PC infecté par rogue "windows vista recovery"

bonjour, fais roguekiller


1) Télécharger sur le bureau RogueKiller (par Tigzy)
- Quitter tous les programmes en cours
- Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
- Sinon lancer simplement RogueKiller.exe
- Lorsque demandé, taper 2 et valider
- Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
- Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


2)Relance ensuite RogueKiller et passe à l'option 6


Poste moi ces deux rapports ;merci.

le lien roguekiller semble inactif.

hier j'ai tapé 2 puis 6, le problême semblait avoir été résolu, mais ce matin tout a à nouveau disparu...

Que faire?

Salut

Peut tu me faire une capture d'écran de ton dossier utilisateur?

bonjour tigzy , simpa de suivre ton outil !! je vais te suivre pour compremdre le pourquoi des dossier en anglais

C'est pas la première fois que je voit ça. Le rogue à un comportement assez aléatoire selon les versions.

bonjour, ,attends le retour de Tigzy évites d'utiliser ton pc !! la je pense que l'infection a modifier l'atribution de ton dossier en le mettant en cachés mais bon attendons Tigzy , !! mais perso si tu affaiches les fichiers cacher tu devrais le trouver !!

J'ai afficher les fichiers cachés, rien n'a changé.

tu veux dire que même les fichier cachés afficher tu ne trouve pas le dossier "virginie" ??

tu les as bien afficher comme cela :


ouvres le poste de travail " ordinateur " sous vista

sous vista il faut afficher la barre des menus pour cela

pressez la touche ALT du clavier. La barre des menus apparait.

Dans le menu Outils

choisissez Options des dossiers.

Choisissez l'onglet Affichage.

Cochez Afficher les fichiers et dossiers cachés.

Décochez Cachez les fichiers système.

Décochez Cacher les extensions dont le type est connu.

Validez les modifications en cliquant sur OK.

Remarque: La rubrique Options des dossiers est aussi accessible à partir du Panneau de configuration.


tuto source : https://www.micro-astuce.com/Forum/afficher-les-fichiers-caches-t1607.html

Oui, oui, c'est bien ce que j'ai fait. Mais il n'apparait pas dans "documents and settings"...
J'ai suivi exactement le tuto que tu cites ;)

@Astrosoleil, tu t'es surement fait arnaquer. Trojan killer est un rogue

Merci Tigzy de m'aider !
Ok pour renomer les liens.

Cependant comment je fais pour avoir à nouveau mon dossier utilisateurs dans "documents and settings" ? pour accéder aux dossiers où windows me met : "vous ne disposez pas des autorisations requises pour accéder à ces dossiers" ?

Est ce que je fais le scan que Vista me propose au démarrage ?

Mon pc est très lent depuis, une partie du rogue est-il encore là ? Dois-je relancer Roguekiller ?

Merci beaucoup pour votre aide !

Documents and settings n'existe pas sous Vista/Seven, c'est le nom du raccourci.
Il faut utiliser le dossier Utilisateurs

merci pour ces infos j ai sauve mes donnees longue vie a vous

C'est NORMAL. A la base ces raccourcis étaient cachés.

Ok. Si je comprends bien avant je ne les "voyais" pas. Mais maintenant c'est eux qui remplacent mes anciens dossiers. C'est pour ça que mes fichiers se retrouvent dans "Documents" au lieu de "mes documents" (auquel je n'ai pas accès) ?
Si oui, y a t-il un moyen de cacher ces doublons inutiles ? Ou est ce que je peux les regrouper dans un dossier histoire de ne pas me planter à chaque fois que je veux y accèder car maintenant la petite flèche bleue ne s'affiche plus :/

D'après ton outil, j'ai des attributs dans Utilisateurs, c:\ et d:\ qui n'ont pas été restaurés. Que dois-je faire pour les récupérer ?

Merci.

Est ce que tu peux regarder dans Users si tu as un fichier qui s'appelle "Desktop.ini", (affiche les dossiers cachés) , et vérifie que ce fichier est bien en lecture seule et caché. (clic droit, propriété)

Je n'ai pas de fichier desktop.ini dans users :(

J'ai trouvé le soucis.
Il faut remettre un attribut system sur les dossiers qui sont passés en anglais.

Fait ceci:

Démarrer, exécuter, taper: SFC /SCANNOW et valider

OK, mais est ce que les dossiers en anglais sont revenus en français?

non :(

le CMD tu l'as bien lancé en tant qu'administrateur?

oui

Yop, c'est en dessous ;)

Merci pour ta recherche.

Par contre, quand je l'enregistre, ça me l'enregistre en .txt
Et je ne peux donc l'ouvrir en tant qu'admin...

As tu une autre idée stp ?

Il faut l'enregistrer en .bat (comme j'ai dit, clic droit, enregistrer sous)
Ou alors renomme juste l'extension en .bat

tigzy bonjour , je viens de télécharger pour comprendre et quand j'affiche les fichier cacher ton document est donnés comme cela fixLanguage.bat.txt et si les fichiers cachés sont pas afficher tu n'arrives pas à ce qu'il soit en bat , perso une fois les fichiers caché affichés j'ai fais renommer et j'ai supprimer .txt et c'est bon !!
sinon copier le contenu dans un nouveau doculment texte du bloc notes et la enregistrer sous et .bat à la fin

clic droit enregistrer sous (sur le lien) ne marche pas? o_O

si si c'est bon cela marche , mais j'avais cliqué sur le lien et après cliquer sur la page et enregistrer sous !! lol !! mdr

Merci beaucoup Tigzy pour toute l'aide que tu m'as apporté :)

Welcome Gen sur mon "cas" ;)
Voici le log de list'em :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijRzutjev.txt

Par contre, cela n'a pas supprimé les raccourcis, est ce que je les supprime à la main ?

Ça y est j'ai relancé, par contre j'avais oublié de couper mon antivirus et mon pare-feu :-(
J'ai relancé List_Kill'em après qu'il est bloqué.

Voici le rapport, par contre l'icône de windows recory est toujours là et j'ai perdu des icônes dans la zone de notification. Dans les propriétés de la barre des tâches, elles ne s'affichent plus malgré qu'elle soient notées en "afficher". Je n'ai plus que la batterie, le son, et le réseau toutes les autres (antivirus, logiciels...) ont disparu... D'ailleurs ce ne sont plus des icônes mais des dossiers.


¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤

User : Virginie (Administrateurs)
Update on 20/03/2011 by g3n-h@ckm@n ::::: 19.40
Start at: 09:46:57 | 22/05/2011

Intel(R) Core(TM)2 Duo CPU T8300 @ 2.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.17037

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 173,69 Go (18,81 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 186,31 Go (61,24 Go free) [DATAPART1] | NTFS
E:\ -> Disque fixe local | 10 Go (4,04 Go free) [RECOVERY] | NTFS
F:\ -> Disque CD-ROM

Killed : PID 5012 'Firefox.exe'
Killed : PID 5012 'Firefox.exe'
Killed : PID 1664 'explorer.exe'


¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers

Mis en quarantaine : C:\Users\Virginie\AppData\Local\d3d9caps.dat
Mis en quarantaine : C:\Users\Virginie\AppData\Local\GDIPFONTCACHEV1.DAT

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

C:\Windows\System32\Drivers\etc\hosts
127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio -> Start = 3
EapHost -> Start = 2
Wlansvc -> Start = 2
SharedAccess -> Start = 2
windefend -> Start = 2
wuauserv -> Start = 2
wscsvc -> Start = 2

¤¤¤¤¤¤¤¤¤¤ Winlogon

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell = 1 (0x1)
Shell = explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
VMapplet = rundll32 shell32,Control_RunDLL sysdm.cpl
System =
PowerdownAfterShutdown = 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

TDSS | svchost | Internet Explorer:
====================================


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6000 Disk: ST920042 rev.3.AD -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hal.dll iastor.sys
C:\Windows\system32\drivers\iastor.sys Intel Corporation Intel Matrix Storage Manager driver
1 ntkrnlpa!IofCallDriver[0x82027F3B] -> \Device\Harddisk0\DR0[0x855009F0]
3 nt[0x820B07E2] -> ntkrnlpa!IofCallDriver[0x82027F3B] -> \Device\Ide\IAAStorageDevice-0[0x854B3030]
kernel: MBR read successfully
user & kernel MBR OK


Fin du Nettoyage : 10:06:13




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

ok, je le supprime avec le clic droit.

Est ce que c'est terminé ? Il n'est pas possible d'avoir le rapport que tu voulais autrement ?

Dernière question : comment je remet ma corbeille sur le bureau ?

J'avais redémarré mais ça n'avais rien fait.
Je viens de les retrouver en faisant cette manip : https://www.commentcamarche.net/faq/7902-vista-remettre-enlever-la-corbeille-de-vista

Par contre, tu ne m'as pas dit pour le rapport. Y a t-il un autre moyen d'avoir l'info que tu voulais ? Ou est ce que pour toi c'est fini ?

super pour la corbeille :)

non c'est mort mais pas grave

Pourtant je l'ai fais comme les autres. Je viens de tester ça marche pour moi,
Je l'ai refais, voici le nouveau : http://www.cijoint.fr/cjlink.php?file=cj201105/cijjexbQze.jpg