Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

infecté par le rogue system check

 

1 utilisateur anonyme
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

infecté par le rogue system check

Prévenir les modérateurs en cas d'abus 
unikshoot
unikshoot
  1. Posté le 04/01/2012 à 22:19:27  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
bonjour a tous ,
 le titre l'indique , c'est mon premier rogue , depuis l'ère de mon 56k .
 j'aimerais alors si c'est possible avoir votre aide pour m'en défaire , car après 4h d'essai , ben le résultat est bof ;-))

 comme dit dans d'autres posts , j'ai dl roguekiller , et suivi les instructions , donc voiçi le logtxt


 RogueKiller V6.2.2 [31/12/2011] par Tigzy
 mail: tigzyRK<at>gmail<dot>com
 Remontees: http://www.sur-la-toile.com/di [...] ntees.html
 Blog: http://tigzyrk.blogspot.com

 Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
 Demarrage : Mode normal
 Utilisateur: WC [Droits d'admin]
 Mode: Recherche -- Date : 04/01/2012 22:03:13

 ¤¤¤ Processus malicieux: 4 ¤¤¤
 [BLACKLIST] setup_11.0.0.1245.x01_2012_01_​04_22_34.exe -- C:\Users\WC\Downloads\Programs​\setup_11.0.0.1245.x01_2012_01​_04_22_34.exe -> KILLED [TermProc]
 [ROGUE ST] 7350757.exe -- C:\Users\WC\AppData\Local\Temp​\RarSFX0\7350757.exe -> KILLED [TermProc]
 [ROGUE ST] 7350757.exe -- C:\Users\WC\AppData\Local\Temp​\1027973\7350757.exe -> NOT KILLED [0x5]
 [RESIDUE] 7350757.exe -- C:\Users\WC\AppData\Local\Temp​\1027973\7350757.exe -> NOT KILLED [0x5]

 ¤¤¤ Entrees de registre: 9 ¤¤¤
 [SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\WC\LOCALS~1\Temp\yvb​ayafajiodt.com) -> FOUND
 [SUSP PATH] HKUS\S-1-5-21-2093269687-35150​85072-1617834021-1000[...]\Windows : Load (C:\Users\WC\LOCALS~1\Temp\yvb​ayafajiodt.com) -> FOUND
 [SUSP PATH] _uninst_68344202.lnk : C:\Users\WC\AppData\Local\Temp​\_uninst_68344202.bat -> FOUND
 [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
 [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> FOUND
 [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> FOUND
 [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002​B30309D} (1) -> FOUND
 [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002​B30309D} (1) -> FOUND
 [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA0​02F954E} (1) -> FOUND

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver: [NOT LOADED] ¤¤¤

 ¤¤¤ Infection :  ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 127.0.0.1 tonec.com
 127.0.0.1 www.tonec.com
 127.0.0.1 registeridm.com
 127.0.0.1 www.registeridm.com
 127.0.0.1 secure.registeridm.com
 127.0.0.1 internetdownloadmanager.com
 127.0.0.1 www.internetdownloadmanager.co​m
 127.0.0.1 secure.internetdownloadmanager​.com
 127.0.0.1 mirror.internetdownloadmanager​.com
 127.0.0.1 mirror2.internetdownloadmanage​r.com
 127.0.0.1 mirror3.internetdownloadmanage​r.com


 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: +++++
 --- User ---
 [MBR] 77337eccd109dc229f20d0b76142ca​7d
 [BSP] 1ddb946a0d202d777ac5a3ea5a4bfe​48 : Windows Vista MBR Code
 Partition table:
 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 250057 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive1: +++++
 --- User ---
 [MBR] 583f941bbaa7ce69ab8dd511a971c8​96
 [BSP] 7534e8e4b42f9ca9c24219cee6fb49​bd : Windows 7 MBR Code
 Partition table:
 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 150037 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 Termine : << RKreport[1].txt >>
 RKreport[1].txt


 j'ai essayer malware bytes , sans succès . ce rogue m'a déplacé des dossiers , dont mon avast , mais le pire c'est que je n'ai plus acces a la restauration systeme , et mes 2 autres HDD sont visible mais "vide" .
 plus desktop bien sur aussi . bref il a fait son job ,grrr!

 voilà .

 bon je vois qu'il est tard , je vais laisser de côté pour ce soir cette prise de tête .

 je vous remercie de prêter attention a mon topic , et de m'aider par la même occasion si c'est possible .
 je vous dis a demain
 merci

Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 04/01/2012 à 23:29:08  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello:

 Relance RogueKiller et choisis l'option 2 ("Suppression" ).

 Poste le rapport.

(Publicité)
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 04/01/2012 à 23:34:11  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut unikshoot, bienvenu sur 01net


 Relance RogueKiller avec l'option 2 et poste le rapport, après relance le avec l'option 6 pour retrouvé tes fichiers qui sont cachés et poste le rapport également.


 On va vérifier le PC :

 Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

 - Quitte les applications en cours afin de ne pas interrompre le scan.
 - Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
 Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
 - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
 - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

 Ne modifie pas les autres paramètres !

 Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

 netsvcs
 msconfig
 safebootminimal
 safebootnetwork
 activex
 drivers32
 %SYSTEMDRIVE%\*.*
 %SYSTEMDRIVE%\*.exe
 %PROGRAMFILES%\*.*
 %PROGRAMFILES%\*.
 /md5start
 consrv.dll
 volsnap.sys
 hidserv.dll
 appmgmts.dll
 eventlog.dll
 winlogon.exe
 scecli.dll
 netlogon.dll
 cngaudit.dll
 sceclt.dll
 ntelogon.dll
 logevent.dll
 iaStor.sys
 nvstor.sys
 atapi.sys
 IdeChnDr.sys
 viasraid.sys
 AGP440.sys
 vaxscsi.sys
 nvatabus.sys
 viamraid.sys
 wininet.dll
 wininit.exe
 nvata.sys
 nvgts.sys
 iastorv.sys
 ViPrt.sys
 eNetHook.dll
 explorer.exe
 svchost.exe
 userinit.exe
 qmgr.dll
 ws2_32.dll
 proquota.exe
 imm32.dll
 kernel32.dll
 ndis.sys
 autochk.exe
 spoolsv.exe
 xmlprov.dll
 ntmssvc.dll
 mswsock.dll
 Beep.SYS
 ntfs.sys
 termsrv.dll
 sfcfiles.dll
 st3shark.sys
 winlogon.exe
 wininit.ini
 /md5stop
 HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\Session Manager\SubSystems /s
 SAVEMBR:0
 %systemroot%\*. /mp /s
 %systemroot%\system32\*.dll /lockedfiles
 %systemroot%\Tasks\*.job /lockedfiles
 %systemroot%\system32\drivers\​*.sys /lockedfiles
 %systemroot%\System32\config\*​.sav
 c:\$recycle.bin\*.* /s


 - Clique sur le bouton Analyse.
 - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

 Utilise cjoint.com pour poster en lien tes rapports :
 http://cjoint.com/

 - Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
 - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

 - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

 Après fais de même avec l'autre rapport Extras.txt


 @++   :)

unikshoot
  1. Posté le 05/01/2012 à 07:46:12  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
salut ,
 merci kmisol .

 bon voilà :


 RogueKiller V6.2.2 [31/12/2011] par Tigzy
 mail: tigzyRK<at>gmail<dot>com
 Remontees: http://www.sur-la-toile.com/di [...] ntees.html
 Blog: http://tigzyrk.blogspot.com

 Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
 Demarrage : Mode normal
 Utilisateur: WC [Droits d'admin]
 Mode: Suppression -- Date : 05/01/2012 07:42:36

 ¤¤¤ Processus malicieux: 0 ¤¤¤

 ¤¤¤ Entrees de registre: 8 ¤¤¤
 [SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\WC\LOCALS~1\Temp\yvb​ayafajiodt.com) -> DELETED
 [SUSP PATH] _uninst_68344202.lnk : C:\Users\WC\AppData\Local\Temp​\_uninst_68344202.bat -> DELETED
 [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\WC\AppData\Roaming\I​rfanView\IrfanView_Wallpaper.b​mp)
 [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> REPLACED (0)
 [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> REPLACED (0)
 [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002​B30309D} (1) -> REPLACED (0)
 [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002​B30309D} (1) -> REPLACED (0)
 [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA0​02F954E} (1) -> REPLACED (0)

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver: [NOT LOADED] ¤¤¤

 ¤¤¤ Infection :  ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 127.0.0.1 tonec.com
 127.0.0.1 www.tonec.com
 127.0.0.1 registeridm.com
 127.0.0.1 www.registeridm.com
 127.0.0.1 secure.registeridm.com
 127.0.0.1 internetdownloadmanager.com
 127.0.0.1 www.internetdownloadmanager.co​m
 127.0.0.1 secure.internetdownloadmanager​.com
 127.0.0.1 mirror.internetdownloadmanager​.com
 127.0.0.1 mirror2.internetdownloadmanage​r.com
 127.0.0.1 mirror3.internetdownloadmanage​r.com


 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: +++++
 --- User ---
 [MBR] 77337eccd109dc229f20d0b76142ca​7d
 [BSP] 1ddb946a0d202d777ac5a3ea5a4bfe​48 : Windows Vista MBR Code
 Partition table:
 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 250057 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive1: +++++
 --- User ---
 [MBR] 583f941bbaa7ce69ab8dd511a971c8​96
 [BSP] 7534e8e4b42f9ca9c24219cee6fb49​bd : Windows 7 MBR Code
 Partition table:
 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 150037 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 Termine : << RKreport[2].txt >>
 RKreport[1].txt ; RKreport[2].txt


 voilou  , merci de ton aide  :super:

Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 05/01/2012 à 08:44:21  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello:

 Désinstalle Malwarebytes' Anti-Malware en utilisant le menu Programmes et fonctionnalités depuis le Panneau de Configuration.

 Redémarre le PC (très important) !

 Télécharge MBAM Cleaner sur le bureau et lance-le.

 Il te sera demandé de redémarrer le PC lorsque l'outil aura terminé
 son travail (accepte).

 Après redémarrage, réinstalle la dernière version de MBAM.

 Note: Si tu utilises la version payante de Malwarebytes, il te faudra réactiver le programme en utilisant la licence qui t'a été expédiée par e-mail.

 ------

(Publicité)
unikshoot
  1. Posté le 05/01/2012 à 12:21:00  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
oki c'est fait . il m'a fait aussi une maj .

 je lance un examen complet

unikshoot
  1. Posté le 05/01/2012 à 13:14:07  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
voilà le log


 Malwarebytes Anti-Malware (Essai) 1.60.0.1800
 www.malwarebytes.org

 Version de la base de données: v2012.01.05.01

 Windows 7 Service Pack 1 x64 NTFS
 Internet Explorer 9.0.8112.16421
 WC :: WC-PC [administrateur]

 Protection: Activé

 05/01/2012 12:56:27
 mbam-log-2012-01-05 (12-56-27).txt

 Type d'examen: Examen complet
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 323464
 Temps écoulé: 10 minute(s), 48 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)

Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 05/01/2012 à 19:21:11  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello:

 Tjrs infecté ?

 -----
 Télécharge RSIT (de random/random) sur le bureau :

 - Sur le bureau, double clique sur RSIT.exe ;
 - Clique sur Continue (Disclaimer) dans la fenêtre ;

 Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.

 Lorsque l’ analyse sera achevée, 2 fichiers texte s’ ouvriront (avec le bloc-notes).

 Poste le contenu de log.txt (celui qui apparaît à l’ écran) ainsi que info.txt (que tu verras dans la Barre des tâches).

 Tutoriel ->  ici

(Publicité)
youfou
  1. Posté le 06/01/2012 à 09:00:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

 bonjour j'ai le meme problem pouvez vous m'aider?
 merci

youfou
  1. Posté le 06/01/2012 à 09:07:38  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
voici mon rapport

 RogueKiller V6.2.2 [31/12/2011] par Tigzy
 mail: tigzyRK<at>gmail<dot>com
 Remontees: http://www.sur-la-toile.com/di [...] ntees.html
 Blog: http://tigzyrk.blogspot.com

 Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
 Demarrage : Mode normal
 Utilisateur: engtp [Droits d'admin]
 Mode: Recherche -- Date : 06/01/2012 09:06:31

 ¤¤¤ Processus malicieux: 0 ¤¤¤

 ¤¤¤ Entrees de registre: 3 ¤¤¤
 [] HKLM\[...]\Run :  () -> ACCESS DENIED
 [DNS] HKLM\[...]\ControlSet001\Parameters\​Inte​rfaces\{91B515DD-B142-459​A-93B​3-3F5D35CE689A} : NameServer (192.40.70.222,192.40.70.36) -> FOUND
 [DNS] HKLM\[...]\ControlSet003\Parameters\​Inte​rfaces\{91B515DD-B142-459​A-93B​3-3F5D35CE689A} : NameServer (192.40.70.222,192.40.70.36) -> FOUND

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver: [LOADED] ¤¤¤
 SSDT[50] : NtCreateSection @ 0x8056CE25 -> HOOKED (\??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys @ 0xF79F1700)

 ¤¤¤ Infection :  ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 127.0.0.1 localhost


 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: +++++
 --- User ---
 [MBR] e63c7203f8499a556799881ab5e97e​2b
 [BSP] 760136bae37a33ea88b7dd2983397e​87 : Windows Vista MBR Code
 Partition table:
 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 162546 Mo
 1 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 317476530 | Size: 157522 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 Termine : << RKreport[1].txt >>
 RKreport[1].txt



Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 06/01/2012 à 18:33:47  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: youfou

 Le mieux est encore d' ouvrir un sujet dans la cat. "Sécurité" de ce forum plutôt que de venir empiéter sur un sujet ; même si les symptômes sont similaires, ce n' est pas pour autant que l' on va utiliser les mêmes outils ...

 Donc, tu sais ce qu' il te restes à faire.

 Expose tes ennuis en expliquant, d' une manière claire et concise, les problèmes que tu rencontres (donne aussi des infos sur ta version Windows, l' antivirus, les outils que tu as déjà utilisés, etc ...).

 En revanche, ne poste pas de rapport sans qu' on te l' ait demandé.

 Merci de ta compréhension.  

(Publicité)
youfou
  1. Posté le 07/01/2012 à 08:04:10  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:super:  merci

 Page :
1

Aller à :
 

Sujets relatifs
rogue ? sur XP "résolu" Check-up pour PC + 1-2 Problèmes
eee pc infecté,security tool bloque tout Infecté par Adware Gibmedia et Ecobar [résolu]
disque dur infecté par un virus pc infecte par un virus que je n'arrive pas a supprimer
SVP DE L'AIDE!!! infecté par CHEVAL DE TROIE virus ?? c:// system volume information,
Plus de sujets relatifs à : infecté par le rogue system check

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Détection virus BDS/Cycbot.G.406 14
Virus "Vista security 2012" 11
UC Utilisée à 100% 19
Serieux Avira.... 19
virus porn.exe et sexy.exe 6