Rapport
syl75
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Voilà le rapport roguekiller:
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Sylvie [Droits d'admin]
Mode: Suppression -- Date: 11/08/2012 18:34:55
¤¤¤ Processus malicieux: 2 ¤¤¤
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED
¤¤¤ Entrees de registre: 7 ¤¤¤
[ZeroAccess] HKCR\[...]\InprocServer32 :
(\\.\globalroot\systemroot\Installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n.) -> REPLACED
(c:\windows\system32\wbem\wbemess.dll)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Documents and Settings\Sylvie\Local
Settings\Application Data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n.) -> REPLACED
(c:\windows\system32\shell32.dll)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) ->
REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n -->
REMOVED AT REBOOT
[ZeroAccess][FILE] @ : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\@ -->
REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ :
c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ :
c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ :
c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U
--> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\L -->
REMOVED
[ZeroAccess][FILE] n : c:\documents and settings\sylvie\local settings\application
data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\documents and settings\sylvie\local settings\application
data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\documents and settings\sylvie\local settings\application
data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\documents and settings\sylvie\local settings\application
data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\L --> REMOVED
¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xF7EF1F76)
SSDT[53] : NtCreateThread @ 0x805860C0 -> HOOKED (Unknown @ 0xF7EF1F6C)
SSDT[63] : NtDeleteKey @ 0x8059A5CD -> HOOKED (Unknown @ 0xF7EF1F7B)
SSDT[65] : NtDeleteValueKey @ 0x805991EC -> HOOKED (Unknown @ 0xF7EF1F85)
SSDT[98] : NtLoadKey @ 0x805D608D -> HOOKED (Unknown @ 0xF7EF1F8A)
SSDT[122] : NtOpenProcess @ 0x8057BB80 -> HOOKED (Unknown @ 0xF7EF1F58)
SSDT[128] : NtOpenThread @ 0x80596A0F -> HOOKED (Unknown @ 0xF7EF1F5D)
SSDT[193] : NtReplaceKey @ 0x806570B6 -> HOOKED (Unknown @ 0xF7EF1F94)
SSDT[204] : NtRestoreKey @ 0x80656C4D -> HOOKED (Unknown @ 0xF7EF1F8F)
SSDT[247] : NtSetValueKey @ 0x8057B4EF -> HOOKED (Unknown @ 0xF7EF1F80)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Maxtor 6L200P0 +++++
--- User ---
[MBR] 849ba9829e81f33e456436d766b5aa37
[BSP] 2aab77516992ba936b50f51cc7e5ed74 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194466 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Voilà le rapport roguekiller:
RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Sylvie [Droits d'admin]
Mode: Suppression -- Date: 11/08/2012 18:34:55
¤¤¤ Processus malicieux: 2 ¤¤¤
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED
¤¤¤ Entrees de registre: 7 ¤¤¤
[ZeroAccess] HKCR\[...]\InprocServer32 :
(\\.\globalroot\systemroot\Installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n.) -> REPLACED
(c:\windows\system32\wbem\wbemess.dll)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Documents and Settings\Sylvie\Local
Settings\Application Data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n.) -> REPLACED
(c:\windows\system32\shell32.dll)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) ->
REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n -->
REMOVED AT REBOOT
[ZeroAccess][FILE] @ : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\@ -->
REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ :
c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ :
c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ :
c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U
--> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\L -->
REMOVED
[ZeroAccess][FILE] n : c:\documents and settings\sylvie\local settings\application
data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\documents and settings\sylvie\local settings\application
data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\documents and settings\sylvie\local settings\application
data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\documents and settings\sylvie\local settings\application
data\{c1c1ff85-ca8e-4fae-c1c2-1b69efe62191}\L --> REMOVED
¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xF7EF1F76)
SSDT[53] : NtCreateThread @ 0x805860C0 -> HOOKED (Unknown @ 0xF7EF1F6C)
SSDT[63] : NtDeleteKey @ 0x8059A5CD -> HOOKED (Unknown @ 0xF7EF1F7B)
SSDT[65] : NtDeleteValueKey @ 0x805991EC -> HOOKED (Unknown @ 0xF7EF1F85)
SSDT[98] : NtLoadKey @ 0x805D608D -> HOOKED (Unknown @ 0xF7EF1F8A)
SSDT[122] : NtOpenProcess @ 0x8057BB80 -> HOOKED (Unknown @ 0xF7EF1F58)
SSDT[128] : NtOpenThread @ 0x80596A0F -> HOOKED (Unknown @ 0xF7EF1F5D)
SSDT[193] : NtReplaceKey @ 0x806570B6 -> HOOKED (Unknown @ 0xF7EF1F94)
SSDT[204] : NtRestoreKey @ 0x80656C4D -> HOOKED (Unknown @ 0xF7EF1F8F)
SSDT[247] : NtSetValueKey @ 0x8057B4EF -> HOOKED (Unknown @ 0xF7EF1F80)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Maxtor 6L200P0 +++++
--- User ---
[MBR] 849ba9829e81f33e456436d766b5aa37
[BSP] 2aab77516992ba936b50f51cc7e5ed74 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 194466 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
24 réponses
salut
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
mirroirs :
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
mirroirs :
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Bonjour et merci pour ta première réponse. Le rapport du pre-scan est visible ici http://pjjoint.malekal.com/files.php?id=20120813_s10n9h6v1010.
par après avoir suivi les instructions j'ai perdu tous mes paramètres de connexion, mails et préférences affichage sur ces derniers je peux intervenir mais qui ne sont pas pris en compte (ou enregistrés) par le système.
par après avoir suivi les instructions j'ai perdu tous mes paramètres de connexion, mails et préférences affichage sur ces derniers je peux intervenir mais qui ne sont pas pris en compte (ou enregistrés) par le système.
t'avais pas desactivé antivir avant de lancer l outil....
edit
je peux savoir ou tu as telechargé cette version ?
edit2:: j'ai compris
fais une restauration systeme avant son utilisation , supprime-le retelecharge-le et repasse-le
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
edit
je peux savoir ou tu as telechargé cette version ?
edit2:: j'ai compris
fais une restauration systeme avant son utilisation , supprime-le retelecharge-le et repasse-le
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
euh...j'ai pas de point de restauration (je l'avais désactivé pour un autre problème). Une autre solution?
Parce qu'en plus là si je veux ne serait-ce que re paramétrer mes préférences d'affichage xp ne le retiens pas et de toute façon n'en prends même pas certaines en compte. par contre j'ai gardé tous mes fichier et tous mes dossiers sur le bureau.
Parce qu'en plus là si je veux ne serait-ce que re paramétrer mes préférences d'affichage xp ne le retiens pas et de toute façon n'en prends même pas certaines en compte. par contre j'ai gardé tous mes fichier et tous mes dossiers sur le bureau.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
je comptais sur la restauration pour regler le souci va falloir ruser.
sais-tu afficher les extensions de fichiers ?
sais-tu afficher les extensions de fichiers ?
tu veux dire dans les préférence d'affichage des dossiers décocher "masquer les extension de fichier connus" ou u truc ds le genre?
si c'est ça oui je peux le faire alors rusons rusons, mais là je suis au boulot donc j'officierais ce soir sur mon poste mais j'ai perdu du coup ma connexion internet alors lâche toi et dis moi tout ce que je vais pouvoir essayer, que je puisse me préparer pour ce soir et éventuellement télécharger des programmes du bureau.
si c'est ça oui je peux le faire alors rusons rusons, mais là je suis au boulot donc j'officierais ce soir sur mon poste mais j'ai perdu du coup ma connexion internet alors lâche toi et dis moi tout ce que je vais pouvoir essayer, que je puisse me préparer pour ce soir et éventuellement télécharger des programmes du bureau.
non je t'explique le prog a eu un petit moment un beug et supprimait le fichier qui contient toutes les données de sessions , cependant , il est dans la quarantaine
donc :
aller dans c:\pre_scan\quarantine\ et retirer l'extension ".P_S" au fichier NTUSER.DAT.P_S
une fois ceci fait , mettre le fichier NTUSER.DAT (ou en minuscule , ca change rien) dans c:\users\ta session\ntuser.dat
redemarrer le pc , ta session devrait revenir comme avant
donc :
aller dans c:\pre_scan\quarantine\ et retirer l'extension ".P_S" au fichier NTUSER.DAT.P_S
une fois ceci fait , mettre le fichier NTUSER.DAT (ou en minuscule , ca change rien) dans c:\users\ta session\ntuser.dat
redemarrer le pc , ta session devrait revenir comme avant
Ah super, juste ce fichier là? parce que oui j'ai vu dans le rapport qu'il m'avait mis en quarantaine pas mal de fichier système; une dernière chose comme je le restaure ou plutôt où le met-je :-)
Merci beaucoup pour ton aide en tout cas, j'espère tout récupérer ce soir (je suis perdue sans internet et j'avais pas envie de tout paramétrer pour rien en plus.
Et qu'en est-il du virus après la lecture du rapport?
Merci beaucoup pour ton aide en tout cas, j'espère tout récupérer ce soir (je suis perdue sans internet et j'avais pas envie de tout paramétrer pour rien en plus.
Et qu'en est-il du virus après la lecture du rapport?
Ah oui j'ai lu trop vite; Merci beaucoup pour ton aide. je te tiens au courant demain.
Côté virus tout est parti?
Côté virus tout est parti?
oh, ça je ne pourrai le savoir que ce soir après le boulot. c'est pourquoi je voulais "engranger" un max de procédure au cas où je n'ai toujours pas d'accès internet..
Je ne peux pas faire la manip quand je suis dans la session ni quand je démarre sur une autre session. L'accès est refusé ou j'ai un message qui me dit que le fichier est en cours d'utilisation et que je ne peux pas le remplacer.
Ben après avoir enlevé l'extension a".P_S" au fichier NTUSER.DAT.P_S
j'ai essayé de mettre le fichier NTUSER.DAT dans c:\users\ta session\ntuser.dat, le remplacer en fait puisqu'il y en à déjà un. le système ne peut pas l'écraser puisqu'il est en fonction et si je bascule sur une autre session en ayant fermée celle-ci je n'ai pas les droit (même avec une session administrateur).
j'ai essayé de mettre le fichier NTUSER.DAT dans c:\users\ta session\ntuser.dat, le remplacer en fait puisqu'il y en à déjà un. le système ne peut pas l'écraser puisqu'il est en fonction et si je bascule sur une autre session en ayant fermée celle-ci je n'ai pas les droit (même avec une session administrateur).
