Rogue - MalwareBytes
Lio66
Messages postés
47
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Bonjour,
J'ai été infecté par le rogue "pc performance & stability".
J'ai suivi ce tuto:
Téléchargez MalwareBytes Anti-Malware (MBAM).
* Laissez-vous guider lors de l'installation.
* La mise à jour se fait automatiquement lors de l'installation.
* Ouvrez MalwareBytes Anti-Malware, cliquez sur "Exécuter un examen complet" puis sur "Rechercher".
* Sélectionnez les disques que vous voulez analyser puis cliquez sur "Lancer l'examen".
* Laissez maintenant l'analyse se réaliser, cela peut prendre un peu de temps.
* Une fois l'analyse terminée, cliquez sur OK puis sur "Afficher les résultats".
* Vérifiez que tout soit bien coché et cliquez sur "Supprimer la sélection".
* Un rapport va être généré. Postez le rapport sur le forum Virus/sécurité pour vous faire aider.
* Il se pourrait que le logiciel ait besoin de redémarrer le PC pour terminer la suppression de certains fichiers, acceptez.
Voici le rapport:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.19.05
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Lionel :: LIONEL-HP [administrateur]
19/03/2012 22:54:44
mbam-log-2012-03-19 (22-54-44).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 296369
Temps écoulé: 1 heure(s), 4 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 2
C:\ProgramData\orytRAOHtwiq.exe (Rogue.FakeHDD) -> 3876 -> Suppression au redémarrage.
C:\ProgramData\Fzt8jt9hmnDX0Y.exe (Trojan.FakeAlert) -> 5440 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|orytRAOHtwiq.exe (Rogue.FakeHDD) -> Données: C:\ProgramData\orytRAOHtwiq.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\ProgramData\orytRAOHtwiq.exe (Rogue.FakeHDD) -> Suppression au redémarrage.
C:\ProgramData\Fzt8jt9hmnDX0Y.exe (Trojan.FakeAlert) -> Suppression au redémarrage.
C:\Users\Lionel\AppData\Local\Temp\walFBcbCdpBq2w.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Lionel\AppData\Local\Temp\sTJEdRVVB0O6ld.exe.tmp (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.
(fin)
Que dois je faire?
Merci par avance de votre aide
Bonjour,
J'ai été infecté par le rogue "pc performance & stability".
J'ai suivi ce tuto:
Téléchargez MalwareBytes Anti-Malware (MBAM).
* Laissez-vous guider lors de l'installation.
* La mise à jour se fait automatiquement lors de l'installation.
* Ouvrez MalwareBytes Anti-Malware, cliquez sur "Exécuter un examen complet" puis sur "Rechercher".
* Sélectionnez les disques que vous voulez analyser puis cliquez sur "Lancer l'examen".
* Laissez maintenant l'analyse se réaliser, cela peut prendre un peu de temps.
* Une fois l'analyse terminée, cliquez sur OK puis sur "Afficher les résultats".
* Vérifiez que tout soit bien coché et cliquez sur "Supprimer la sélection".
* Un rapport va être généré. Postez le rapport sur le forum Virus/sécurité pour vous faire aider.
* Il se pourrait que le logiciel ait besoin de redémarrer le PC pour terminer la suppression de certains fichiers, acceptez.
Voici le rapport:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.19.05
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Lionel :: LIONEL-HP [administrateur]
19/03/2012 22:54:44
mbam-log-2012-03-19 (22-54-44).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 296369
Temps écoulé: 1 heure(s), 4 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 2
C:\ProgramData\orytRAOHtwiq.exe (Rogue.FakeHDD) -> 3876 -> Suppression au redémarrage.
C:\ProgramData\Fzt8jt9hmnDX0Y.exe (Trojan.FakeAlert) -> 5440 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|orytRAOHtwiq.exe (Rogue.FakeHDD) -> Données: C:\ProgramData\orytRAOHtwiq.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\ProgramData\orytRAOHtwiq.exe (Rogue.FakeHDD) -> Suppression au redémarrage.
C:\ProgramData\Fzt8jt9hmnDX0Y.exe (Trojan.FakeAlert) -> Suppression au redémarrage.
C:\Users\Lionel\AppData\Local\Temp\walFBcbCdpBq2w.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Lionel\AppData\Local\Temp\sTJEdRVVB0O6ld.exe.tmp (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.
(fin)
Que dois je faire?
Merci par avance de votre aide
A voir également:
- Rogue - MalwareBytes
- Télécharger malwarebytes - Télécharger - Antivirus & Antimalwares
- Rogue killer - Télécharger - Antivirus & Antimalwares
- Malwarebytes adwcleaner - Télécharger - Antivirus & Antimalwares
- Clé de licence malwarebytes gratuit - Forum Antivirus
- Malwarebytes gratuit ✓ - Forum Virus
52 réponses
hello
non !!! pas adwcleaner maintenant sinon les raccourcis du menu demarrer s'ils sont absents seront supprimés
on n'utilise jamais un logiciel qui nettoie les fichiers temporaires suite à une infection par rogue , on verifie d'abord qu il ne manque rien à l'user
non !!! pas adwcleaner maintenant sinon les raccourcis du menu demarrer s'ils sont absents seront supprimés
on n'utilise jamais un logiciel qui nettoie les fichiers temporaires suite à une infection par rogue , on verifie d'abord qu il ne manque rien à l'user
oridnateur redémarré.
J'ai plus "pc performance & stability" qui s'affiche.
Par contre, écran toujours noir avec les dossiers vides et uniquement poubelle sur le bureau.
J'ai plus "pc performance & stability" qui s'affiche.
Par contre, écran toujours noir avec les dossiers vides et uniquement poubelle sur le bureau.
Bsr
jusque là c bon,
termine le nettoyage avec adwcleaner (ex ad remover)
http://general-changelog-team.fr/fr/downloads/summary/20-outils-de-xplode/2-adwcleaner
comment protège tu ton pc?
jusque là c bon,
termine le nettoyage avec adwcleaner (ex ad remover)
http://general-changelog-team.fr/fr/downloads/summary/20-outils-de-xplode/2-adwcleaner
comment protège tu ton pc?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
Bonjour g3n-h@ckm@n
J'ai effectué le pre scan, au démarrage de l'ordi, les icones et dossiers sont revenus sur le bureau. Toutefois, j'ai toujours l'écran noir sur le bureau, et j'ai deux message d'erreur (catalyst control et hp assistant ont cessé de cfonctionné).
Le rapport Pre_scan se trouve là:
https://pjjoint.malekal.com/files.php?id=20120321_y11h9j5h9j10
Je vous remercie déjà pour là où j'en suis arrivé parce que sans vous, je serai encore avec 0 icones.
Par contre, pour m'en débarasser completement, que dois je faire e plus?
J'ai effectué le pre scan, au démarrage de l'ordi, les icones et dossiers sont revenus sur le bureau. Toutefois, j'ai toujours l'écran noir sur le bureau, et j'ai deux message d'erreur (catalyst control et hp assistant ont cessé de cfonctionné).
Le rapport Pre_scan se trouve là:
https://pjjoint.malekal.com/files.php?id=20120321_y11h9j5h9j10
Je vous remercie déjà pour là où j'en suis arrivé parce que sans vous, je serai encore avec 0 icones.
Par contre, pour m'en débarasser completement, que dois je faire e plus?
hello
si tu choisis n'importe quelle photo comme fond d'ecran ca te la met pas ?
============
desinstalle Facemoods
desinstalle Vuze Remote Toolbar
desinstalle Ask.com/AskToolbar
desinstalle Java update 29
desinstalle spotify
desinstalle conduit/ConduitEngine
============
relance pre_scan et choisis script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"facemoods"=-
"QuickTime Task"=-
"iTunesHelper"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2CEA3AD4-5355-4E20-B80E-31D50D4663C2}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F07C49F0-3D75-4BFF-AF39-681A0FE384FE}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]
[-HKCU\Software\Ask.com]
[-HKCU\Software\facemoods.com]
[-HKLM\Software\facemoods.com]
txt::
C:\Windows\System32\Tasks\{3B745575-10EC-4B78-B19B-8E8F9942A2D8}
file::
C:\Program Files\Vuze_Remote\prxtbVuze.dll
C:\Windows\lö¸
folder::
C:\Program Files\facemoods.com
C:\Program Files\Ask.com
C:\Windows\assembly\tmp\0CUS4V1O
C:\Windows\assembly\tmp\1C18B5KX
C:\Windows\assembly\tmp\9KNFDP5L
C:\Windows\assembly\tmp\CCF93B48
C:\Windows\assembly\tmp\HWDAZGAJ
C:\Users\Lionel\AppData\Local\Conduit
C:\Program Files\Ask.com
C:\Program Files\Conduit
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
si tu choisis n'importe quelle photo comme fond d'ecran ca te la met pas ?
============
desinstalle Facemoods
desinstalle Vuze Remote Toolbar
desinstalle Ask.com/AskToolbar
desinstalle Java update 29
desinstalle spotify
desinstalle conduit/ConduitEngine
============
relance pre_scan et choisis script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"facemoods"=-
"QuickTime Task"=-
"iTunesHelper"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2CEA3AD4-5355-4E20-B80E-31D50D4663C2}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F07C49F0-3D75-4BFF-AF39-681A0FE384FE}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]
[-HKCU\Software\Ask.com]
[-HKCU\Software\facemoods.com]
[-HKLM\Software\facemoods.com]
txt::
C:\Windows\System32\Tasks\{3B745575-10EC-4B78-B19B-8E8F9942A2D8}
file::
C:\Program Files\Vuze_Remote\prxtbVuze.dll
C:\Windows\lö¸
folder::
C:\Program Files\facemoods.com
C:\Program Files\Ask.com
C:\Windows\assembly\tmp\0CUS4V1O
C:\Windows\assembly\tmp\1C18B5KX
C:\Windows\assembly\tmp\9KNFDP5L
C:\Windows\assembly\tmp\CCF93B48
C:\Windows\assembly\tmp\HWDAZGAJ
C:\Users\Lionel\AppData\Local\Conduit
C:\Program Files\Ask.com
C:\Program Files\Conduit
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
En rajoutant une photo cela fonctionne. Mais je pense qu'un problème persiste. Quand je clique sur le logo window en bas a gauche de l'ecran, la barre d'outils est vide (seulement apparaît "tous les programmes".
Autant pour moi, j'avais pas lu l'integralite de ton precedent message (je suis sur mon telephone).
J'essaierai a midi d'installer les prgrammes en question, pre_scan et copie coller.
Merci beaucoup
J'essaierai a midi d'installer les prgrammes en question, pre_scan et copie coller.
Merci beaucoup
Je suis en train de désinstaller les programmes, par contre, je ne sais pas à quoi correspond: conduit/ConduitEngine
Je l'ai pas dans les programmes.
Je l'ai pas dans les programmes.
J'ai desinstalle les prog,
J'ai lance pre_scan
Script
Jai copie coller le texte puis fichier et enregistrer
Quand je ferme le texte, il apparaît le message suivant:
Erreur lors de la sauvegarde du fichier c'\pre_scan\save_script\BCD !
Continuer avec le fichier suivant?
[RegCreatekeyEx: 5 - acces refusé]
Oui - n'on
J'ai lance pre_scan
Script
Jai copie coller le texte puis fichier et enregistrer
Quand je ferme le texte, il apparaît le message suivant:
Erreur lors de la sauvegarde du fichier c'\pre_scan\save_script\BCD !
Continuer avec le fichier suivant?
[RegCreatekeyEx: 5 - acces refusé]
Oui - n'on
