Sujet Précédent Sujet Suivant

Suspicion de virus - help sur un rapport roguekiller

Résolu/Fermé
MWAMWA1966 Messages postés 290 Date d'inscription dimanche 28 janvier 2007 Statut Membre Dernière intervention 16 novembre 2023 - 30 juin 2015 à 22:48
MWAMWA1966 Messages postés 290 Date d'inscription dimanche 28 janvier 2007 Statut Membre Dernière intervention 16 novembre 2023 - 24 juil. 2015 à 14:06
Bonjour,
J'ai ouvert par inadvertance, un mail frauduleux contenant probablement un virus ou un malware. J'ai fait un scan avec Roguekiller.
Mais avant de faire une suppression je voudrais avoir l'avis d'un connaisseur.

Voici un copier/coller du rapport de roguekiller. Merci de me fair epart de votre avis là-dessus... :

RogueKiller V10.8.7.0 (x64) [Jun 29 2015] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/roguekiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal
Utilisateur : Paull [Administrateur]
Démarré depuis : C:\Users\Paull\Desktop\RogueKillerX64.exe
Mode : Scan -- Date : 06/30/2015 20:30:08

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 4 ¤¤¤
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-4004518462-1042682458-766895498-1000\Software\Microsoft\Internet Explorer\Main | Start Page : https://www.msn.com/fr-fr/?cobrand=localoem.msn.com&ocid=SYSDHP&pc=MASBJS -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-4004518462-1042682458-766895498-1000\Software\Microsoft\Internet Explorer\Main | Start Page : https://www.msn.com/fr-fr/?cobrand=localoem.msn.com&ocid=SYSDHP&pc=MASBJS -> Trouvé(e)
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-4004518462-1042682458-766895498-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : https://www.msn.com/fr-fr/?cobrand=localoem.msn.com&ocid=SYSDHP&pc=MASBJS -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-4004518462-1042682458-766895498-1000\Software\Microsoft\Internet Explorer\Main | Default_Page_URL : https://www.msn.com/fr-fr/?cobrand=localoem.msn.com&ocid=SYSDHP&pc=MASBJS -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 41 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 activate.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 hl2rcv.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobeereg.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 activate.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 practivate.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 ereg.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 activate.wip3.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 ereg.wip3.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 wip3.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 activate-sea.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 wwis-dubc1-vip60.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 activate-sjc0.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 3dns.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 3dns-1.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 3dns-2.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 3dns-3.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 3dns-4.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobe-dns.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobe-dns-1.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobe-dns-2.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobe-dns-3.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobe-dns-4.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobe-dns-5.adobe.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 hh-software.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 www.hh-software.com
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 activate.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 practivate.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 ereg.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 activate.wip3.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 wip3.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 3dns-3.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 3dns-2.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobe-dns.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobe-dns-2.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 adobe-dns-3.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 ereg.wip3.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 activate-sea.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 wwis-dubc1-vip60.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 activate-sjc0.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 wwis-dubc1-vip60.adobe.de
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 hl2rcv.adobe.de

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: Samsung SSD 840 EVO 120GB ATA Device +++++
--- User ---
[MBR] faf91196f19dd44d26583656018f3b4b
[BSP] 04727c0ee53cf629b2e12f38c3c1e3c2 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 114121 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: ST2000DM001-1CH164 ATA Device +++++
--- User ---
[MBR] 07e46e730647707f2af30361937b7191
[BSP] 20f55611b391ebe65ddab2def5255fa8 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1907727 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive2: Generic STORAGE DEVICE USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_SCN_06302015_150004.log - RKreport_SCN_06302015_150146.log - RKreport_SCN_06302015_150301.log - RKreport_SCN_06302015_185613.log
RKreport_SCN_06302015_185738.log - RKreport_SCN_06302015_185912.log - RKreport_SCN_06302015_190033.log - RKreport_SCN_06302015_190150.log
RKreport_SCN_06302015_201322.log - RKreport_DEL_06302015_201530.log


A voir également:

3 réponses

Réponse 1 / 3
fabul Messages postés 37700 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 24 avril 2024 5 172
30 juin 2015 à 23:13
Salut,

Si tu n'a rien exécuté, il n'y a pas trop de risques.

Sur ton rapport RogueKiller il n'y a pas grand chose.

Pour dénicher des malwares, j'utilise plutôt RegRun.

Installe RegRun Reanimator

Clic sur "Fix problems".

Clic sur "Scan windows startup...".

Coche la case "Use deep level scanning once (For advanced users)".

Clic sur "Make scan now".

Clic sur "Fix problems".

Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious , tu peux me le dire, on procédera différemment.

Clic-droit dans le milieu de la fenêtre et choisis "Save to file" pour copier le résultat dans un fichier texte.

Nomme le 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche verte pour passer a l'item suivant, fait comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.

Met un espace d'une ligne entre chaque item détecté pour que ça soit lisible.
0
mwamwa1966
1 juil. 2015 à 08:10
Bonjour et merci pour ces conseils.
En fait, j'ai ouvert un fichier Word qui était en ce jointe. C'était un mail que je consultait par webmail, à distance, sur mon mail professionnel depuis chez moi.
Bref, le service informatique de l'entreprise avait dit deenpas ouvrir ces fichiers. Et j'ai fait la connerie d'ouvrir.
Merci pour ces indications. Je ferai ce que tu me conseilles dans quelques jours (je dois m'absenter).
0
Réponse 2 / 3
MWAMWA1966 Messages postés 290 Date d'inscription dimanche 28 janvier 2007 Statut Membre Dernière intervention 16 novembre 2023 18
13 juil. 2015 à 11:48
Bonjour,
je suis de retour et j'ai appliqué tes conseils.
voici le résultat :
1:
Item Name: predm
Author:
Current Setting: C:\PROGRAM FILES (X86)\PREDM\
Type: Unwanted Software Files

2:
Item Name: PriceLess
Author:
Current Setting: C:\PROGRAM FILES (X86)\PRICELESS\
Type: Unwanted Software Files

3:
Item Name: WindowsMangerProtect
Author:
Current Setting: C:\PROGRAMDATA\WINDOWSMANGERPROTECT\
Type: Unwanted Software Files

4:
Item Name: Canon BJNP Port
Author: CANON INC.
Related File: C:\Windows\system32\CNMN6PPM.DLL
Type: Print Monitors

Voilà. Je ne sais pas trop à quoi tout ça correspond et je ne sais pas ce qui est "nocif".
Le dernier semble associé à mon imprimante.

Merci en tout cas pour ton aide.
0
fabul Messages postés 37700 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 24 avril 2024 5 172
14 juil. 2015 à 04:12
Salut,

Oui, le dernier est relié a Canon parait-il, surement ton imprimante.

Les items marqués Unwanted software files sont la plupart du temps indésirables, quoi qu,il puisse y avoir des faux positifs parfois, ceux que je vois semblent plutôt mauvais a mon avis.

Tu peux recommencer l'analyse et choisit Get it out -> Delete, pour les items a supprimer.

Reboot a la fin.

Il devrait réanalyser au démarrage, tu peux noter ce quLil détecte si il détecte des éléments nouveaux.

Tu peux garder RegRun Reanimator, cliquer sur "False positive" pour les éléments sains, il ne les détectera plus, il peut t'être utile pour surveiller le système et éliminer les malwares.

Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).

Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut:

https://www.cjoint.com/c/DIwp0hjRA6Y

Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.
0
Réponse 3 / 3
fabul Messages postés 37700 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 24 avril 2024 5 172
14 juil. 2015 à 06:12
Si tu avais passé AdwCleaner, il aurait détecté:

C:\PROGRAM FILES (X86)\PREDM\

J'en déduis que tu n'a pas nettoyé avec AwdCleaner.

Tu peux le faire...

https://toolslib.net/downloads/viewdownload/1-adwcleaner
0
MWAMWA1966 Messages postés 290 Date d'inscription dimanche 28 janvier 2007 Statut Membre Dernière intervention 16 novembre 2023 18
15 juil. 2015 à 22:58
Salut,
je viens de nettoyer avec Adwcleaner.
Je ne sais aps trop ce que ça raconte mais voilà le résultat :

# AdwCleaner v4.208 - Rapport créé le 15/07/2015 à 22:56:33
# Mis à jour le 09/07/2015 par Xplode
# Base de données : 2015-07-15.1 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)
# Nom d'utilisateur : Paull - PAULL-PC
# Exécuté depuis : C:\Users\Paull\Downloads\adwcleaner_4.208.exe
# Option : Nettoyer
          • [ Services ] *****
          • [ Fichiers / Dossiers ] *****


Dossier Supprimé : C:\ProgramData\WindowsMangerProtect
Dossier Supprimé : C:\ProgramData\51b442fd00000b7a
Dossier Supprimé : C:\ProgramData\7274340015896366157
Dossier Supprimé : C:\ProgramData\{05d4ebfd-cac5-ed7a-05d4-4ebfdcacaff7}
Dossier Supprimé : C:\ProgramData\{173b9df0-5d38-fa1a-173b-b9df05d377c1}
Dossier Supprimé : C:\ProgramData\{d391e998-bb04-3ca8-d391-1e998bb0a662}
Dossier Supprimé : C:\Program Files (x86)\predm
Dossier Supprimé : C:\Program Files (x86)\PriceLess
Dossier Supprimé : C:\Users\Paull\AppData\Roaming\Mozilla\Firefox\Profiles\axqosm0o.default\Extensions\IIIuWW@L.org
Fichier Supprimé : C:\Users\Paull\AppData\Roaming\Mozilla\Firefox\Profiles\axqosm0o.default\searchplugins\mystartsearch.xml
          • [ Tâches planifiées ] *****
          • [ Raccourcis ] *****
          • [ Registre ] *****


Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local
          • [ Navigateurs ] *****


-\\ Internet Explorer v11.0.9600.17909


-\\ Mozilla Firefox v39.0 (x86 fr)


AdwCleaner[R0].txt - [1618 octets] - [15/07/2015 22:56:07]
AdwCleaner[S0].txt - [1561 octets] - [15/07/2015 22:56:33]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1621 octets] ##########
0
MWAMWA1966 Messages postés 290 Date d'inscription dimanche 28 janvier 2007 Statut Membre Dernière intervention 16 novembre 2023 18
15 juil. 2015 à 23:06
J'ai fait tout ce que tu m'avais suggéré et a priori, RegRun Reanimator ne trouve plus rien.
J'ai aussi fait un reboot et il n'en est rien sorti.
Je pense que c'est bon. Qu'en penses-tu ?
Je vais quand même garder ces deux applications sous le coude.
On ne sait jamais...

Merci encore pour ces précieux (et efficaces) conseils.
J'espère que tout ira bien..
0
fabul Messages postés 37700 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 24 avril 2024 5 172
Modifié par fabul le 16/07/2015 à 03:50
Je ne crois pas que ton PC soit infecté. , surveille quand même un peu manuellement ce qui se lance au démarrage du PC avec msconfig dans "Démarrage", ou le gestionnaire de démarrage du gestionnaire de tâches (Win8).

Puis tes tâches planifiées, dans la bibliothèque du planificateur de tâches.

Clic droit sur "Ordinateur" -> "Gérer"

Avec RegRun Reanimator, tu peux essayer l'option "Reboot" plutot que "Make scan now".

Il analysera avant l'apparition du bureau au démarrage.

Parfois il peut détecter un peu plus, parfois des faux positifs aussi...
0
MWAMWA1966 Messages postés 290 Date d'inscription dimanche 28 janvier 2007 Statut Membre Dernière intervention 16 novembre 2023 18
24 juil. 2015 à 14:06
Salut et désolé pour le retard à la réponse.
J'ai effectué tous ces tests et en effet : rien à signaler. Tous les processus sont connus.
Merci encore pour ton aide.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
écrire un rapport de travail
asi -
REGINALD -

3 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Accés au cloud
Dadou1968 -
loisou17 -

3 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses