Virus gendarmerie / RogueKiller
Résolu
homecore_83
Messages postés
5
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour, suite a une contamination par le virus gendarmerie, j'ai redémarré en mode sans échec avec prise en charge du réseau, j'ai donc pu scanner avec roguekiller, mais je voudrais etre sur de supprimer uniquement le ou les virus presents sur mon ordi.
J'ai lu sur le tuto roguekiller que l'on pouvait décocher certaines entrées apellées "faux positifs" et qui ne sont pas des virus, mais supposés par le roguekiller, si j'ai bien compris?
Quelqu'un pourrait il m'aider a dechifrer le rapport du scan et dois-je décocher certaines entrées avant de tout supprimer?
voici le rapport :
RogueKiller V8.6.3 _x64_ [Jul 17 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : homecore [Droits d'admin]
Mode : Recherche -- Date : 07/24/2013 01:07:46
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : uiuibrnleygpjht (C:\ProgramData\uiuibrnl.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-454671597-350610572-1346639495-1000\[...]\Run : uiuibrnleygpjht (C:\ProgramData\uiuibrnl.exe [-]) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS725032A9A364 ATA Device +++++
--- User ---
[MBR] 9ff3a4a3072cdeda7a13d2ce8d87af0b
[BSP] c128e0ceef8ac72a7c31d57eb30d25f9 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 290917 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 596207616 | Size: 14024 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 624928768 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_07242013_010746.txt >>
J'ai lu sur le tuto roguekiller que l'on pouvait décocher certaines entrées apellées "faux positifs" et qui ne sont pas des virus, mais supposés par le roguekiller, si j'ai bien compris?
Quelqu'un pourrait il m'aider a dechifrer le rapport du scan et dois-je décocher certaines entrées avant de tout supprimer?
voici le rapport :
RogueKiller V8.6.3 _x64_ [Jul 17 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : homecore [Droits d'admin]
Mode : Recherche -- Date : 07/24/2013 01:07:46
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : uiuibrnleygpjht (C:\ProgramData\uiuibrnl.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-454671597-350610572-1346639495-1000\[...]\Run : uiuibrnleygpjht (C:\ProgramData\uiuibrnl.exe [-]) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS725032A9A364 ATA Device +++++
--- User ---
[MBR] 9ff3a4a3072cdeda7a13d2ce8d87af0b
[BSP] c128e0ceef8ac72a7c31d57eb30d25f9 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 290917 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 596207616 | Size: 14024 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 624928768 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_07242013_010746.txt >>
A voir également:
- Virus gendarmerie / RogueKiller
- Roguekiller - Télécharger - Antivirus & Antimalwares
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
7 réponses
Salut,
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Merci de m'avoir répondu , j'ai bien compris le fonctionnement, mais peut etre me suis-je mal exprimé.
Le rapport de Roguekiller montre qu'il a détecté 4 entrées de registre suspectes. Je suis pas assez compétent pour interpréter ces entrées et j'ai peur d'effacer un truc qui faut pas sur l'ordi, donc je reformule ma question, faut il que j'efface les 4 entrées de registre ou pas toutes ? Est ce que les 4 entrées sont des virus? PS: le rapport roguekiller est dans mon premier post. merci d'avance.
Le rapport de Roguekiller montre qu'il a détecté 4 entrées de registre suspectes. Je suis pas assez compétent pour interpréter ces entrées et j'ai peur d'effacer un truc qui faut pas sur l'ordi, donc je reformule ma question, faut il que j'efface les 4 entrées de registre ou pas toutes ? Est ce que les 4 entrées sont des virus? PS: le rapport roguekiller est dans mon premier post. merci d'avance.
ok j'ai tout supprimé, j'ai refais un scan, plus rien, redemarré en mode normal, et plus de virus gendarmerie.
Un gros merci pour la rapidité et les competences.
Ps: j'ai choppé le virus suite a une mise a jour adobe, comment mettre a jour sans rechopper la meme M----?
Un gros merci pour la rapidité et les competences.
Ps: j'ai choppé le virus suite a une mise a jour adobe, comment mettre a jour sans rechopper la meme M----?
Ps: j'ai choppé le virus suite a une mise a jour adobe, comment mettre a jour sans rechopper la meme M----?
Tu veux dire sur un site porno comme là : https://www.malekal.com/dirtydecrypt-et-virus-police-ministere-de-linterieur/ ?
Je te conseille de faire cela :
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu veux dire sur un site porno comme là : https://www.malekal.com/dirtydecrypt-et-virus-police-ministere-de-linterieur/ ?
Je te conseille de faire cela :
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voila le rapport
# AdwCleaner v2.306 - Rapport créé le 28/07/2013 à 07:35:30
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : homecore - HOMECORE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\homecore\Desktop\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Supprimé au redémarrage : C:\Users\homecore\AppData\Local\Temp\boost_interprocess
***** [Registre] *****
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7CD74AFF-3433-4E34-92E2-D98DFDB30754}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.7600.16385
[OK] Le registre ne contient aucune entrée illégitime.
*************************
AdwCleaner[R1].txt - [2475 octets] - [28/07/2013 07:32:54]
AdwCleaner[R2].txt - [2535 octets] - [28/07/2013 07:35:05]
AdwCleaner[S1].txt - [2498 octets] - [28/07/2013 07:35:30]
########## EOF - C:\AdwCleaner[S1].txt - [2558 octets] ##########
# AdwCleaner v2.306 - Rapport créé le 28/07/2013 à 07:35:30
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : homecore - HOMECORE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\homecore\Desktop\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Supprimé au redémarrage : C:\Users\homecore\AppData\Local\Temp\boost_interprocess
***** [Registre] *****
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7CD74AFF-3433-4E34-92E2-D98DFDB30754}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.7600.16385
[OK] Le registre ne contient aucune entrée illégitime.
*************************
AdwCleaner[R1].txt - [2475 octets] - [28/07/2013 07:32:54]
AdwCleaner[R2].txt - [2535 octets] - [28/07/2013 07:35:05]
AdwCleaner[S1].txt - [2498 octets] - [28/07/2013 07:35:30]
########## EOF - C:\AdwCleaner[S1].txt - [2558 octets] ##########
Depuis que j'ai acheté cet ordi, j'ai mise a jour de java v7 moi j'en suis a la 6 ... dois je executer?
j'ai toujours la mise a jour de adobe qui apparait au demarrage de l'ordi, celle que j'ai executé juste avant 'davoir le virus. que faire?
j'ai toujours la mise a jour de adobe qui apparait au demarrage de l'ordi, celle que j'ai executé juste avant 'davoir le virus. que faire?
oui faut le mettre à jour et meme le désactiver des navigateurs, c'est plus sûr.
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
