Rapport de Roguekiller
MA
-
cabrier Messages postés 5591 Date d'inscription Statut Contributeur sécurité Dernière intervention -
cabrier Messages postés 5591 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'obtiens ce rapport de Roguekiller:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Bureau [Droits d'admin]
Mode: Recherche -- Date : 09/09/2011 09:37:53
Processus malicieux: 0
Entrees de registre: 3
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
Il me semble y avoir 3 clés infectées.
Qu'est-ce que je dois faire pour la suite ?
Merci à l'avance pour l'aide.
J'obtiens ce rapport de Roguekiller:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Bureau [Droits d'admin]
Mode: Recherche -- Date : 09/09/2011 09:37:53
Processus malicieux: 0
Entrees de registre: 3
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
Il me semble y avoir 3 clés infectées.
Qu'est-ce que je dois faire pour la suite ?
Merci à l'avance pour l'aide.
A voir également:
- Rapport de Roguekiller
- Roguekiller - Télécharger - Antivirus & Antimalwares
- Plan rapport de stage - Guide
- Rapport de crash windows - Guide
- Impression rapport de stage ✓ - Forum Word
- Exemple de thème de rapport de stage en ressources humaines - Forum Réseau
23 réponses
Apparemment oui, mais cela reste à vérifier !
Pourquoi avoir lancé RogueKiller ?
A la suite de quel dysfonctionnement ?
Pourquoi avoir lancé RogueKiller ?
A la suite de quel dysfonctionnement ?
L'ordinateur était infecté par un Rootkit.tdss et par Windows antispyware 2012.
J'ai lancé ZHPDiag qui a diagnostiqué une possible infection. J'ai ensuite exécuté EOlmarikTdl4Cleaner de Nod32, puis plusieurs autres pour être certain de l'enlever: Malwarebytes Antimalware, TDSSKiller, TDSS Remover, puis NOD32 analyse complète.
J'ai par la suite fait un rapport Roguekiller après avoir lu là-dessus et je crois constater que tout n'a pas été nettoyé.
Je me demande quoi faire pour la suite
J'ai lancé ZHPDiag qui a diagnostiqué une possible infection. J'ai ensuite exécuté EOlmarikTdl4Cleaner de Nod32, puis plusieurs autres pour être certain de l'enlever: Malwarebytes Antimalware, TDSSKiller, TDSS Remover, puis NOD32 analyse complète.
J'ai par la suite fait un rapport Roguekiller après avoir lu là-dessus et je crois constater que tout n'a pas été nettoyé.
Je me demande quoi faire pour la suite
OK tu as lancé RogueKiller en mode Scan, donc il a analysé ton PC mais n'a pas désinfecté.
Tu vas donc faire ce qui suit :
* Lancer RogueKiller.exe
* Lorsque demandé, taper 3 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
@+
Tu vas donc faire ce qui suit :
* Lancer RogueKiller.exe
* Lorsque demandé, taper 3 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
OK les entrées de la base de registre ont été remplacés.
On va s'assurer qu'il ne subsiste pas d'autres malwares si tu veux bien.
* Télécharge ZHPDiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
/!\Il est très important de l'enregistrer sur le bureau / !\
* Double-clique sur ZHPDiag.exe puis laisse toi guider lors de l'installation coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag".
* L'installation est terminée, 3 icônes sont créées sur le bureau.(ZHPDiag, ZHPFix, MBRCheck)
________________________________________
2) Recherche / Scan
________________________________________
o Double-clique sur le raccourci portant le nom "ZHPDiag" qui se trouve normalement sur ton bureau.
o /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
o Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".
o Clique alors sur la loupe pour « lancer le diagnostic ».
o ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
o En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
o Le diagnostic terminé, sauvegarde le rapport sur le Bureau en cliquant sur la disquette bleue. Il se nomme ZHPDiag.txt
o Maintenant rends toi sur http://www.cijoint.fr/
o Clique sur le bouton Parcourir
o Sélectionne le fichier que tu veux héberger (dans ce cas c'est ZHPDiag.txt )et clique sur Ouvrir
o Clique sur le bouton « Cliquez ici pour envoyer le fichier »
o Un lien de ce type apparait http://www.cijoint.fr/cjlink.php?file=cj201109/cijmVV6UHo.xlsx
o Sélectionne-le et copie ce lien dans ta prochaine réponse.
@+
On va s'assurer qu'il ne subsiste pas d'autres malwares si tu veux bien.
* Télécharge ZHPDiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
/!\Il est très important de l'enregistrer sur le bureau / !\
* Double-clique sur ZHPDiag.exe puis laisse toi guider lors de l'installation coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag".
* L'installation est terminée, 3 icônes sont créées sur le bureau.(ZHPDiag, ZHPFix, MBRCheck)
________________________________________
2) Recherche / Scan
________________________________________
o Double-clique sur le raccourci portant le nom "ZHPDiag" qui se trouve normalement sur ton bureau.
o /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
o Clique sur la grosse flèche verte pour vérifier la mise à jour. S'il est à jour, message > "votre version est à jour".
o Clique alors sur la loupe pour « lancer le diagnostic ».
o ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
o En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
o Le diagnostic terminé, sauvegarde le rapport sur le Bureau en cliquant sur la disquette bleue. Il se nomme ZHPDiag.txt
o Maintenant rends toi sur http://www.cijoint.fr/
o Clique sur le bouton Parcourir
o Sélectionne le fichier que tu veux héberger (dans ce cas c'est ZHPDiag.txt )et clique sur Ouvrir
o Clique sur le bouton « Cliquez ici pour envoyer le fichier »
o Un lien de ce type apparait http://www.cijoint.fr/cjlink.php?file=cj201109/cijmVV6UHo.xlsx
o Sélectionne-le et copie ce lien dans ta prochaine réponse.
@+
Hélas oui !!!!
Laisse moi un peu de temps pour examiner le rapport en détail et je te donnerai la marche à suivre.
Laisse moi un peu de temps pour examiner le rapport en détail et je te donnerai la marche à suivre.
Bon, on va continuer avec ZHPFix
* Copie tout le texte présent ci-dessous entre les 2 traits mais sans les traits (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
--------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\Software\Trymedia Systems]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O4 - HKLM\..\Run: [ThpSrv] Clé orpheline
O4 - HKCU\..\Run: [EasyDVDMon] Clé orpheline
O4 - HKUS\S-1-5-21-1957994488-583907252-725345543-1003\..\Run: [EasyDVDMon] Clé orpheline
O44 - LFC:[MD5.3951294201DEDFD1955A1F652A956A5B] - 2011-09-05 - 15:50:32 ---A- . (...) -- C:\WINDOWS\IE4 Error Log.txt [927]
O47 - AAKE:Key Export SP - "C:\WINDOWS\LMI7.tmp\lmi_rescue.exe" [Enabled] .(...) -- C:\WINDOWS\LMI7.tmp\lmi_rescue.exe (.not file.)
O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (...) -- (.Not Key.) (.not file.)
O4 - HKLM\..\Run: [OrderReminder] . (.Hewlett-Packard - HP Cartridge Order Reminder.) -- C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
-------------------------------------------------------
* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur le H "coller les lignes Helper"
* Colle les lignes ci dessus que tu viens de copier dans la fenêtre de ZHPFix :
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton « GO » pour lancer le nettoyage
* Copie/Colle le rapport à l''écran dans ton prochain message
* (le rapport se trouve aussi dans le dossier C:\ZHP sous le nom de ZHPFixReport.txt)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Redémarre ton ordinateur
* Copie tout le texte présent ci-dessous entre les 2 traits mais sans les traits (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
--------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\Software\Trymedia Systems]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O4 - HKLM\..\Run: [ThpSrv] Clé orpheline
O4 - HKCU\..\Run: [EasyDVDMon] Clé orpheline
O4 - HKUS\S-1-5-21-1957994488-583907252-725345543-1003\..\Run: [EasyDVDMon] Clé orpheline
O44 - LFC:[MD5.3951294201DEDFD1955A1F652A956A5B] - 2011-09-05 - 15:50:32 ---A- . (...) -- C:\WINDOWS\IE4 Error Log.txt [927]
O47 - AAKE:Key Export SP - "C:\WINDOWS\LMI7.tmp\lmi_rescue.exe" [Enabled] .(...) -- C:\WINDOWS\LMI7.tmp\lmi_rescue.exe (.not file.)
O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (...) -- (.Not Key.) (.not file.)
O4 - HKLM\..\Run: [OrderReminder] . (.Hewlett-Packard - HP Cartridge Order Reminder.) -- C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
-------------------------------------------------------
* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur le H "coller les lignes Helper"
* Colle les lignes ci dessus que tu viens de copier dans la fenêtre de ZHPFix :
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton « GO » pour lancer le nettoyage
* Copie/Colle le rapport à l''écran dans ton prochain message
* (le rapport se trouve aussi dans le dossier C:\ZHP sous le nom de ZHPFixReport.txt)
* Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
* Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
* Copie ce lien dans ta réponse.
* Redémarre ton ordinateur
TDSSKiller n'a rien détecté.
http://www.cijoint.fr/cjlink.php?file=cj201109/cijrRyYHUR.txt
Par contre, RogueKiller semble encore détecter 2 clés infectées.
http://www.cijoint.fr/cjlink.php?file=cj201109/cijjDbZFt5.txt
Merci
http://www.cijoint.fr/cjlink.php?file=cj201109/cijrRyYHUR.txt
Par contre, RogueKiller semble encore détecter 2 clés infectées.
http://www.cijoint.fr/cjlink.php?file=cj201109/cijjDbZFt5.txt
Merci
* Relance ZHPDiag refais un scan, ce dernier terminé
* clique sur l'icône en forme d'écusson vert ZHPFix
* ZHPFix se lancera, clique maintenant sur le H bleu (coller les lignes helper) puis copie/colle le texte en gras ci-dessous dans la fenêtre de ZHPFix
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
* Clique sur Ok ensuite sur Tous et enfin Nettoyer
* Poste dans ta prochaine réponse le contenu du rapport qui s'affiche à l'écran
* clique sur l'icône en forme d'écusson vert ZHPFix
* ZHPFix se lancera, clique maintenant sur le H bleu (coller les lignes helper) puis copie/colle le texte en gras ci-dessous dans la fenêtre de ZHPFix
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
* Clique sur Ok ensuite sur Tous et enfin Nettoyer
* Poste dans ta prochaine réponse le contenu du rapport qui s'affiche à l'écran
