Besoin d'aide concernant roguekiller

smokey -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous,

Alors voilà mon ordinateur est infecté par le virus vista security 2012. J'ai téléchargé roguekiller et j'ai besoin de l'aide d'un expert pour interpréter le rapport, et me donner la marche à suivre pour m'en débarrasser. Je précise que je ne suis pas super douée en informatique lol ! Alors une âme charitable ? :)

Merci infiniment.

Marie

14 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut !

    Poste le rapport que tu as déjà obtenu, si tu ne l'as pas encore exécuté, option 2 et 6 et poste les 2 rapports.

    A+
    0
  2. smokey
     
    salut juju,

    voici le rapport

    RogueKiller V6.1.1 [28/09/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Marie [Droits d'admin]
    Mode: Recherche -- Date : 06/10/2011 21:16:08

    Processus malicieux: 4
    [SUSP PATH] choinatt.dll -- C:\Users\Marie\AppData\Local\Temp\choinatt.dll -> UNLOADED
    [SUSP PATH] StiD1690.exe -- c:\windows\stid1690.exe -> KILLED [TermProc]
    [SUSP PATH] Notification-LiveSearch.exe -- c:\users\marie\appdata\roaming\microsoft\live search\notification-livesearch.exe -> KILLED [TermProc]
    [SUSP PATH] Mise-a-jour-LiveSearch.exe -- c:\users\marie\appdata\roaming\microsoft\live search\mise-a-jour-livesearch.exe -> KILLED [TermProc]

    Entrees de registre: 6
    [SUSP PATH] HKCU\[...]\Run : MuiUvr32 (rundll32 "C:\Users\Marie\AppData\Local\Temp\choinatt.dll",CreateProcessNotify) -> FOUND
    [SUSP PATH] HKLM\[...]\Run : Waiting1690 (C:\Windows\stid1690.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-4033535656-2850388094-655174112-1003[...]\Run : MuiUvr32 (rundll32 "C:\Users\Marie\AppData\Local\Temp\choinatt.dll",CreateProcessNotify) -> FOUND
    [SUSP PATH] Outil de notification Live Search.lnk : C:\Users\Marie\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    Fichiers / Dossiers particuliers:

    Driver: [LOADED]

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Relance RogueKiller options 2 et 6 et poste les 2 rapports.
    0
  4. smokey
     
    Alors option 2 ça donne :

    RogueKiller V6.1.1 [28/09/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Marie [Droits d'admin]
    Mode: Suppression -- Date : 06/10/2011 21:33:30

    Processus malicieux: 0

    Entrees de registre: 5
    [SUSP PATH] HKCU\[...]\Run : MuiUvr32 (rundll32 "C:\Users\Marie\AppData\Local\Temp\choinatt.dll",CreateProcessNotify) -> DELETED
    [SUSP PATH] HKLM\[...]\Run : Waiting1690 (C:\Windows\stid1690.exe) -> DELETED
    [SUSP PATH] Outil de notification Live Search.lnk : C:\Users\Marie\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    Fichiers / Dossiers particuliers:

    Driver: [LOADED]

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. smokey
     
    par contre option 6 ça bloque, je réessaye
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    faut le temps hein :)
    0
  8. smokey
     
    lol ^^ !

    Alors j'ai un truc mais je sais pas si c'est bon :

    RogueKiller V6.1.1 [28/09/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Marie [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 06/10/2011 21:39:18

    Processus malicieux: 0

    Driver: [LOADED]

    Attributs de fichiers restaures:
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 0 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 2 / Fail 0
    Mes documents: Success 0 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 0 / Fail 0
    Sauvegarde: [NOT FOUND]

    Lecteurs:
    [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume3 -- 0x2 --> Restored
    [E:] \Device\HarddiskVolume4 -- 0x2 --> Restored
    [F:] \Device\CdRom0 -- 0x5 --> Skipped

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ouais :)

    ▶ Télécharge MBAM et installe le selon l'emplacement par défaut
    https://www.malwarebytes.com/mwb-download/
    ▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware

    ▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

    ▶ Clique dans l'onglet du haut "Recherche"
    ▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ▶ Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ▶ Clique sur OK puis "Afficher les résultats"
    ▶ Choisis l'option "Supprimer la sélection"
    ▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ▶ Sinon le rapport s'ouvre automatiquement après la suppression

    Quelque soit le résultat, copie/colle le rapport dans le prochain message
    0
  10. smokey
     
    Est-ce que je dois désinstaller/désactiver AVG avant ?
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    non :)
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    pas grave ^^
    0
  13. smokey
     
    voilà le rapport juju

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 7888

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    06/10/2011 23:52:10
    mbam-log-2011-10-06 (23-52-10).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 308739
    Temps écoulé: 1 heure(s), 51 minute(s), 9 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    c:\Users\Marie\AppData\Local\Temp\choinatt.dll (Backdoor.Papras) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Marie\AppData\Local\Temp\choinatt.dll (Backdoor.Papras) -> Delete on reboot.
    c:\Users\Marie\Desktop\rk_quarantine\choinatt.dll.vir (Backdoor.Papras) -> Quarantined and deleted successfully.
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes périphériques externes sans les ouvrir (MP3, MP4, clé USB, disque dur externe, GSM, ...)

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ~~

    Nous allons effectuer un diagnostic de ton PC:
    Télécharge ZHPDiag

    ▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"

    ▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)

    ▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

    Voici comment procéder

    ▶ Rends toi sur pjjoint.malekal.com
    ▶ Clique sur le bouton Parcourir
    ▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
    ▶ Clique sur le bouton Envoyer
    ▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

    A bientôt.
    0