1 de + Virus Gendarmerie rapport Rogue

[Résolu/Fermé]
Signaler
Messages postés
150
Date d'inscription
lundi 3 avril 2006
Statut
Membre
Dernière intervention
14 septembre 2014
-
Messages postés
127
Date d'inscription
jeudi 23 février 2012
Statut
Membre
Dernière intervention
24 août 2015
-
Bonjour,

A la mode le virus,
je post le rapport Roguekiller ci-dessous :
Merci pour vos compétences d'analyse et conseils de résolutions.

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: ibrahim [Droits d'admin]
Mode: Recherche -- Date: 17/04/2012 20:08:04

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : wkeekmc ("c:\users\ibrahim\appdata\local\wkeekmc.exe" wkeekmc) -> FOUND
[SUSP PATH] HKCU\[...]\Run : tnahpp3i.exe (C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1615730446-2736249474-3859323448-1000[...]\Run : wkeekmc ("c:\users\ibrahim\appdata\local\wkeekmc.exe" wkeekmc) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1615730446-2736249474-3859323448-1000[...]\Run : tnahpp3i.exe (C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS542525K9SA00 +++++
--- User ---
[MBR] b5ed527b3fa2f50ff785b9d97d15fa8d
[BSP] e6f9a62fb9b48e6ccf09066e4fb5988b : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 226400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 463668030 | Size: 12072 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB Device +++++
--- User ---
[MBR] fea9dac4545f2dda27d8d7589be08950
[BSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 7604 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt





4 réponses


Bonsoir

Passe à l'option suppression
Poste le rapport
Merci

@+
Messages postés
150
Date d'inscription
lundi 3 avril 2006
Statut
Membre
Dernière intervention
14 septembre 2014
3
ci dessous bsoir Guillaume5188,

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: ibrahim [Droits d'admin]
Mode: Suppression -- Date: 17/04/2012 20:50:21

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : wkeekmc ("c:\users\ibrahim\appdata\local\wkeekmc.exe" wkeekmc) -> DELETED
[SUSP PATH] HKCU\[...]\Run : tnahpp3i.exe (C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe) -> DELETED
[SUSP PATH] HKLM\[...]\RunOnce : InnoSetupRegFile.0000000001 ("C:\Windows\is-TKI91.exe" /REG) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS542525K9SA00 +++++
--- User ---
[MBR] b5ed527b3fa2f50ff785b9d97d15fa8d
[BSP] e6f9a62fb9b48e6ccf09066e4fb5988b : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 226400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 463668030 | Size: 12072 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB Device +++++
--- User ---
[MBR] fea9dac4545f2dda27d8d7589be08950
[BSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 7604 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Re

Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+
Messages postés
150
Date d'inscription
lundi 3 avril 2006
Statut
Membre
Dernière intervention
14 septembre 2014
3
Déja ça redémarre sans le message Gendarmerie, impec

ci joint :
Malwarebytes Anti-Malware (PRO) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.17.05

Windows Vista x86 NTFS
Internet Explorer 7.0.6000.17037


Protection: Activé

17/04/2012 22:18:03
mbam-log-2012-04-18 (00-25-42).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 435484
Temps écoulé: 2 heure(s), 7 minute(s), 9 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Aucune action effectuée.
HKCU\Software\Winsudate (Adware.GibMedia) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 9
C:\Users\ibrahim\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\5d052b38-191226ad (Trojan.Zbot.CBCGen) -> Aucune action effectuée.
C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe (Trojan.Zbot.CBCGen) -> Aucune action effectuée.
C:\Users\ibrahim\Desktop\RK_Quarantine\tnahpp3i.exe.vir (Trojan.Zbot.CBCGen) -> Aucune action effectuée.
C:\Users\ibrahim\Downloads\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RT0H2OT\gibcom[1].dll (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RT0H2OT\gibidl[1].dll (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1R7L50CZ\gibupt[1].exe (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1R7L50CZ\gibusr[1].exe (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7HE2OE69\gibsvc[1].exe (Adware.Gibmedia) -> Aucune action effectuée.

(fin)
Messages postés
127
Date d'inscription
jeudi 23 février 2012
Statut
Membre
Dernière intervention
24 août 2015
22
Tu n'as pas supprimé les infections comme te l'a demandé Guillaume. Refais un scan et supprime bien les éléments trouvés en cliquant sur "supprimer la sélection" (vérifie que tout est coché). Et poste le rapport ;)