Aide suite à un rapport Rogue KillerFermé

Question

Bonjour,

J'ai un problème mon écran devient noir et je ne peux plus rien faire après.
Par conséquent je suis obligé de l'arreter a la sauvage (je sais ce n'est pas bien mais je ne peux vraiment pas faire autrement !).
Mais il a du mal a se relancer ensuite même en mode sans échec.
Et si jamais il se relance l'écran redevient noir plusieurs fois d'affilé.
J'ai su lancer Rogue Killer et j'ai supprimé après le scan, je vous mets le rapport ci-dessous.
Désolé je suis nulle en informatique donc si vous pouvez me confirmer qu'il n'y a plus de danger. 
Cela serait très sympa de votre part.
Si il y a un problème, pouvez vous m'indiquer ce que je dois faire ?
Je vous en remercie par avance.

RogueKiller V10.0.3.0 [oct 22 2014] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : https://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com
Système d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Démarré en : Mode normal
Utilisateur : Christelle [administrateur]
Mode : Suppression -- Date : 10/25/2014 19:16:18
¤¤¤ Processus : 2 ¤¤¤
[suspicious.path] updater -- C:\Users\SAD\AppData\Roaming\A?dobe\AIR\Updater\Background\up?dater[7] -> Tué(e) [termproc]
[suspicious.path] Adobe AIR Installer.exe -- C:\Users\SAD\AppData\Local\Tem?p\AIR1351.tmp\Adobe AIR Installer.exe[7] -> Tué(e) [termproc]
¤¤¤ Registre : 1 ¤¤¤
[suspicious.path] HKEY_LOCAL_MACHINE\Software\Mi?crosoft\Windows\CurrentVersion?\Run | Skytel : Skytel.exe [7] -> ERROR [0]
¤¤¤ Tâches : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier Hosts : 2 ¤¤¤
[c:\windows\system32\drivers\etc\hosts] 127.0.0.1 localhost
[c:\windows\system32\drivers\etc\hosts] ::1 localhost
¤¤¤ Antirootkit : 44 (Driver: Chargé) ¤¤¤
[ssdt:addr(hook.ssdt)] NtAlertResumeThread[13] : Unknown @ 0x87ba3980
[ssdt:addr(hook.ssdt)] NtAlertThread[14] : Unknown @ 0x874eacf8
[ssdt:addr(hook.ssdt)] NtAllocateVirtualMemory[18] : Unknown @ 0x8752aaf0
[ssdt:addr(hook.ssdt)] NtAlpcConnectPort[21] : Unknown @ 0x870a38c8
[ssdt:addr(hook.ssdt)] NtAssignProcessToJobObject[42] : Unknown @ 0x8752ccf0
[ssdt:addr(hook.ssdt)] NtCreateMutant[67] : Unknown @ 0x875204a8
[ssdt:addr(hook.ssdt)] NtCreateSymbolicLinkObject[77] : Unknown @ 0x87537bf8
[ssdt:addr(hook.ssdt)] NtCreateThread[78] : Unknown @ 0x87417110
[ssdt:addr(hook.ssdt)] NtDebugActiveProcess[116] : Unknown @ 0x87528110
[ssdt:addr(hook.ssdt)] NtDuplicateObject[129] : Unknown @ 0x87527ad0
[ssdt:addr(hook.ssdt)] NtFreeVirtualMemory[147] : Unknown @ 0x87529da0
[ssdt:addr(hook.ssdt)] NtImpersonateAnonymousToken[156] : Unknown @ 0x87b216e8
[ssdt:addr(hook.ssdt)] NtImpersonateThread[158] : Unknown @ 0x874729e0
[ssdt:addr(hook.ssdt)] NtLoadDriver[165] : Unknown @ 0x86fac5b0
[ssdt:addr(hook.ssdt)] NtMapViewOfSection[177] : Unknown @ 0x875234b8
[ssdt:addr(hook.ssdt)] NtOpenEvent[184] : Unknown @ 0x87446110
[ssdt:addr(hook.ssdt)] NtOpenProcess[194] : Unknown @ 0x874fd298
[ssdt:addr(hook.ssdt)] NtOpenProcessToken[195] : Unknown @ 0x87461e60
[ssdt:addr(hook.ssdt)] NtOpenSection[197] : Unknown @ 0x87441b60
[ssdt:addr(hook.ssdt)] NtOpenThread[201] : Unknown @ 0x87528be8
[ssdt:addr(hook.ssdt)] NtProtectVirtualMemory[210] : Unknown @ 0x8751ed60
[ssdt:addr(hook.ssdt)] NtResumeThread[282] : Unknown @ 0x8740e9c0
[ssdt:addr(hook.ssdt)] NtSetContextThread[289] : Unknown @ 0x87ba3d78
[ssdt:addr(hook.ssdt)] NtSetInformationProcess[305] : Unknown @ 0x8752ea80
[ssdt:addr(hook.ssdt)] NtSetSystemInformation[317] : Unknown @ 0x874f2068
[ssdt:addr(hook.ssdt)] NtSuspendProcess[330] : Unknown @ 0x87460110
[ssdt:addr(hook.ssdt)] NtSuspendThread[331] : Unknown @ 0x87449ec8
[ssdt:addr(hook.ssdt)] NtTerminateProcess[334] : Unknown @ 0x874ea250
[ssdt:addr(hook.ssdt)] NtTerminateThread[335] : Unknown @ 0x87a9fec8
[ssdt:addr(hook.ssdt)] NtUnmapViewOfSection[348] : Unknown @ 0x87902da8
[ssdt:addr(hook.ssdt)] NtWriteVirtualMemory[358] : Unknown @ 0x8752cf00
[ssdt:addr(hook.ssdt)] NtCreateThreadEx[382] : Unknown @ 0x874ffc48
[shwssdt:addr(hook.shadow)] NtUserAttachThreadInput[317] : Unknown @ 0x86810b68
[shwssdt:addr(hook.shadow)] NtUserGetAsyncKeyState[397] : Unknown @ 0x8705e490
[shwssdt:addr(hook.shadow)] NtUserGetKeyboardState[428] : Unknown @ 0x8705e3d0
[shwssdt:addr(hook.shadow)] NtUserGetKeyState[430] : Unknown @ 0x86810490
[shwssdt:addr(hook.shadow)] NtUserGetRawInputData[442] : Unknown @ 0x86810550
[shwssdt:addr(hook.shadow)] NtUserMessageCall[479] : Unknown @ 0x86817cd0
[shwssdt:addr(hook.shadow)] NtUserPostMessage[497] : Unknown @ 0x8705e300
[shwssdt:addr(hook.shadow)] NtUserPostThreadMessage[498] : Unknown @ 0x86817da0
[shwssdt:addr(hook.shadow)] NtUserSetWindowsHookEx[573] : Unknown @ 0x86810c28
[shwssdt:addr(hook.shadow)] NtUserSetWinEventHook[576] : Unknown @ 0x86810cf8
[filter(kernel.filter)] \Driver\atapi @ Unknown : \Driver\PxHelp20 @ Unknown (\SystemRoot\system32\drivers\?NIS\1008030.006\SYMEFA.SYS)
[filter(kernel.filter)] \Driver\atapi @ Unknown : \Driver\cdrom @ \Device\CdRom0 (\SystemRoot\system32\DRIVERS\?jmcr.sys)
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ST9250827AS ATA Device +++++
--- User ---
[mbr] 4a9188d437bd35f6d767816b246167?19
[bsp] 041691be517dedd3501f014fa270c9?2d : Acer MBR Code
Partition table:
0 - [xxxxxx] ACER (0x27) [visible] Offset (sectors): 2048 | Size: 13312 MB
1 - [active] NTFS (0x7) [visible] Offset (sectors): 27265024 | Size: 225161 MB
User = LL1 ... OK
User = LL2 ... OK

==============================?==============
RKreport_SCN_10182014_115139.log - RKreport_SCN_10182014_152440.l?og - RKreport_SCN_10232014_194722.l?og - RKreport_SCN_10252014_181132.l?og
RKreport_SCN_10252014_191452.log - RKreport_DEL_10252014_191523.l?og

Malekal_morte- · Answer

Salut,

Pas l'impression que ton problème soit d'ordre viral.

Pour voir :

 
 
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Faire un clic droit sur le lien suivant http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ puis enregistrer le lien sous.
* En haut à gauche, prendre bureau et enregistrer le fichier.
* Double-cliquez sur OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c 
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

TC59 · Answer

Salut,

Tout d'abord, merci ton aide.

Voici le lien pour accéder au rapport OTL.txt (il n'y avait pas d'Extra.txt)
http://pjjoint.malekal.com/files.php?id=OTL_20141102_r7h14u14g8u13

Malekal_morte- · Answer

Ton Norton Internet Security fonctionne et les définitions sont à jour ?
car le PC est infecté par un trojan.


Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu  ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
 [2013/05/11 15:54:46 | 000,148,480 | ---- | C] () -- C:\ProgramData\DisplaySwitch.exe
[2013/04/21 14:16:22 | 000,082,878 | ---- | C] () -- C:\ProgramData\qlvjusjuuussignq 
 O4 - Startup: C:\Users\All Users\DisplaySwitch.exe () 

* poste le rapport ici 


Redémarre l'ordinateur
 

~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Malekal_morte- · Answer

Reçu,

Je pense que ton Norton ne fonctionne plus, vu qu'il le détecte.

SHA256: 	86a9cbf1666a119e88546c7bd087adc979116cf2a05e19c43cfd57398b34a70c
Nom du fichier : 	DisplaySwitch.exe
Ratio de détection : 	39 / 54
Date d'analyse : 	2014-11-02 15:18:02 UTC (il y a 0 minute)

Antivirus 	Résultat 	Mise à jour
AVG 	Win32/DH{eTtQHhaBBVQ} 	20141102
AVware 	Trojan.Win32.Reveton.a (v) 	20141031
Ad-Aware 	Gen:Variant.Kazy.173908 	20141102
Agnitum 	Trojan.DL.Dofoil!l5xUeZb/Slc 	20141101
AhnLab-V3 	Spyware/Win32.Zbot 	20141102
Antiy-AVL 	Trojan[Downloader]/Win32.Dofoil 	20141102
Avast 	Win32:Malware-gen 	20141102
Avira 	TR/Tobfy.S.209 	20141102
Baidu-International 	Trojan.Win32.Dofoil.ATy 	20141031
BitDefender 	Gen:Variant.Kazy.173908 	20141102
CMC 	Packed.Win32.Fareit.2!O 	20141102
Comodo 	TrojWare.Win32.Trojan.Agent.Gen 	20141102
DrWeb 	Trojan.MulDrop5.9865 	20141102
ESET-NOD32 	a variant of Win32/Kryptik.BAUD 	20141102
Emsisoft 	Gen:Variant.Kazy.173908 (B) 	20141102
F-Secure 	Gen:Variant.Kazy.173908 	20141102
Fortinet 	W32/Dofoil.PXZ!tr.dldr 	20141102
GData 	Gen:Variant.Kazy.173908 	20141102
Ikarus 	Trojan.Win32.Tobfy 	20141102
Jiangmin 	TrojanDownloader.Dofoil.cr 	20141101
K7AntiVirus 	Trojan ( 0040f65b1 ) 	20141031
K7GW 	Trojan ( 0040f65b1 ) 	20141031
Kaspersky 	Trojan-Downloader.Win32.Dofoil.pxz 	20141102
Kingsoft 	Win32.TrojDownloader.Dofoil.p.(kcloud) 	20141102
Malwarebytes 	Trojan.Downloader 	20141102
McAfee 	ZeroAccess-FBI!CFC750473857 	20141102
McAfee-GW-Edition 	BehavesLike.Win32.Packed.ct 	20141102
MicroWorld-eScan 	Gen:Variant.Kazy.173908 	20141101
Microsoft 	Ransom:Win32/Tobfy.S 	20141102
NANO-Antivirus 	Trojan.Win32.MulDrop5.cuxabg 	20141102
Norman 	Troj_Generic.LKYTY 	20141102
Qihoo-360 	HEUR/Malware.QVM19.Gen 	20141102
Sophos 	Mal/Zbot-FG 	20141031
Symantec 	Trojan.Zbot 	20141102
Tencent 	Win32.Trojan-Downloader.Dofoil.darv 	20141102
TheHacker 	Trojan/Kryptik.baud 	20141031
TrendMicro 	TROJ_SPNR.16EJ13 	20141102
TrendMicro-HouseCall 	TROJ_SPNR.16EJ13 	20141102
VIPRE 	Trojan.Win32.Reveton.a (v) 	20141102  

~~

Si tu n'as pas acheté Norton, désinstalle le et mets un antivirus gratuit, style Avast!
=> http://www.choisir-antivirus.com/telecharger-antivirus/

(si la désinstallation de Norton ne fonctionne pas, utilise ce programme https://support.norton.com/sp/fr/fr/home/current/solutions/v60392881 ).


Change tous tes mots de passe, ils ont été volés.

TC59 · Answer

J'ai installé avast, mais au 2e essai car mon ordi s'est éteint inopinément pendant la 1ere installation.
La je suis entrain de lancer un scan, je suis seulement à 9% et il m'a trouvé un fichier infecté.
Tu sais depuis quand mon ordi est corrompu ?
Est ce normal que mon écran a des lignes qui apparaissent, comme des mini coupures ?
J'en suis à 19% et 3 fichiers infectés...
D'autres recommandations à me donner pour éviter de nouveau ce problème ?

TC59 · Answer

Désolé de t'embeter encore une nouvelle fois mais ça fait 2 fois que je lance un scan rapide d'avast mais a chaque fois il ne peut aller jusqu'au bout car l'ordi s'éteint tout seul.
Je relance une nouvelle fois avast ?

Merci d'avance.

Aide suite à un rapport Rogue Killer

6 réponses

Discussions similaires

Newsletters