Rogue

GlouTarD Messages postés 16 Statut Membre -  
GlouTarD Messages postés 16 Statut Membre -
Bonjour,

J'ai déja posté sur un autre sujet mais apparemment ce n'était pas le bon endroit.
Alors je m'explique : mon pc a était infecté par un Rogue. J'ai donc utiliser ce tutoriel ci pour résoudre le problème .
https://forums.commentcamarche.net/forum/affich-24824007-smart-hdd
Me voila donc arrivé au stade ou je dois donner mon lien:
https://pjjoint.malekal.com/files.php?id=20120401_g514w13f7h13
J'ai récupéré mes disque dur sauf appremment Window qui ne figure plus sur mon disque merci d'avance.
<config>Windows 7 /config>

25 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://sd-4.archive-host.com/membres/up/829108531491024/Pre_Scan.exe

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version renommée winlogon.exe :

    http://sd-4.archive-host.com/membres/up/829108531491024/winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
  2. g3n-h@ckm@n
     
    firefox à mettre à jour
    desinstalle adobe reader 9
    desinstalle java update 20

    ========================

    relance pre_scan et choisis script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA}]
    [-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6}]

    txt::
    C:\Windows\W7T.txt
    C:\Windows\System32\Tasks\{2259DDD1-C622-4648-B118-2713CE6128D0}
    C:\Windows\System32\Tasks\{3D15BE74-83CC-40AD-A18F-5E3541C334D3}

    file::
    C:\Windows\Døt
    C:\ProgramData\-6qeFnBFfCYh8K7
    C:\Users\Administrateur\Desktop\SMART_HDD.lnk

    folder::
    C:\Windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
    C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SMART HDD

    Mbr::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. g3n-h@ckm@n
     
    celle qu'on trouve chez mozilla

    https://www.mozilla.org/fr/firefox/

    =============

    ▶ Télécharge Malwarebytes' Anti-Malware (MBAM).

    Malwarebytes : clique pour la version FREE

    ou : lien mirroir

    ▶ enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

    ▶ Installe-le puis configure-le comme ceci :

    Configuration

    si tu n'as rien modifié fais directement quitter sinon enregistrer

    Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

    ▶▶▶ Ce logiciel gratuit est à garder.

    ===================================================

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ▶ Exécute le fichier après l'installation de MBAM

    ===================================================

    Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
    ▶ Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.

    ▶ Copie-colle ce rapport et poste-le dans ta prochaine réponse.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : ▶ clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.
    0
  5. GlouTarD Messages postés 16 Statut Membre 1
     
    J'ai retrouvé le rapport. Le voici :
    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.04.02.05

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Administrateur :: PROPRIETAIRE [administrateur]

    02/04/2012 17:57:00
    mbam-log-2012-04-02 (17-57-00).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 390181
    Temps écoulé: 35 minute(s), 9 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 3
    C:\Pre_Scan\Quarantine\6qeFnBFfCYh8K7.exe.P_S (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.
    C:\Pre_Scan\Quarantine\FdrllxJJnSf.exe.P_S (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Administrateur\Desktop\RK_Quarantine\FdrllxJJnSf.exe.vir (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    J'ai redémarré le pc.
    0
  6. g3n-h@ckm@n
     
    si tu cliques sur tous les programmes c est vide aussi ?
    0
  7. GlouTarD Messages postés 16 Statut Membre 1
     
    Non quand je clique sur tous les programmes c'est bon, ils sont la. Mais c'est du détail je n'utilise jamais ces raccourci là. Par contre y a t'il un moyen de récupérer la "barre démaré" si c'est comme ça que l'on l'appelle d'origine sur windows 7?
    0
  8. g3n-h@ckm@n
     
    tu dois pouvoir en remettant le theme non ?
    0
  9. GlouTarD Messages postés 16 Statut Membre 1
     
    J'ai essayé mais changer de thème ne change rien à part la couleur des barres and co... Je vais chercher par moi même.
    0
  10. g3n-h@ckm@n
     
    propriétés dans le menu demarrer...?
    0
  11. GlouTarD Messages postés 16 Statut Membre 1
     
    Merci beaucoup,
    Grace à toi mon pc est il me semble exactement dans le meme état qu'avant l'attaque !
    0
  12. GlouTarD Messages postés 16 Statut Membre 1
     
    J'ai un léger problèmle pour mettre Java (x86) à jour je suis en version 1.7.0 et je ne trouve pas la version 1.7.0_03...
    0
  13. GlouTarD Messages postés 16 Statut Membre 1
     
    Alors voici mon 1er rapport:
    WhyIGotInfected v1.5.2(by Tigzy)
    ********************************

    Run : 03/04/2012 10:48:05 [Normal Mode]
    Machine : PROPRIETAIRE (4 CPUs) [Administrateur : ADMIN]
    OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (x64)

    ~~ Plugins check: ~~

    UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
    OUTDATED [Firefox (x86)] Current : 9.0.1 -- Latest : 11.0
    UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
    UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
    OUTDATED [Java (x86)] Current : 1.7.0 -- Latest : 1.7.0_03
    UPTODATE [Adobe Flash] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash (x86)] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash ActiveX] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash ActiveX (x86)] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash FF Plugin] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash FF Plugin (x86)] Current : 11.2.202.228 -- Latest : 11.2.202.228

    Finished
    <C:\Users\Administrateur\Desktop\WIGIReport[0].txt>
    WIGIReport[0].txt

    Et voici le deuxième:
    WhyIGotInfected v1.5.2(by Tigzy)
    ********************************

    Run : 03/04/2012 11:23:17 [Normal Mode]
    Machine : PROPRIETAIRE (4 CPUs) [Administrateur : ADMIN]
    OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (x64)

    ~~ Plugins check: ~~

    UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
    UPTODATE [Firefox (x86)] Current : 11.0 -- Latest : 11.0
    UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
    UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
    UPTODATE [Java 7] Current : 1.7.0_03 -- Latest : 1.7.0_03
    OUTDATED [Java (x86)] Current : 1.7.0 -- Latest : 1.7.0_03
    UPTODATE [Java (x86)] Current : 1.6.0_31 -- Latest : 1.6.0_31
    UPTODATE [Adobe Flash] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash (x86)] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash ActiveX] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash ActiveX (x86)] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash FF Plugin] Current : 11.2.202.228 -- Latest : 11.2.202.228
    UPTODATE [Adobe Flash FF Plugin (x86)] Current : 11.2.202.228 -- Latest : 11.2.202.228

    Finished
    <C:\Users\Administrateur\Desktop\WIGIReport[2].txt>
    WIGIReport[0].txt ; WIGIReport[1].txt ; WIGIReport[2].txt

    Tout est à jour sauf la fameuse version de Java(x86)
    0
  14. GlouTarD Messages postés 16 Statut Membre 1
     
    Voici mon rapport avec del fix:
    # DelFix v8.8 - Rapport créé le 03/04/2012 à 11:39:39
    # Mis à jour le 12/02/12 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Administrateur - PROPRIETAIRE (Administrateur)
    # Exécuté depuis : C:\Users\Administrateur\Desktop\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\Users\Administrateur\Desktop\RK_Quarantine

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\PhysicalMBR.bin
    Non Supprimé : C:\Users\Administrateur\Desktop\WhyIGotInfected.exe
    Supprimé : C:\Users\Administrateur\Downloads\RogueKiller.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\Software\g3n-h@ckm@n
    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [799 octets] - [03/04/2012 11:39:39]

    ########## EOF - C:\DelFix[S1].txt - [922 octets] ##########
    0
  • 1
  • 2