Rapport rogue killer
johnnybe
-
Eleo02 -
Eleo02 -
Bonjour,
Suite à des messages de type : Windows ne trouve pas d'espace sur le disque dur. Erreur du disque dur" - " Erreur critique du disque dur. Demarrez l'utilitaire de diagnostique du systéme pour detecter les erreurs sur votre DD" - "Des clusters endommages du disque dur ont ete détectés. Les données privées sont en dangers" ....J j'ai suivi les recommandations donné sur ce forum j'ai donc utilisé le programme rogue killer , voici le rapport :
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: johnny walker [Droits d'admin]
Mode: Suppression -- Date : 13/06/2011 16:59:59
Processus malicieux: 2
[SUSP PATH] VmBaxAOpYwYFlj.exe -- c:\programdata\vmbaxaopywyflj.exe -> KILLED
[ROGUE ST] 33742584.exe -- c:\programdata\33742584.exe -> KILLED
Entrees de registre: 13
[SUSP PATH] HKCU\[...]\Run : VmBaxAOpYwYFlj (C:\ProgramData\VmBaxAOpYwYFlj.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
Fichier HOSTS:
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Qu'est que je dois faire après? sachant que je ne suis pas un as en PC, merci d'avance pour vos réponse
Suite à des messages de type : Windows ne trouve pas d'espace sur le disque dur. Erreur du disque dur" - " Erreur critique du disque dur. Demarrez l'utilitaire de diagnostique du systéme pour detecter les erreurs sur votre DD" - "Des clusters endommages du disque dur ont ete détectés. Les données privées sont en dangers" ....J j'ai suivi les recommandations donné sur ce forum j'ai donc utilisé le programme rogue killer , voici le rapport :
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: johnny walker [Droits d'admin]
Mode: Suppression -- Date : 13/06/2011 16:59:59
Processus malicieux: 2
[SUSP PATH] VmBaxAOpYwYFlj.exe -- c:\programdata\vmbaxaopywyflj.exe -> KILLED
[ROGUE ST] 33742584.exe -- c:\programdata\33742584.exe -> KILLED
Entrees de registre: 13
[SUSP PATH] HKCU\[...]\Run : VmBaxAOpYwYFlj (C:\ProgramData\VmBaxAOpYwYFlj.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
Fichier HOSTS:
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Qu'est que je dois faire après? sachant que je ne suis pas un as en PC, merci d'avance pour vos réponse
A voir également:
- Rapport rogue killer
- Rogue killer - Télécharger - Antivirus & Antimalwares
- Plan rapport de stage - Guide
- Double killer - Télécharger - Divers Utilitaires
- Thème rapport de stage comptabilité - Forum Word
- Rapport de crash windows - Guide
21 réponses
salut
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre
selectionne ce texte sans les lignes :
___________________________________________________
file::
C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
folder::
C:\Users\johnny walker\AppData\Roaming\moovida-1
C:\Users\johnny walker\AppData\Local\moovida Air
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSScheduler"=-
"SunJavaUpdateSched"=-
"HP Software Update"=-
"Adobe Reader Speed Launcher"=-
___________________________________________________
copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau
colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
===========================================
telecharge ici : Load_KidoKiller
Desactive tes protections
lance-le , clique sur lancer le nettoyage
à la fin Kido.txt se mettra sur ton bureau
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clic droit dessus , envoyer vers , dossiers compressés
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
selectionne ce texte sans les lignes :
___________________________________________________
file::
C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
folder::
C:\Users\johnny walker\AppData\Roaming\moovida-1
C:\Users\johnny walker\AppData\Local\moovida Air
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSScheduler"=-
"SunJavaUpdateSched"=-
"HP Software Update"=-
"Adobe Reader Speed Launcher"=-
___________________________________________________
copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau
colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
===========================================
telecharge ici : Load_KidoKiller
Desactive tes protections
lance-le , clique sur lancer le nettoyage
à la fin Kido.txt se mettra sur ton bureau
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clic droit dessus , envoyer vers , dossiers compressés
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Ok voilà le pre-script:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : johnny walker (Administrateurs)
Ordinateur : JOHNNY-PC
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 8.0.6001.18943
Mozilla Firefox : 4.0.1 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 19:46:52
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
folder::
C:\Users\johnny walker\AppData\Roaming\moovida-1
C:\Users\johnny walker\AppData\Local\moovida Air
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSScheduler"=-
"SunJavaUpdateSched"=-
"HP Software Update"=-
"Adobe Reader Speed Launcher"=-
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Absent : C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
¤
non Supprimé : C:\Users\johnny walker\AppData\Roaming\moovida-1
Supprimé : C:\Users\johnny walker\AppData\Local\moovida Air
¤
explorer.exe -> Processus redémarré
Fin : 19:46:53
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : johnny walker (Administrateurs)
Ordinateur : JOHNNY-PC
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 8.0.6001.18943
Mozilla Firefox : 4.0.1 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 19:46:52
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
folder::
C:\Users\johnny walker\AppData\Roaming\moovida-1
C:\Users\johnny walker\AppData\Local\moovida Air
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSScheduler"=-
"SunJavaUpdateSched"=-
"HP Software Update"=-
"Adobe Reader Speed Launcher"=-
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Absent : C:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
¤
non Supprimé : C:\Users\johnny walker\AppData\Roaming\moovida-1
Supprimé : C:\Users\johnny walker\AppData\Local\moovida Air
¤
explorer.exe -> Processus redémarré
Fin : 19:46:53
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
▶ Télécharge ici : USBFIX sur ton bureau
branche tous tes periphériques sans les ouvrir
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
branche tous tes periphériques sans les ouvrir
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
repere ce fichier , fais un clic droit dessus , puis copie-colle son contenu dans ta reponse
C:\AUTOEXEC.VBE
C:\AUTOEXEC.VBE
http://www.cijoint.fr/cjlink.php?file=cj201106/cijfFjpAym.txt
Merci pour ta réponse accessible efficace et rapide
Je me suis pris un Trojan BNK Win32 Keylogger ce weekend.
J'ai cherche une solution sur Internet. J'ai installe Pre Scan en le renommant version.pif sinon j'etais bloquee. Donc Pre Scan a ensuite mouline sur le bureau et au redemarrage du PC, le virus ne semble plus etre la, je peux reutiliser mon pc comme avant.
Y-a-t'il un risque que la menace soit toujours sur l'ordi?
Est- il imperatif que je poste le rapport ?
Merci de votre aide et de tous les conseils que vous mettez a disposition des Internautes dans mon cas.
Eleonore
PS: Desolee pour l'absence d'accents, je suis au R-U et subis le clavier QWERTY :-)