Infection par System Care Antivirus > rapport Rogue killer
Eivlys
-
g3n-h@ckm@n Messages postés 14350 Statut Membre -
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,
Je suis infectée par SCA. Suivant les conseils d'autres sujets ici, j'ai démarré en mode Sans échec, téléchargé Rogue killer, scanné, supprimé...
Voici le rapport:
RogueKiller V8.6.1 [Jun 19 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : asso_belokane [Droits d'admin]
Mode : Suppression -- Date : 06/20/2013 15:35:45
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : C4790DC3F02A91E40000C478495399D7 (C:\Documents and Settings\All Users\Application Data\C4790DC3F02A91E40000C478495399D7\C4790DC3F02A91E40000C478495399D7.exe [-]) -> SUPPRIMÉ
[RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-4245860-4107566571-617338086-1007\[...]\RunOnce : C4790DC3F02A91E40000C478495399D7 (C:\Documents and Settings\All Users\Application Data\C4790DC3F02A91E40000C478495399D7\C4790DC3F02A91E40000C478495399D7.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-4245860-4107566571-617338086-1007\$77db20858393968482f5ae0cdae434c9\n. [x]) -> REMPLACÉ (C:\WINDOWS\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\n. [x]) -> REMPLACÉ (C:\WINDOWS\system32\wbem\fastprox.dll)
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\n. [x]) -> REMPLACÉ (C:\WINDOWS\system32\wbem\fastprox.dll)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Fichier] @ : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] @ : C:\RECYCLER\S-1-5-21-4245860-4107566571-617338086-1007\$77db20858393968482f5ae0cdae434c9\@ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-21-4245860-4107566571-617338086-1007\$77db20858393968482f5ae0cdae434c9\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\L [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-21-4245860-4107566571-617338086-1007\$77db20858393968482f5ae0cdae434c9\L [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000001.@ : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\U\00000001.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 80000000.@ : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\U\80000000.@ [-] --> SUPPRIMÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD800BEVS-22RST0 +++++
--- User ---
[MBR] 39acc7e9fad7babc637e594bc19d9c48
[BSP] 91f8f45bf2e15073dd82dd3c5d165d56 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 62863 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 128744910 | Size: 13452 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_06202013_153545.txt >>
RKreport[0]_S_06202013_153049.txt
Quelqu'un peut-il m'aider? Est-ce que je télécharg AdwCleaner et OTL en m'inspirant de ce que je peux lire sur les autres post?
Merci beaucoup par avance
Je suis infectée par SCA. Suivant les conseils d'autres sujets ici, j'ai démarré en mode Sans échec, téléchargé Rogue killer, scanné, supprimé...
Voici le rapport:
RogueKiller V8.6.1 [Jun 19 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : asso_belokane [Droits d'admin]
Mode : Suppression -- Date : 06/20/2013 15:35:45
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : C4790DC3F02A91E40000C478495399D7 (C:\Documents and Settings\All Users\Application Data\C4790DC3F02A91E40000C478495399D7\C4790DC3F02A91E40000C478495399D7.exe [-]) -> SUPPRIMÉ
[RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-4245860-4107566571-617338086-1007\[...]\RunOnce : C4790DC3F02A91E40000C478495399D7 (C:\Documents and Settings\All Users\Application Data\C4790DC3F02A91E40000C478495399D7\C4790DC3F02A91E40000C478495399D7.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-4245860-4107566571-617338086-1007\$77db20858393968482f5ae0cdae434c9\n. [x]) -> REMPLACÉ (C:\WINDOWS\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\n. [x]) -> REMPLACÉ (C:\WINDOWS\system32\wbem\fastprox.dll)
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\n. [x]) -> REMPLACÉ (C:\WINDOWS\system32\wbem\fastprox.dll)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Fichier] @ : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] @ : C:\RECYCLER\S-1-5-21-4245860-4107566571-617338086-1007\$77db20858393968482f5ae0cdae434c9\@ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\RECYCLER\S-1-5-21-4245860-4107566571-617338086-1007\$77db20858393968482f5ae0cdae434c9\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\L [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\RECYCLER\S-1-5-21-4245860-4107566571-617338086-1007\$77db20858393968482f5ae0cdae434c9\L [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000001.@ : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\U\00000001.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 80000000.@ : C:\RECYCLER\S-1-5-18\$77db20858393968482f5ae0cdae434c9\U\80000000.@ [-] --> SUPPRIMÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD800BEVS-22RST0 +++++
--- User ---
[MBR] 39acc7e9fad7babc637e594bc19d9c48
[BSP] 91f8f45bf2e15073dd82dd3c5d165d56 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 62863 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 128744910 | Size: 13452 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_06202013_153545.txt >>
RKreport[0]_S_06202013_153049.txt
Quelqu'un peut-il m'aider? Est-ce que je télécharg AdwCleaner et OTL en m'inspirant de ce que je peux lire sur les autres post?
Merci beaucoup par avance
A voir également:
- Infection par System Care Antivirus > rapport Rogue killer
- Rogue killer - Télécharger - Antivirus & Antimalwares
- Advanced system care - Télécharger - Optimisation
- Reboot system now - Guide
- Comodo antivirus - Télécharger - Sécurité
- Panda antivirus - Télécharger - Antivirus & Antimalwares
13 réponses
salut
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
g3n, je suis désolée, c'est mon ordi de boulot, et j'ai fini ma journée en laissant Pre-Scan tourner. Ce matin à mon retour, il était en veille (mais je me demande s'il n'avait pas redémarré dans l'intervalle), le scan a l'air fini.
Je me mets en quête du rapport ou je relance?
Autre chose: le pare-feu Windows m'a demandé de bloquer Dropbox. Je n'ai pas réussi à désactiver le pare-feu hier (en passant par le panneau de config, il ne voulait pas...)
Et est-ce que je peux me servir de mon ordi quand même? Et relancer Dropbox qui est très important pour mon boulot?
Je me mets en quête du rapport ou je relance?
Autre chose: le pare-feu Windows m'a demandé de bloquer Dropbox. Je n'ai pas réussi à désactiver le pare-feu hier (en passant par le panneau de config, il ne voulait pas...)
Et est-ce que je peux me servir de mon ordi quand même? Et relancer Dropbox qui est très important pour mon boulot?
re
le rapport est là : c:\pre_scan_date_heure.txt envoie-le via cjoint comme indiqué
oui pour l'ordi tu peux l'utiliser et dropbox tu peux la remettre , mais attention , ne mets jamais rien de confidentiel dedans , les données que tu y mets sont récupérées et utilisées par leurs services.
le rapport est là : c:\pre_scan_date_heure.txt envoie-le via cjoint comme indiqué
oui pour l'ordi tu peux l'utiliser et dropbox tu peux la remettre , mais attention , ne mets jamais rien de confidentiel dedans , les données que tu y mets sont récupérées et utilisées par leurs services.
