Rapport de Roguekiller
Fermé
MA
-
9 sept. 2011 à 16:09
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 - 10 sept. 2011 à 06:53
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 - 10 sept. 2011 à 06:53
A voir également:
- Rapport de Roguekiller
- Roguekiller portable - Télécharger - Antivirus & Antimalwares
- Plan rapport de stage - Guide
- Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport existant ✓ - Forum Excel
- Problém affichage du tableau croisé dynamique - Forum Excel
- Envoyer un rapport de bug à mi pour analyse - Forum Xiaomi
23 réponses
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 16:21
9 sept. 2011 à 16:21
Apparemment oui, mais cela reste à vérifier !
Pourquoi avoir lancé RogueKiller ?
A la suite de quel dysfonctionnement ?
Pourquoi avoir lancé RogueKiller ?
A la suite de quel dysfonctionnement ?
L'ordinateur était infecté par un Rootkit.tdss et par Windows antispyware 2012.
J'ai lancé ZHPDiag qui a diagnostiqué une possible infection. J'ai ensuite exécuté EOlmarikTdl4Cleaner de Nod32, puis plusieurs autres pour être certain de l'enlever: Malwarebytes Antimalware, TDSSKiller, TDSS Remover, puis NOD32 analyse complète.
J'ai par la suite fait un rapport Roguekiller après avoir lu là-dessus et je crois constater que tout n'a pas été nettoyé.
Je me demande quoi faire pour la suite
J'ai lancé ZHPDiag qui a diagnostiqué une possible infection. J'ai ensuite exécuté EOlmarikTdl4Cleaner de Nod32, puis plusieurs autres pour être certain de l'enlever: Malwarebytes Antimalware, TDSSKiller, TDSS Remover, puis NOD32 analyse complète.
J'ai par la suite fait un rapport Roguekiller après avoir lu là-dessus et je crois constater que tout n'a pas été nettoyé.
Je me demande quoi faire pour la suite
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 17:25
9 sept. 2011 à 17:25
OK tu as lancé RogueKiller en mode Scan, donc il a analysé ton PC mais n'a pas désinfecté.
Tu vas donc faire ce qui suit :
* Lancer RogueKiller.exe
* Lorsque demandé, taper 3 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
@+
Tu vas donc faire ce qui suit :
* Lancer RogueKiller.exe
* Lorsque demandé, taper 3 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 17:48
9 sept. 2011 à 17:48
Heuuuuuuuuuuu!!!!, autant pour moi.
C'est bien la 2
@+
C'est bien la 2
@+
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 18:06
9 sept. 2011 à 18:06
OK les entrées de la base de registre ont été remplacés.
On va s'assurer qu'il ne subsiste pas d'autres malwares si tu veux bien.
* Télécharge ZHPDiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
/!\Il est très important de l'enregistrer sur le bureau / !\
* Double-clique sur ZHPDiag.exe puis laisse toi guider lors de l'installation coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag".
* L'installation est terminée, 3 icônes sont créées sur le bureau.(ZHPDiag, ZHPFix, MBRCheck)
________________________________________
2) Recherche / Scan
________________________________________
o Double-clique sur le raccourci portant le nom "ZHPDiag" qui se trouve normalement sur ton bureau.
o /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
o Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".
o Clique alors sur la loupe pour « lancer le diagnostic ».
o ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
o En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
o Le diagnostic terminé, sauvegarde le rapport sur le Bureau en cliquant sur la disquette bleue. Il se nomme ZHPDiag.txt
o Maintenant rends toi sur http://www.cijoint.fr/
o Clique sur le bouton Parcourir
o Sélectionne le fichier que tu veux héberger (dans ce cas c'est ZHPDiag.txt )et clique sur Ouvrir
o Clique sur le bouton « Cliquez ici pour envoyer le fichier »
o Un lien de ce type apparait http://www.cijoint.fr/cjlink.php?file=cj201109/cijmVV6UHo.xlsx
o Sélectionne-le et copie ce lien dans ta prochaine réponse.
@+
On va s'assurer qu'il ne subsiste pas d'autres malwares si tu veux bien.
* Télécharge ZHPDiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
/!\Il est très important de l'enregistrer sur le bureau / !\
* Double-clique sur ZHPDiag.exe puis laisse toi guider lors de l'installation coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag".
* L'installation est terminée, 3 icônes sont créées sur le bureau.(ZHPDiag, ZHPFix, MBRCheck)
________________________________________
2) Recherche / Scan
________________________________________
o Double-clique sur le raccourci portant le nom "ZHPDiag" qui se trouve normalement sur ton bureau.
o /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
o Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".
o Clique alors sur la loupe pour « lancer le diagnostic ».
o ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
o En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
o Le diagnostic terminé, sauvegarde le rapport sur le Bureau en cliquant sur la disquette bleue. Il se nomme ZHPDiag.txt
o Maintenant rends toi sur http://www.cijoint.fr/
o Clique sur le bouton Parcourir
o Sélectionne le fichier que tu veux héberger (dans ce cas c'est ZHPDiag.txt )et clique sur Ouvrir
o Clique sur le bouton « Cliquez ici pour envoyer le fichier »
o Un lien de ce type apparait http://www.cijoint.fr/cjlink.php?file=cj201109/cijmVV6UHo.xlsx
o Sélectionne-le et copie ce lien dans ta prochaine réponse.
@+
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 18:54
9 sept. 2011 à 18:54
Hélas oui !!!!
Laisse moi un peu de temps pour examiner le rapport en détail et je te donnerai la marche à suivre.
Laisse moi un peu de temps pour examiner le rapport en détail et je te donnerai la marche à suivre.
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 19:12
9 sept. 2011 à 19:12
Bon, on va continuer avec ZHPFix
* Copie tout le texte présent ci-dessous entre les 2 traits mais sans les traits (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
--------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\Software\Trymedia Systems]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O4 - HKLM\..\Run: [ThpSrv] Clé orpheline
O4 - HKCU\..\Run: [EasyDVDMon] Clé orpheline
O4 - HKUS\S-1-5-21-1957994488-583907252-725345543-1003\..\Run: [EasyDVDMon] Clé orpheline
O44 - LFC:[MD5.3951294201DEDFD1955A1F652A956A5B] - 2011-09-05 - 15:50:32 ---A- . (...) -- C:\WINDOWS\IE4 Error Log.txt [927]
O47 - AAKE:Key Export SP - "C:\WINDOWS\LMI7.tmp\lmi_rescue.exe" [Enabled] .(...) -- C:\WINDOWS\LMI7.tmp\lmi_rescue.exe (.not file.)
O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (...) -- (.Not Key.) (.not file.)
O4 - HKLM\..\Run: [OrderReminder] . (.Hewlett-Packard - HP Cartridge Order Reminder.) -- C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
-------------------------------------------------------
* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur le H "coller les lignes Helper"
* Colle les lignes ci dessus que tu viens de copier dans la fenêtre de ZHPFix :
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton « GO » pour lancer le nettoyage
* Copie/Colle le rapport à l''écran dans ton prochain message
* (le rapport se trouve aussi dans le dossier C:\ZHP sous le nom de ZHPFixReport.txt)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Redémarre ton ordinateur
* Copie tout le texte présent ci-dessous entre les 2 traits mais sans les traits (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
--------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\Software\Trymedia Systems]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O4 - HKLM\..\Run: [ThpSrv] Clé orpheline
O4 - HKCU\..\Run: [EasyDVDMon] Clé orpheline
O4 - HKUS\S-1-5-21-1957994488-583907252-725345543-1003\..\Run: [EasyDVDMon] Clé orpheline
O44 - LFC:[MD5.3951294201DEDFD1955A1F652A956A5B] - 2011-09-05 - 15:50:32 ---A- . (...) -- C:\WINDOWS\IE4 Error Log.txt [927]
O47 - AAKE:Key Export SP - "C:\WINDOWS\LMI7.tmp\lmi_rescue.exe" [Enabled] .(...) -- C:\WINDOWS\LMI7.tmp\lmi_rescue.exe (.not file.)
O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (...) -- (.Not Key.) (.not file.)
O4 - HKLM\..\Run: [OrderReminder] . (.Hewlett-Packard - HP Cartridge Order Reminder.) -- C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
-------------------------------------------------------
* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur le H "coller les lignes Helper"
* Colle les lignes ci dessus que tu viens de copier dans la fenêtre de ZHPFix :
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton « GO » pour lancer le nettoyage
* Copie/Colle le rapport à l''écran dans ton prochain message
* (le rapport se trouve aussi dans le dossier C:\ZHP sous le nom de ZHPFixReport.txt)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Redémarre ton ordinateur
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 20:23
9 sept. 2011 à 20:23
Bien, tu vas relancer TDSSKIller et me poster son résultat.
@+
@+
TDSSKiller n'a rien détecté.
http://www.cijoint.fr/cjlink.php?file=cj201109/cijrRyYHUR.txt
Par contre, RogueKiller semble encore détecter 2 clés infectées.
http://www.cijoint.fr/cjlink.php?file=cj201109/cijjDbZFt5.txt
Merci
http://www.cijoint.fr/cjlink.php?file=cj201109/cijrRyYHUR.txt
Par contre, RogueKiller semble encore détecter 2 clés infectées.
http://www.cijoint.fr/cjlink.php?file=cj201109/cijjDbZFt5.txt
Merci
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 21:14
9 sept. 2011 à 21:14
* Relance ZHPDiag refais un scan, ce dernier terminé
* clique sur l'icône en forme d'écusson vert ZHPFix
* ZHPFix se lancera, clique maintenant sur le H bleu (coller les lignes helper) puis copie/colle le texte en gras ci-dessous dans la fenêtre de ZHPFix
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
* Clique sur Ok ensuite sur Tous et enfin Nettoyer
* Poste dans ta prochaine réponse le contenu du rapport qui s'affiche à l'écran
* clique sur l'icône en forme d'écusson vert ZHPFix
* ZHPFix se lancera, clique maintenant sur le H bleu (coller les lignes helper) puis copie/colle le texte en gras ci-dessous dans la fenêtre de ZHPFix
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
* Clique sur Ok ensuite sur Tous et enfin Nettoyer
* Poste dans ta prochaine réponse le contenu du rapport qui s'affiche à l'écran
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 22:08
9 sept. 2011 à 22:08
Relances un ZHPDiag, on va voir si ton Antivirus et Parefeu sont OK
@+
@+
cabrier
Messages postés
5591
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
9 sept. 2011 à 22:23
9 sept. 2011 à 22:23
Pour moi c'est OK Antivirus et Parefeu démarrés. Rien d'autre !
Plus de malwares et rootkits.
FP de RogueKiller ? Possible !
Adobe reader n'est pas a jour >>> à faire.
@+
Plus de malwares et rootkits.
FP de RogueKiller ? Possible !
Adobe reader n'est pas a jour >>> à faire.
@+