Rapport rogue killer

johnnybe -  
 Eleo02 -
Bonjour,

Suite à des messages de type : Windows ne trouve pas d'espace sur le disque dur. Erreur du disque dur" - " Erreur critique du disque dur. Demarrez l'utilitaire de diagnostique du systéme pour detecter les erreurs sur votre DD" - "Des clusters endommages du disque dur ont ete détectés. Les données privées sont en dangers" ....J j'ai suivi les recommandations donné sur ce forum j'ai donc utilisé le programme rogue killer , voici le rapport :
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: johnny walker [Droits d'admin]
Mode: Suppression -- Date : 13/06/2011 16:59:59

Processus malicieux: 2
[SUSP PATH] VmBaxAOpYwYFlj.exe -- c:\programdata\vmbaxaopywyflj.exe -> KILLED
[ROGUE ST] 33742584.exe -- c:\programdata\33742584.exe -> KILLED

Entrees de registre: 13
[SUSP PATH] HKCU\[...]\Run : VmBaxAOpYwYFlj (C:\ProgramData\VmBaxAOpYwYFlj.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

Fichier HOSTS:
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Qu'est que je dois faire après? sachant que je ne suis pas un as en PC, merci d'avance pour vos réponse

21 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    1
    1. johnnybe
       
      Ca marche comme sur des roulettes voila le rapport :
      http://www.cijoint.fr/cjlink.php?file=cj201106/cijfFjpAym.txt

      Merci pour ta réponse accessible efficace et rapide
      0
    2. Eleo02
       
      Bonjour,
      Je me suis pris un Trojan BNK Win32 Keylogger ce weekend.
      J'ai cherche une solution sur Internet. J'ai installe Pre Scan en le renommant version.pif sinon j'etais bloquee. Donc Pre Scan a ensuite mouline sur le bureau et au redemarrage du PC, le virus ne semble plus etre la, je peux reutiliser mon pc comme avant.

      Y-a-t'il un risque que la menace soit toujours sur l'ordi?

      Est- il imperatif que je poste le rapport ?

      Merci de votre aide et de tous les conseils que vous mettez a disposition des Internautes dans mon cas.

      Eleonore

      PS: Desolee pour l'absence d'accents, je suis au R-U et subis le clavier QWERTY :-)
      0
  2. g3n-h@ckm@n
     
    fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

    selectionne ce texte sans les lignes :
    ___________________________________________________
    file::
    C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    folder::
    C:\Users\johnny walker\AppData\Roaming\moovida-1
    C:\Users\johnny walker\AppData\Local\moovida Air

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ISUSPM Startup"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ISUSScheduler"=-
    "SunJavaUpdateSched"=-
    "HP Software Update"=-
    "Adobe Reader Speed Launcher"=-

    ___________________________________________________

    copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

    colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

    ===========================================

    telecharge ici : Load_KidoKiller

    Desactive tes protections

    lance-le , clique sur lancer le nettoyage

    à la fin Kido.txt se mettra sur ton bureau

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clic droit dessus , envoyer vers , dossiers compressés

    ensuite :

    tu m'envoies l'archive comme ceci :

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  3. johnnybe
     
    Ok voilà le pre-script:
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Utilisateur : johnny walker (Administrateurs)
    Ordinateur : JOHNNY-PC
    Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
    Internet Explorer : 8.0.6001.18943
    Mozilla Firefox : 4.0.1 (fr)

    Switchs possibles :

    processes:: | file:: | folder::
    Registry:: | Driver:: | replace::
    txt:: | Host:: | DNS:: | NsLook::
    Command:: | list:: | attrib::

    Script : 19:46:52

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    switchs :

    file::
    C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    folder::
    C:\Users\johnny walker\AppData\Roaming\moovida-1
    C:\Users\johnny walker\AppData\Local\moovida Air

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ISUSPM Startup"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ISUSScheduler"=-
    "SunJavaUpdateSched"=-
    "HP Software Update"=-
    "Adobe Reader Speed Launcher"=-

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuéé

    ¤

    Absent : C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    ¤

    non Supprimé : C:\Users\johnny walker\AppData\Roaming\moovida-1
    Supprimé : C:\Users\johnny walker\AppData\Local\moovida Air

    ¤

    explorer.exe -> Processus redémarré

    Fin : 19:46:53

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  4. johnnybe
     
    et le kido:
    http://www.cijoint.fr/cjlink.php?file=cj201106/cij6bacQGa.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    redemarre ton ordi et refais kidoKiller
    0
  7. johnnybe
     
    merci; tous a réapparu mais les icones du bureau sont transparents, c'est bon?
    0
  8. g3n-h@ckm@n
     
    salut j'attends le rapport demandé
    0
  9. johnnybe
     
    ok voila :
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijcnRto1A.txt
    0
  10. g3n-h@ckm@n
     
    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes periphériques sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  11. johnnybe
     
    voilà :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijktCNbN9.txt
    0
  12. g3n-h@ckm@n
     
    repere ce fichier , fais un clic droit dessus , puis copie-colle son contenu dans ta reponse

    C:\AUTOEXEC.VBE
    0
  13. johnnybe
     
    J' arrive juste à lire ça avec le bloc note :
    REM Dummy file for NTVDM
    0
  14. g3n-h@ckm@n
     
    non ca c'est le .bat c'est l'autre que je voudrais
    0
  15. johnnybe
     
    C:\UNIVBE51\UNIVBE.EXE
    C:\UNIVBE51\UNIPOWER.EXE 5 15
    REM Dummy file for NTVDM
    0
  16. johnnybe
     
    je sais pas un dossier vide, plutot récent je l'avais pas calcule.
    0
  17. g3n-h@ckm@n
     
    supprime ces deux lignes dans le fichier au dessus

    C:\UNIVBE51\UNIVBE.EXE
    C:\UNIVBE51\UNIPOWER.EXE 5 15
    0
  18. g3n-h@ckm@n
     
    re

    je viens de relire

    les icones du bureau sont trasparents ?
    0
  19. johnnybe
     
    oui mais pas tous, pas les récentes installations
    0
  • 1
  • 2