Suspicion d’infection par RogueKiller 2014-06-27T12:37:24+00:00
  • Auteur
    Messages
  • frederic!
    Post count: 0

    Bonjour à toutes et tous , qui peut m’expliquer ce que me dit RogueKiller ci-dessous et que dois-je faire ?

    J’ignore presque tout en informatique , cependant je me protège avec AVG , Malwarebytes , CCleaner , adwcleaner , spyBot ,adbloxkplus et adblockpremium plus les pare-feu traditionnels , mon ordinateur portable est un dell “vostro”

    dessous la copie du rapport :

    RogueKiller V9.1.0.0 (x64) [Jun 23 2014] par Adlice Software
    Mail : http://www.adlice.com/contact/” onclick=”window.open(this.href);return false;
    Remontées : http://forum.adlice.com” onclick=”window.open(this.href);return false;
    Site Web : http://www.surlatoile.org/RogueKiller/” onclick=”window.open(this.href);return false;
    Blog : http://www.adlice.com” onclick=”window.open(this.href);return false;

    Système d’exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Démarrage : Mode normal
    Utilisateur : gnoufgnouf [Droits d’admin]
    Mode : Recherche — Date : 06/27/2014 14:12:13

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrées de registre : 8 ¤¤¤
    [Suspicious.Path] (X64) HKEY_LOCAL_MACHINESystemCurrentControlSetServicesfwddrpow -> TROUVÉ
    [Suspicious.Path] (X64) HKEY_LOCAL_MACHINESystemControlSet001Servicesfwddrpow -> TROUVÉ
    [PUM.StartMenu] (X64) HKEY_USERSS-1-5-21-3081603793-3139790416-1577725065-1002SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced | Start_ShowMyGames : 0 -> TROUVÉ
    [PUM.StartMenu] (X86) HKEY_USERSS-1-5-21-3081603793-3139790416-1577725065-1002SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced | Start_ShowMyGames : 0 -> TROUVÉ
    [PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
    [PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ
    [PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
    [PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Fichiers : 0 ¤¤¤

    ¤¤¤ Fichier HOSTS : 0 [Too big!] ¤¤¤

    ¤¤¤ Antirootkit : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ MBR Verif : ¤¤¤
    +++++ PhysicalDrive0: ST9500423AS +++++
    — User —
    [MBR] ca8786749094f9a3ea089852d451a322
    [BSP] 713ccbb9b2ce886114a0edf81d488952 : Windows Vista/7/8 MBR Code
    Partition table:
    0 – [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 – [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 15000 MB
    2 – [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 30926848 | Size: 461838 MB
    User = LL1 … OK
    User = LL2 … OK

    +++++ PhysicalDrive1: Seagate FreeAgent Go USB Device +++++
    — User —
    [MBR] 77cc4dbab14eb2895a4b39617e507751
    [BSP] 9b41164edcfed46aa6315d42c9c2e774 : Windows Vista/7/8 MBR Code
    Partition table:
    0 – [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 476938 MB
    User = LL1 … OK
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    ============================================
    RKreport_SCN_06272014_133558.log – RKreport_DEL_06272014_133948.log

    Que faire ? ou ne pas faire ? ?? j’y comprend pas grand chose . :triste:

  • Photo du profil de VictorVictor
    Participant
    Post count: 551

    Bonjour frederic! , :hello:

    :welcome: sur SosVirus

    1)

    • Lance RogueKiller, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      Note : Attends que le PreScan ait fini.

    • Clique sur Scan.

      Note : Patiente le temps du scan.

      Dans la rubrique “registre”, coche uniquement les cases :
      [Suspicious.Path] (X64) HKEY_LOCAL_MACHINESystemCurrentControlSetServicesfwddrpow
      [Suspicious.Path] (X64) HKEY_LOCAL_MACHINESystemControlSet001Servicesfwddrpow

    • Clique sur Suppression.

      Note : Patiente le temps de la Suppression.

    • Clic sur Rapport

    • Copie puis colle son contenue sur le forum

    2) Ensuite, effectue cette procédure:

    • Télécharge MalwareBytes
    • Procède à l’installation de celui çi Décocher “Activer l’essai gratuit de Malwarebytes Anti-Malware Premium”
    • Clic sur Mettre à jour (à droite, au centre)
    • Clic sur Examen (en haut)
    • Sélectionne Examen “Menaces”
    • Clic sur Examiner maintenant

    • A la fin du scan clic sur Tout mettre en quarantaine !
    • Clic sur Copier dans le Presse-papiers
    • Un rapport va s’ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

    3) Pour finir, effectue un diagnostic:

    • Télécharge OTL (by OldTimer) sur ton bureau.
    • Lance OTL, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche les cases suivantes :
      • Tous les utilisateurs
      • Recherche Lop
      • Recherche Purity
      • Avec Analyses 64 bit Uniquement pour les systèmes en 64 bit

    • Copie et colle le Script ci dessous dans la partie inférieure d’OTL “Personnalisation”
      netsvcs
      msconfig
      safebootminimal
      safebootnetwork
      activex
      drivers32
      /md5start
      explorer.exe
      lsass.exe
      svchost.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      volsnap.sys
      redbook.sys
      i8042prt.sys
      afd.sys
      netbt.sys
      tcpip.sys
      ipsec.sys
      hlp.dat
      /md5stop
      %APPDATA%*.exe /s
      %APPDATA%AdobeUpdate*.*
      %APPDATA%Update*.*
      %APPDATA%Microsoft*.*
      %ALLUSERSPROFILE%Favorites*.*
      %ALLUSERSPROFILE%*.*
      %SYSTEMDRIVE%*.*
      %PROGRAMFILES%*.*
      %PROGRAMFILES%Internet Explorer*.*
      %USERPROFILE%*.*
      %Temp%smtmp1*.*
      %Temp%smtmp2*.*
      %Temp%smtmp3*.*
      %Temp%smtmp4*.*
      %USERPROFILE%Local SettingsTemp*.exe
      %USERPROFILE%Local SettingsTemp*.dll
      %USERPROFILE%Application Data*.exe
      %systemroot%system32DBBK*.* /s
      %systemroot%system32configsystemprofile*.*
      %systemroot%*. /mp /s
      %systemroot%*.exe /90
      %systemroot%system32*.dll /lockedfiles
      %systemroot%system32*.dll /90
      %systemroot%system32drivers*.sys /lockedfiles
      %systemroot%system32drivers*.sys /90
      %systemroot%system32*.exe /90
      %systemroot%system32config*.sav
      %systemroot%system32spoolprtprocsw32x86*.*
      %systemroot%Tasks*.job /lockedfiles
      %systemroot%assemblytmp*.* /S /MD5
      %systemroot%assemblyGAC_32*.* /S /MD5
      %systemroot%assemblyGAC_64*.* /S /MD5
      %windir%ServiceProfilesLocalServiceAppDataLocalTemp*.*
      %windir%ServiceProfilesNetworkServiceAppDataLocalTemp*.*
      %windir%temp*.*
      "%WinDir%$NtUninstallKB*$." /30
      CREATERESTOREPOINT
      HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections
      HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU
      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdateAuto UpdateResultsInstall|LastSuccessTime /rs
      C:Program FilesCommon FilesComObjects*.* /
      %ALLUSERSPROFILE%Application Data*.exe /s

    • Clique sur Analyse

    • Une fois le scan terminé 1 ou 2 rapports vont s’ouvrir OTL.txt et Extras.txt.
    • Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

    A te relire
    Victor

Le sujet ‘Suspicion d’infection par RogueKiller’ est fermé à de nouvelles réponses.