Aide Rogue Killer

tobagoo Messages postés 29 Statut Membre -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
(Re)Bonjour,

N'ayant pas obtenu de réponse sur mon précédent sujet, je voulais savoir comment me comporter avec rogue killer... j'ai fait un scan, il a trouvé six clefs de registre... ça veut dire que je suis infecté?

Merci.

40 réponses

  • 1
  • 2
Résumé de la discussion

L’interrogation porte sur l’interprétation des détections de RogueKiller (six clés de registre) et sur la suite à donner pour vérifier une infection et nettoyer le système.
Plusieurs participants évoquent des faux positifs potentiels et préconisent de vérifier chaque clé détectée par RogueKiller, d’éliminer les éléments suspects et d’éclaircir pourquoi Zemana signale une DLL non retrouvable.
Des conseils pratiques incluent le changement de mots de passe sur un PC sain et l’utilisation d’outils complémentaires comme AdwCleaner, OTL ou MBAM, tout en interprétant prudemment les rapports.
En cas de doute, certains suggèrent d’éviter les sites suspects et de recouper les détections avec plusieurs outils, car des symptômes peuvent coexister avec des programmes légitimes et des détections ambigües.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Inutile de poster plusieurs fois un message.

    Copie/Colle le rapport obtenu.

    A +
    0
  2. tobagoo Messages postés 29 Statut Membre
     
    Ce n'est pas le même message :)

    RogueKiller V7.5.0 [24/05/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Utilisateur [Droits d'admin]
    Mode: Recherche -- Date: 27/05/2012 22:23:57

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 6 ¤¤¤
    [SUSP PATH] {37931F32-9838-45E8-80AF-ED2EA52DB2B2}.job @ : C:\Users\Utilisateur\Desktop\Heroes II\Heroes2\INSTALL.EXE -> FOUND
    [SUSP PATH] {50880935-61F5-4AF6-A0A8-5CFCBAA80554}.job @ : C:\Users\Utilisateur\Desktop\Heroes II\Heroes2\INSTALL.EXE -> FOUND
    [SUSP PATH] {EFC662D2-5661-4BF0-947E-1D26A9D401F3}.job @ : C:\Users\Utilisateur\Desktop\Heroes II\Heroes2\INSTALL.EXE -> FOUND
    [SUSP PATH] {FFEE13A6-F15C-4789-98D6-26847080569A}.job @ : C:\Users\Utilisateur\Desktop\Heroes II\Heroes2\INSTALL.EXE -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS725050A9A364 +++++
    --- User ---
    [MBR] 5916f80a05f725ef0082a4d9375e7625
    [BSP] 2d3b8f220c71a52368c22957a3631822 : Windows Vista/7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 454062 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 930328576 | Size: 22574 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 976560128 | Size: 103 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: SD Card +++++
    --- User ---
    [MBR] 3828dea12c2726cb067c9f71fb6f1227
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 128 | Size: 1905 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Ok, pas de soucis.
    Le rapport ne montre pas d'infection.
    Pourquoi as tu utilisé RogueKiller ?

    A +
    0
  4. tobagoo Messages postés 29 Statut Membre
     
    Je me suis dit que ca ferait un logiciel de plus vu que les autres ne trouvent rien, et que ce serait des HUMAINS qui regarderaient et qui pourraient détecter un truc que les logiciels généralistes ne capteraient pas... à part spyware terminator qui m'a trouvé deux trucs qui sont passés à côté de MBAM.

    J'ai essayé ZHPDIAG, mais quand j'ai voulu mettre à jour, ça m'a mis "serveur zébulon indisponible" ou quelque chose dans ce goût là alors j'ai laissé tomber :/

    Merci de ta réponse en tout cas!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Quel était ton problème initial ?
    Quels sont les deux éléments trouvés par spyware terminator ?

    A +
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Oui, faux positif.

    Concrètement, tu rencontres des soucis ou c'est juste une impression ?
    Tu as changé tes mots de passe ?

    A +
    0
  8. tobagoo Messages postés 29 Statut Membre
     
    J'ai changé mes mots de passe, mais depuis l'ordi que je crois infecté.

    On va dire que comme pour les cas du même genre, je rencontre des coincidences très troublantes... et ça fait beaucoup de malheureux hasards qui s'empilent. Du genre tu fais une recherche internet sur un sujet précis, et deux ou trois personnes que t'as dans tes contacts vont t'en parler les jours suivants, alors qu'ils n'en parlent JAMAIS. Et d'autres trucs plus troublants encore.

    Comment se fait-il que l'anti screenlogger me bloque java? Et est-ce que ce genre d'infections touche UNE adresse msn ou toutes celles qu'on utilise sur l'ordi infecté?

    Je ne sais pas si c'est un pirate ou un virus lambda via un site qui aurait récupéré mes identifiants... (j'ai fait la connerie d'aller sur des sites attrape-cons du genre "Mais qui vous a bloqué sur msn?" :/ Donc après peut-être que le site m'a implanté un virus qui distribuait gracieusement mes frappes à mes contacts msn vu que j'avais renseigné mes identifiants....

    A+ ;)
    0
  9. tobagoo Messages postés 29 Statut Membre
     
    Bon après, c'est vrai que j'ai cherché avec BEAUCOUP d'outils antivirus et anti-spywares... mais peut-être que je me suis ramassé une vacherie indétectable :s J'espère que je psychote en tout cas, faut dire que ça traumatise ce genre de trucs.
    0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Et oui effectivement, tu aurais du changer tes mots de passe via un pc sain.
    Si tu es allé sur les sites que tu indiques, il y a de fortes chances pour tes identifiants et mots de passe aient été récupérés.

    On va regarder si tu es encore infecté.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    safebootminimal 
    safebootnetwork 
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\Tasks\*.* /s
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Pas grand chose sur les rapports, beaucoup de choses inutiles.
    Zona Alarm, c'est juste le pare-feu ou la suite avec l'antivirus ?

    1. Désinstalle :

    Ask Toolbar et Ask Toolbar Updater (barre d'outils inutile)
    Java(TM) 7 Update 4 (version obsolète)
    Java(TM) 7 Update 31 (version obsolète)
    McAfee Security Scan Plus
    PC SECURITY TEST 2010
    ZHPDiag 1.31

    Aide : Comment désinstaller un programme

    2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    ● Lance AdwCleaner
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

    Poste le rapport, A +
    0
  12. tobagoo Messages postés 29 Statut Membre
     
    Et au fait, les clés infectées détectées par RogueKiller, j'en fais quoi? Je les vire ou bien ce sont de faux positifs?

    Une chose de plus: Zemana me met qu'il a autorisé une (un?) dll que je ne trouve pas sur mon ordi!
    0
  13. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Non, quelques logiciels indésirables, c'est tout.
    Je te conseille aussi de désinstaller tous ces logiciels anxiogènes anti-keylogger que tu as installés (à part key scrambler).
    Tu ne m'as pas répondu pour Zone Alarm, c'est uniquement le pare-feu ?
    RogueKiller montre des entrées de registre qui sont légitimes, ne supprime rien.

    On va faire un scan avec ce logiciel :

    Télécharge MBAM et installe le selon l'emplacement par défaut.
    (l'essai de la version pro est facultative)

    ● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    ● Clique dans l'onglet du haut "Recherche"
    ● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    ▸ A la fin de l'analyse, si MBAM n'a rien trouvé :
    ● Clique sur OK, le rapport s'ouvre spontanément

    ▸ Si des menaces ont été détectées :
    ● Clique sur OK puis "Afficher les résultats"
    ● Choisis l'option "Supprimer la sélection"
    ● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ● Sinon le rapport s'ouvre automatiquement après la suppression.

    Poste le rapport, A +
    0
  14. tobagoo Messages postés 29 Statut Membre
     
    Zone alarm est uniquement mon pare feu, j'utilise MSE en antivirus et antispyware.

    J'ai viré MBAM il y a deux jours, il ne me trouvait jamais rien (je le mettais toujours en mode "examen complet"), et spyware terminator m'a quand même trouvé des trucs. Ya quand même besoin que je le retélécharge?

    Une chose de plus: Zemana me met qu'il a autorisé une (un?) "dll" que je ne trouve pas sur mon ordi! Je vais desinstaller zemana mais avant, poourquoi est-ce que je n'arrive pas à trouver la "dll"?
    0
  15. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    C'est vrai, j'avais oublié que tu avais MBAM mais comme il n'était plus installé...
    Non, ce n'est pas obligé de l'avoir sur un pc, tout comme Spyware Terminator.
    Et ne te focalise pas sur le fait qu'il trouve plus de choses, encore faut-il voir ce dont il s'agit.
    https://forum.malekal.com/viewtopic.php?t=25480&start=

    Zone Alarm + MSE, c'est cohérent comme protection.

    De quelle dll parle Zemana ?

    A+
    0
  16. tobagoo Messages postés 29 Statut Membre
     
    Hiiips au fait, j'avais aussi fait une analyse avec tdsskiller de Kaspersky, il m'avait trouvé 4 menaces.... je le refais pour toi? :)

    A+ ;)
    0
  17. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Tu peux me poster le lien du rapport qui comporte ces 4 menaces stp

    A +
    0
  18. tobagoo Messages postés 29 Statut Membre
     
    Je te le recopie manuellement, il ne propose pas de rapport:

    =>Unsigned File
    Service: FLEXnet Licensing Service
    Suspicious object, medium risk

    =>Unsigned File
    Service: FLEXnet Licensing Service 64
    Suspicious object, medium risk

    =>Unsigned File
    Service: IdriverT
    Suspicious object, medium risk

    =>Unsigned File
    Service: LightScribeService
    Suspicious object, medium risk

    Zemana me compte le plugin container de firefox comme webcamlogger et Firefox comme keylogger... Ils n'auraient pas fumé le pétard eux? O_o

    La dll est DpoFeedB.dll.
    0
  • 1
  • 2