1 de + Virus Gendarmerie rapport Rogue
Résolu
freedo
Messages postés
150
Date d'inscription
Statut
Membre
Dernière intervention
-
Mikiz86 Messages postés 127 Date d'inscription Statut Membre Dernière intervention -
Mikiz86 Messages postés 127 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
A la mode le virus,
je post le rapport Roguekiller ci-dessous :
Merci pour vos compétences d'analyse et conseils de résolutions.
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: ibrahim [Droits d'admin]
Mode: Recherche -- Date: 17/04/2012 20:08:04
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : wkeekmc ("c:\users\ibrahim\appdata\local\wkeekmc.exe" wkeekmc) -> FOUND
[SUSP PATH] HKCU\[...]\Run : tnahpp3i.exe (C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1615730446-2736249474-3859323448-1000[...]\Run : wkeekmc ("c:\users\ibrahim\appdata\local\wkeekmc.exe" wkeekmc) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1615730446-2736249474-3859323448-1000[...]\Run : tnahpp3i.exe (C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS542525K9SA00 +++++
--- User ---
[MBR] b5ed527b3fa2f50ff785b9d97d15fa8d
[BSP] e6f9a62fb9b48e6ccf09066e4fb5988b : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 226400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 463668030 | Size: 12072 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: USB Device +++++
--- User ---
[MBR] fea9dac4545f2dda27d8d7589be08950
[BSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 7604 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
A la mode le virus,
je post le rapport Roguekiller ci-dessous :
Merci pour vos compétences d'analyse et conseils de résolutions.
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: ibrahim [Droits d'admin]
Mode: Recherche -- Date: 17/04/2012 20:08:04
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : wkeekmc ("c:\users\ibrahim\appdata\local\wkeekmc.exe" wkeekmc) -> FOUND
[SUSP PATH] HKCU\[...]\Run : tnahpp3i.exe (C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1615730446-2736249474-3859323448-1000[...]\Run : wkeekmc ("c:\users\ibrahim\appdata\local\wkeekmc.exe" wkeekmc) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1615730446-2736249474-3859323448-1000[...]\Run : tnahpp3i.exe (C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS542525K9SA00 +++++
--- User ---
[MBR] b5ed527b3fa2f50ff785b9d97d15fa8d
[BSP] e6f9a62fb9b48e6ccf09066e4fb5988b : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 226400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 463668030 | Size: 12072 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: USB Device +++++
--- User ---
[MBR] fea9dac4545f2dda27d8d7589be08950
[BSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 7604 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
A voir également:
- 1 de + Virus Gendarmerie rapport Rogue
- Rogue killer - Télécharger - Antivirus & Antimalwares
- Virus mcafee - Accueil - Piratage
- Plan rapport de stage - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
4 réponses
ci dessous bsoir Guillaume5188,
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: ibrahim [Droits d'admin]
Mode: Suppression -- Date: 17/04/2012 20:50:21
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : wkeekmc ("c:\users\ibrahim\appdata\local\wkeekmc.exe" wkeekmc) -> DELETED
[SUSP PATH] HKCU\[...]\Run : tnahpp3i.exe (C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe) -> DELETED
[SUSP PATH] HKLM\[...]\RunOnce : InnoSetupRegFile.0000000001 ("C:\Windows\is-TKI91.exe" /REG) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS542525K9SA00 +++++
--- User ---
[MBR] b5ed527b3fa2f50ff785b9d97d15fa8d
[BSP] e6f9a62fb9b48e6ccf09066e4fb5988b : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 226400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 463668030 | Size: 12072 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: USB Device +++++
--- User ---
[MBR] fea9dac4545f2dda27d8d7589be08950
[BSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 7604 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: ibrahim [Droits d'admin]
Mode: Suppression -- Date: 17/04/2012 20:50:21
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : wkeekmc ("c:\users\ibrahim\appdata\local\wkeekmc.exe" wkeekmc) -> DELETED
[SUSP PATH] HKCU\[...]\Run : tnahpp3i.exe (C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe) -> DELETED
[SUSP PATH] HKLM\[...]\RunOnce : InnoSetupRegFile.0000000001 ("C:\Windows\is-TKI91.exe" /REG) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS542525K9SA00 +++++
--- User ---
[MBR] b5ed527b3fa2f50ff785b9d97d15fa8d
[BSP] e6f9a62fb9b48e6ccf09066e4fb5988b : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 226400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 463668030 | Size: 12072 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: USB Device +++++
--- User ---
[MBR] fea9dac4545f2dda27d8d7589be08950
[BSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 7604 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
Re
Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php
Bouton »Download free version »
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php
Bouton »Download free version »
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
Déja ça redémarre sans le message Gendarmerie, impec
ci joint :
Malwarebytes Anti-Malware (PRO) 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.17.05
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.17037
Protection: Activé
17/04/2012 22:18:03
mbam-log-2012-04-18 (00-25-42).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 435484
Temps écoulé: 2 heure(s), 7 minute(s), 9 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Aucune action effectuée.
HKCU\Software\Winsudate (Adware.GibMedia) -> Aucune action effectuée.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 9
C:\Users\ibrahim\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\5d052b38-191226ad (Trojan.Zbot.CBCGen) -> Aucune action effectuée.
C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe (Trojan.Zbot.CBCGen) -> Aucune action effectuée.
C:\Users\ibrahim\Desktop\RK_Quarantine\tnahpp3i.exe.vir (Trojan.Zbot.CBCGen) -> Aucune action effectuée.
C:\Users\ibrahim\Downloads\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RT0H2OT\gibcom[1].dll (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RT0H2OT\gibidl[1].dll (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1R7L50CZ\gibupt[1].exe (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1R7L50CZ\gibusr[1].exe (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7HE2OE69\gibsvc[1].exe (Adware.Gibmedia) -> Aucune action effectuée.
(fin)
ci joint :
Malwarebytes Anti-Malware (PRO) 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.17.05
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.17037
Protection: Activé
17/04/2012 22:18:03
mbam-log-2012-04-18 (00-25-42).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 435484
Temps écoulé: 2 heure(s), 7 minute(s), 9 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Aucune action effectuée.
HKCU\Software\Winsudate (Adware.GibMedia) -> Aucune action effectuée.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 9
C:\Users\ibrahim\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\5d052b38-191226ad (Trojan.Zbot.CBCGen) -> Aucune action effectuée.
C:\Users\ibrahim\AppData\Roaming\tnahpp3i.exe (Trojan.Zbot.CBCGen) -> Aucune action effectuée.
C:\Users\ibrahim\Desktop\RK_Quarantine\tnahpp3i.exe.vir (Trojan.Zbot.CBCGen) -> Aucune action effectuée.
C:\Users\ibrahim\Downloads\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RT0H2OT\gibcom[1].dll (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RT0H2OT\gibidl[1].dll (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1R7L50CZ\gibupt[1].exe (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1R7L50CZ\gibusr[1].exe (Adware.Gibmedia) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7HE2OE69\gibsvc[1].exe (Adware.Gibmedia) -> Aucune action effectuée.
(fin)
