Infection rogue
g3n-h@ckm@n -
J'ai chopé un rogue.
Je n'ai plus les multiples messages d'erreurs concernant la RAM et autres, mais avast continue à me balancer des messages comme quoi il bloque des url malveillant.
Néanmoins, j'ai fait plusieurs scan et il n'y a plus rien.
J'ai essayé de faire un autre scan avec bitdefender ca n'a pas marché.
J'ai téléchargé Microsoft security il a aussi trouvé un trojan qu'il n'arrive pas à supprimer apparemment (Trojan:DOS/Alureon.A).
J'ai mis à jour CCleaner RAS.
Enfin, je viens de faire une analyse avec Killrogue, voici le rapport :
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date : 13/06/2011 20:47:07
Processus malicieux: 0
Entrees de registre: 14
[SUSP PATH] HKCU\[...]\Run : fmueldk ("c:\documents and settings\administrateur\local settings\application data\fmueldk.exe" fmueldk) -> FOUND
[SUSP PATH] HKCU\[...]\Run : 4ECYTQ9SIC (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Fk1.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : WiIcWRekwAE (C:\Documents and Settings\All Users\Application Data\WiIcWRekwAE.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1990792646-2492842019-661982708-500[...]\Run : fmueldk ("c:\documents and settings\administrateur\local settings\application data\fmueldk.exe" fmueldk) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1990792646-2492842019-661982708-500[...]\Run : 4ECYTQ9SIC (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Fk1.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1990792646-2492842019-661982708-500[...]\Run : WiIcWRekwAE (C:\Documents and Settings\All Users\Application Data\WiIcWRekwAE.exe) -> FOUND
[BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> FOUND
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Fichier HOSTS:
Termine : << RKreport[1].txt >>
RKreport[1].txt
Je vous remercie par avance pour les conseils que vous pourrez m'apporter car je suis une vraie billen en informatique.
- Infection rogue
- Rogue killer - Télécharger - Antivirus & Antimalwares
- Rogue remover - Télécharger - Sécurité
- Rogue Applications Remover - Télécharger - Sécurité
- Infection - Forum Virus
- Infection ✓ - Forum Virus
54 réponses
- 1
- 2
- 3
Un poste sous Windows XP avec Internet Explorer 8 est infecté par un rogue et des messages d’alerte persistent, signalant des URL malveillantes malgré des scans qui n’identifient plus d’éléments nuisibles. Plusieurs outils de sécurité ont été lancés ( Avast, Bitdefender, Microsoft Security Essentials ) et n’ont pas trouvé d’infection active, tandis que RogueKiller signale des entrées de registre et des chemins suspects à supprimer. Les réponses suggèrent d’utiliser RogueKiller en mode suppression (options 2 et 6) et de poster les rapports, puis d’essayer TDSSKiller et ZHPDiag pour identifier et nettoyer des éléments tenaces. En dernier lieu, le fil évoque l’utilisation d’un outil de diagnostic tiers et l’hébergement des rapports en ligne pour permettre une analyse approfondie par des spécialistes.
Relancer RogueKiller option 2 puis 6
Poster les 2 rapports fournis.
============================================================
▶ Télécharge Reload_TDSSKiller (de Kaspersky Labs & gen-hackman) sur ton Bureau
▶ Lance le et clique sur : télécharger la dernière version
▶ Relance le et cliquer sur : lancer le nettoyage
▶ Clique sur Start Scan Clique ici pour l'aide en image
▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip
▶ A la fin clique sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s''ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer_N° de version_Date_Heure_log.txt)
Mais je ne suis pas connaisseur attend l'avis de quelqu'un d'autre...
▶ Télécharge Malwarebytes'' Anti-Malware et enregistre le sur ton bureau.
▶ ▶ Miroir 1 si inaccessible
▶ ▶ Miroir 2 si inaccessible
▶ Double clique sur le fichier téléchargé pour lancer le processus d''installation.
Laisse le s'installer avec les options par défaut...
Une fois installé, exécute Malwarebytes.
▶ ▶ /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu''Administrateur »
▶ S'il te demande de faire la mise à jour, accepte.
▶ Une fois la mise à jour terminée
▶ rends-toi dans l'onglet Recherche
▶ Sélectionne Exécuter un examen complet
▶ Coche tous tes disques
▶ Clique sur Rechercher
▶ ▶ Le scan démarre.
▶ A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur ''Afficher les résultats'' pour afficher tous les objets trouvés.
▶ Clique sur Ok pour poursuivre.
▶ Si des malwares ont été détectés, cliques sur Afficher les résultats
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
▶ Malwarebytes va ouvrir le bloc-notes et y copier le rapport d''analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)
▶ ▶ Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
▶ Une fois le PC redémarré, rends toi dans l'onglet rapport/log
▶ Tu clique dessus pour l'afficher, une fois affiché
▶ Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)
Si tu as besoin d''aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Version de la base de données: 6856
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
14/06/2011 22:37:26
mbam-log-2011-06-14 (22-37-26).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 284364
Temps écoulé: 3 heure(s), 15 minute(s), 24 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\1U0WFOHZPQ (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\4ECYTQ9SIC (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\administrateur\application data\Adobe\plugs\kb4580734.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\Adobe\plugs\kb4580843.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\Adobe\plugs\kb4581000.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Voilà, est-ce qu'il y aurait d'autres manip à faire?
Merci par avance,
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionNous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Je viens de voir un fichier apparaître sur le bureau avec à la place du nom du fichier des petits carrés.
Tu as bien fermé zhpdiag ?
Si oui, rends toi à l'emplacement suivant : C:\Program Files\ZHPDiag
Dedans tu devrais y trouver le fichier ZHPDiag.txt :)
ça c'est le ChangeLog ZHPScan ;-)
Fais une recherche sur ton ordinateur du fichier ZHPDiag.txt
Il doit bien exister :-\
Dans le dossier ZHP il y a un sous dossier "Liste spéciale" et deux fichiers : celui que j'ai mis sur le site et un autre intitulé "ZHPRootkit".
Je recommence?
donc tu lance zhpdiag, tu clique sur la loupe
aux 100% tu le ferme
zhpdiag.txt devrait être présent sur ton bureau.
redémarre le pc, retente un zhpdiag. de mon coté je vais me renseigner concernant ce fichier qui n'arrive pas
puis retélécharge et refais zhpdiag
J'ai réinstallé ZHPdiag.
Mais voilà j'ai plusieurs messages d'erreur, celui dont je t ai parlé avant et un autre de type "la memoire ne peut pas être "read"" et "L'application ou la DLL C:\WINDOWS\system32\RICHED20.dll n'est pas une image Windows valide. Vérifier à l'aide de votre disquette d'installation."
"opération impossible en virgule flottante".
▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu''administrateur)
▶ Lance OTL
▶ Sous Personnalisation, copie-colle ce qu''il y a dans le cadre ci-dessous :
netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %temp%\*.exe /s %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav /md5start explorer.exe winlogon.exe wininit.exe /md5stop CREATERESTOREPOINT nslookup www.google.fr /c
▶ Clique sur le bouton Analyse.
▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
- 1
- 2
- 3
Voici le rapport option 2
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 13/06/2011 21:05:36
Processus malicieux: 0
Entrees de registre: 11
[SUSP PATH] HKCU\[...]\Run : fmueldk ("c:\documents and settings\administrateur\local settings\application data\fmueldk.exe" fmueldk) -> DELETED
[SUSP PATH] HKCU\[...]\Run : 4ECYTQ9SIC (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Fk1.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : WiIcWRekwAE (C:\Documents and Settings\All Users\Application Data\WiIcWRekwAE.exe) -> DELETED
[BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\WINDOWS\Wave.bmp)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichier HOSTS:
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Et le rapport option 6
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 13/06/2011 22:13:29
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 285 / Fail 0
Lancement rapide: Success 1 / Fail 0
Programmes: Success 15 / Fail 0
Menu demarrer: Success 38 / Fail 0
Dossier utilisateur: Success 42784 / Fail 0
Mes documents: Success 452 / Fail 0
Mes favoris: Success 78 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1051 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
très bien, en attente tdss killer.
J'ai fait une analyse avec tdss killer.
Voici les messages qui sont apparus:
Malicious Objects
Rootkit.Win32.TDSS.tdl4
Physical drive
Name: \Device\Harddisk0\DR0
\Device\Harddisk0\DR0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
\Device\Harddisk0\DR0 - ok
MERCI