est que je dois faire après? sachant que je ne suis pas un as en PC, merci d'avance pour vos réponse

g3n-h@ckm@n · Answer

salut

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

g3n-h@ckm@n · Answer

fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

selectionne ce texte sans les lignes :
___________________________________________________
file::
C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn      

folder::
C:\Users\johnny walker\AppData\Roaming\moovida-1 
C:\Users\johnny walker\AppData\Local\moovida Air       

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"ISUSPM Startup"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"ISUSScheduler"=-
"SunJavaUpdateSched"=-
"HP Software Update"=-
"Adobe Reader Speed Launcher"=-                                          
___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail 

===========================================

telecharge ici : Load_KidoKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage 

à la fin Kido.txt se mettra sur ton bureau

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clic droit dessus , envoyer vers , dossiers compressés

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

johnnybe · Answer

Ok voilà le pre-script:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : johnny walker (Administrateurs)
Ordinateur : JOHNNY-PC
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 8.0.6001.18943
Mozilla Firefox : 4.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 19:46:52

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

file::
C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn


folder::
C:\Users\johnny walker\AppData\Roaming\moovida-1
C:\Users\johnny walker\AppData\Local\moovida Air


Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSScheduler"=-
"SunJavaUpdateSched"=-
"HP Software Update"=-
"Adobe Reader Speed Launcher"=- 


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuéé

¤

Absent : C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

¤

non Supprimé : C:\Users\johnny walker\AppData\Roaming\moovida-1
Supprimé : C:\Users\johnny walker\AppData\Local\moovida Air

¤


explorer.exe -> Processus redémarré

Fin : 19:46:53

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

johnnybe · Answer

et le kido:
http://www.cijoint.fr/cjlink.php?file=cj201106/cij6bacQGa.txt

g3n-h@ckm@n · Answer

redemarre ton ordi et refais kidoKiller

johnnybe · Answer

merci; tous a réapparu mais les icones du bureau sont transparents, c'est bon?

g3n-h@ckm@n · Answer

salut j'attends le rapport demandé

johnnybe · Answer

ok voila :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijcnRto1A.txt

g3n-h@ckm@n · Answer

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

johnnybe · Answer

voilà :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijktCNbN9.txt

g3n-h@ckm@n · Answer

repere ce fichier , fais un clic droit dessus , puis copie-colle son contenu dans ta reponse 

C:\AUTOEXEC.VBE

johnnybe · Answer

J' arrive juste à lire ça avec le bloc note :
REM Dummy file for NTVDM

g3n-h@ckm@n · Answer

non ca c'est le .bat c'est l'autre que je voudrais

johnnybe · Answer

C:\UNIVBE51\UNIVBE.EXE
C:\UNIVBE51\UNIPOWER.EXE 5 15
REM Dummy file for NTVDM

g3n-h@ckm@n · Answer

c'est quoi ca ?

C:\UNIVBE51

johnnybe · Answer

je sais pas un dossier vide, plutot récent je l'avais pas calcule.

g3n-h@ckm@n · Answer

supprime ces deux lignes dans le fichier au dessus

C:\UNIVBE51\UNIVBE.EXE
C:\UNIVBE51\UNIPOWER.EXE 5 15

johnnybe · Answer

ok c fait

g3n-h@ckm@n · Answer

re

je viens de relire 

les icones du bureau sont trasparents ?

johnnybe · Answer

oui mais pas tous, pas les récentes installations

g3n-h@ckm@n · Answer

ouaip' 

telecharge ca 

http://dl.dropbox.com/u/21363431/Pre_Script.exe 

lance-le , puis ecris ca exactement dans le texte qui s'ouvre  

attrib:: 

onglet fichier => enregistrer  

puis tu fermes  

ca va te reattribuer tous les fichiers rendus invisibles par l infection en visible  

laisse faire le scan et poste pre_script.txt qui apparaitra sur ton bureau à la fin 
via cijoint.fr 
¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Rapport rogue killer

21 réponses

Discussions similaires

Newsletters