Sujet Précédent Sujet Suivant

Win 7 Home security nouvelle génération ?

Fermé
Mustang13 Messages postés 9 Date d'inscription lundi 6 juin 2011 Statut Membre Dernière intervention 7 juin 2011 - 7 juin 2011 à 02:29
 Utilisateur anonyme - 7 juin 2011 à 17:54
Bonsoir

Comme le titre le laisse supposé mon pc a été infecté par ce rogue, mais il à l'air diférent de ce que j'ai pu lire sur pleins de sujet le concernant.

Internet bloqué... un pseudo scan au démarage qui trouve des trojans en veux tu en voila... des alertes de sécurité pour tout est n'importe quoi, seulement je peux toujours lancer des exe (heuresement pour moi), d'ailleurs je trouve ça bisard d'après ce que j'ai lu il bloque les exe.

Seulement internet bloqué je ne peux pas télécharger un prog pour virer ce rogue... une clé usb ? oui mais non... en ouvrant la clé j'ai trouvé des dossiers du style "Documment" "Musiques" Vidéos" etc et biensur je ni ai pas trouvé le prog qui aurai pu m'aider :s et que j'avais placé dessus juste avant (depuis mon pc portable).

Mode sans échec ? le rogue s'est qd mm lancé..., internet tjrs bloqué et ma clé affiché toujours s'est dossiers là.

À cour de solution je me résigner à ré-instaler mon pc, et là mets venu une idée qui ma probablement sauvé la mise, sur mon pc j'ai Jdownloader, j'ai donc retapé à la main l'url du téléchargement de "RogueKiller" (trouvé sur le site officiel) et mircale ça la téléchargé, je l'ai lancé et aucun problème, il a toruvé les fichiers qui n'avaient rien à faire là et les entrées de registres touchés.

Il a créer plusieurs RKreport, il a fallut plusieurs fois pour tout enlever...
Je colle ci-dessous les RKreports dans l'ordre chronologique.

Je voulais avec ce sujet, avant tout demander à ceux qui si connaissent plus que moi si pour vous je doit encore faire quelque chose et si tout est rentré dans l'ordre (j'ai denouveau accès à internet, plus de scan bidon), mais aussi faire part de ce problème, si je n'avais pas eu jdownloader, quels auraient été vos conseils ? vos solutions ? le cas pourrai ce reproduire pour d'autres !!!

RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Thibaud [Droits d'admin]
Mode: Recherche -- Date : 06/06/2011 22:40:50

Processus malicieux: 3
[SUSP PATH] wee.exe -- c:\users\thibaud\appdata\local\wee.exe -> KILLED
[SUSP PATH] qgxev.exe -- c:\users\thibaud\qgxev.exe -> KILLED
[SUSP PATH] wee.exe -- c:\users\thibaud\appdata\local\wee.exe -> KILLED

Entrees de registre: 9
[SUSP PATH] HKCU\[...]\Run : qgxev (C:\Users\Thibaud\qgxev.exe /V) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3691649121-3195899345-4112932984-1000[...]\Run : qgxev (C:\Users\Thibaud\qgxev.exe /V) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...]exefile\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") -> FOUND

Fichier HOSTS:


Termine : << RKreport[1].txt >>
RKreport[1].txt

----------------------------------------------------------------------
Mode: Suppression -- Date : 06/06/2011 22:44:27

Processus malicieux: 0

Entrees de registre: 6
[SUSP PATH] HKCU\[...]\Run : qgxev (C:\Users\Thibaud\qgxev.exe /V) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Thibaud\AppData\Local\wee.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files (x86)\internet explorer\iexplore.exe")

Fichier HOSTS:


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

----------------------------------------------------------------------------

Mode: Suppression -- Date : 06/06/2011 22:44:57

Processus malicieux: 0

Entrees de registre: 0

Fichier HOSTS:


Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

---------------------------------------------------------
A voir également:

17 réponses

Réponse 1 / 17
Utilisateur anonyme
7 juin 2011 à 02:33
salut as-tu perdu des documents ?

si oui fais l option 6
0
Réponse 2 / 17
Mustang13 Messages postés 9 Date d'inscription lundi 6 juin 2011 Statut Membre Dernière intervention 7 juin 2011
7 juin 2011 à 03:31
Bonsoir,

Je n'ai pas l'impression d'avoir perdu quoi que ce soit !
0
Réponse 3 / 17
Utilisateur anonyme
7 juin 2011 à 03:38
dans ton menu demarrer ?
0
Réponse 4 / 17
Mustang13 Messages postés 9 Date d'inscription lundi 6 juin 2011 Statut Membre Dernière intervention 7 juin 2011
7 juin 2011 à 05:20
Oui je ne vois rien d'inhabituel, à quoi pense-tu ? qu'es qui pourrai manquer ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
Utilisateur anonyme
7 juin 2011 à 10:49
re

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
Réponse 6 / 17
Mustang13 Messages postés 9 Date d'inscription lundi 6 juin 2011 Statut Membre Dernière intervention 7 juin 2011
7 juin 2011 à 13:42
J'avais fait la vérification dans IE pour les proxy et même pendant que le rogue était installé il n'y avait pas de proxy ouvert, (sans doute grasse à seven qui bloquait un programme nommé "12022111.exe" (je ne me souviens plus des chiffres exactement) et biensur je mettais non, pareil à l'ouverture d'IE pour une page web.

Et je n'est pas de perte de débit, (toujours le même ping dans les jeux en ligne)

Et à ce que j'ai lu Pre_Scan sert à "retablir la clé HKCR\exefile\shell\open\command " qui à ce que je vois dans les RKreport est "Replaced" ce qui ma l'air impecceable , non ? de plus tout mes programmes fonctionnes, tout est en place (Si je n'avais pas eu en plein milieu de mon écran un scan bidon et internet bloqué, j'aurai très bien pu ne pas voir qu'il était là...)

PS: dans mon premier message je précise déjà que tout mes programmes fonctionne correctement !!!

Je te remercie pour l'intérêt que tu porte en répondant à ce post, mais même si je ne suis pas très callé en informatique, je ne suis pas non plus un novice et j'aime comprendre pourquoi je doit faire une chose ou une autre....
J'ai fait ce que tu a dit, il se fige sur "User" et y reste 10 mins sans avoir le moindre signe de faire quelque chose ><
0
Réponse 7 / 17
Utilisateur anonyme
7 juin 2011 à 14:22
ouaip il y a un souci avec attrib.exe dans le system32 apparement

est-il présent ?
0
Réponse 8 / 17
Mustang13 Messages postés 9 Date d'inscription lundi 6 juin 2011 Statut Membre Dernière intervention 7 juin 2011
7 juin 2011 à 14:41
oui il est présent, pour rappel c'est un 64 bit que j'ai (je ne sais pas si ça peut poser problème pour ce Pre_scan, mais je le rappel tout mes programmes fonctionne... toute mes données sont présentes également !
0
Réponse 9 / 17
Utilisateur anonyme
7 juin 2011 à 14:45
ok poste C:\PRe_scan.txt que je voie
0
Réponse 10 / 17
Mustang13 Messages postés 9 Date d'inscription lundi 6 juin 2011 Statut Membre Dernière intervention 7 juin 2011
7 juin 2011 à 15:01
voila le lien http://www.cijoint.fr/cjlink.php?file=cj201106/cijjlhXH7x.txt
0
Réponse 11 / 17
Utilisateur anonyme
7 juin 2011 à 15:10
ok la sandbox d'avast est-elle desactivée ?
0
Réponse 12 / 17
Mustang13 Messages postés 9 Date d'inscription lundi 6 juin 2011 Statut Membre Dernière intervention 7 juin 2011
7 juin 2011 à 15:59
oui elle était activé, je viens de voir ça, j'ai relancé Pre-scan mais toujours le même blocage
0
Réponse 13 / 17
Utilisateur anonyme
7 juin 2011 à 16:42
retelcharge-le ? pas normal ca !!
0
Réponse 14 / 17
Mustang13 Messages postés 9 Date d'inscription lundi 6 juin 2011 Statut Membre Dernière intervention 7 juin 2011
7 juin 2011 à 16:56
j'ai retéléchargé, toujours ce bug !!! Mais je ne crois pas avoir de proxy... débit identique à avant, pas de ralentissement système, pas de mémoire boufé
0
Réponse 15 / 17
Utilisateur anonyme
7 juin 2011 à 17:18
il y un souci c'est pas normal

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
Réponse 16 / 17
Mustang13 Messages postés 9 Date d'inscription lundi 6 juin 2011 Statut Membre Dernière intervention 7 juin 2011
7 juin 2011 à 17:44
Si tu pouvais prendre deux secondes de plus pour répondre à ce que je dit à part la réponse à ta question ça serai sympa ^^,

voila les liens:

- OTL.txt:
http://www.cijoint.fr/cjlink.php?file=cj201106/cijwGSsAB3.txt

Extras.txt:
http://www.cijoint.fr/cjlink.php?file=cj201106/cijpm9YUHc.txt
0
Réponse 17 / 17
Utilisateur anonyme
7 juin 2011 à 17:54
à cette question ?

Et à ce que j'ai lu Pre_Scan sert à "retablir la clé HKCR\exefile\shell\open\command "

ben s'il n'etait fait que pour ca je me contenterais de roguekiller
0

Discussions similaires

Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
[PIX] Commencer chaque poème sur une nouvelle page
ETHAN -
Willzac -

19 réponses
Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Security boot fail lors du démarrage
Steu -
NBK -

4 réponses
Touche "home" sur pc portable.
Mario70 -
Bezulon -

25 réponses