FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

[Résolu] Help désinfection par RogueKiller

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
 Sujet verrouillé
  • Avatar du membre
  • Avatar du membre
Avatar du membre

[Résolu] Help désinfection par RogueKiller

par PereMalo
 jeu. 7 août 2014 19:34 #140958
Image à Tous(tes) les membres de ce forum,

Image Image

Je crois bien avoir posté mon SOS au mauvais endroit : http://www.forum-entraide-informatique.com/spa/PereMalo

Malheureusement à cet endroit il n'est pas possible d'éditer. Si un gentil modo veut bien effacer le post je l'en remercie par avance.   

Je viens de scanner mon PC avec RogueKiller et à priori il doit y avoir des parasites.   

Mes connaissances ne me permettant pas d'agir sans un conseil éclairé je viens vous demander de l'aide.   

Voici le rapport de scan :

RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : Patrice [Droits d'admin]
Mode : Recherche -- Date : 08/07/2014  18:37:27

¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Svchost] svchost.exe -- C:\Windows\System32\svchost.exe[x] - [NoKill]

¤¤¤ Entrées de registre : 5 ¤¤¤
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | EnableLUA : 0  - TROUVÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0  - TROUVÉ
[PUM.StartMenu] HKEY_USERS\S-1-5-21-2239227811-3046317541-3576387357-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0  - TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  - TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  - TROUVÉ

¤¤¤ Tâches planifiées : 1 ¤¤¤
[Suspicious.Path] \\awditSkipUAC -- C:\Users\Patrice\AppData\Roaming\Reincubate\awdit Desktop\awdit-desktop.exe (-AdminRemote awditCommonRemote_A75E09E5-B691-4EDE-BF55-E24988F851E1) - TROUVÉ

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 35 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost
[C:\Windows\System32\drivers\etc\hosts] ::1             localhost
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 tracking.opencandy.com.s3.amazonaws.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 media.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 tracking.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 api.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 installer.betterinstaller.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 installer.filebulldog.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 inno.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 nsis.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.file2desktop.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.goateastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.guttastatdk.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.inskinmedia.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.insta.oibundles2.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.insta.playbryte.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.llogetfastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.montiera.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.msdwnld.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.mypcbackup.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.ppdownload.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.riceateastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.shyapotato.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.solimba.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.tuto4pc.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.appround.biz
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bigspeedpro.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bispd.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.cdndp.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.download.sweetpacks.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.dpdownload.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.visualbee.net

¤¤¤ Antirootkit : 2 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214efc0
[SSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[399] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214db20

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ATA Hitachi HTS54323 SCSI Disk Device +++++
--- User ---
[MBR] 272508600b5a5f9c8d002c82687a6d7c
[BSP] bd476c0f7976b10fdbee2d2a69cfac02 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 305143 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Seagate Expansion Desk USB Device +++++
--- User ---
[MBR] 18d9a3d648f0209196f45ac2b9ec815c
[BSP] 1bb3fe2f6d67581294101561f99e9bf1 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 953867 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_06102014_121647.log - RKreport_SCN_06092014_215754.log

  de m'indiquer ce que je dois supprimer.
Cordialement,
Patrice.
Avatar du membre

Help désinfection par RogueKiller

par PereMalo
 jeu. 7 août 2014 20:37 #140970
Bonsoir Gabriel,

Merci pour le nettoyage de mes messages.

Voici le rapport de Suppression :
RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : Patrice [Droits d'admin]
Mode : Suppression -- Date : 08/07/2014 20:29:11

¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Svchost] svchost.exe -- C:\Windows\System32\svchost.exe[x] - [NoKill]

¤¤¤ Entrées de registre : 5 ¤¤¤
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | EnableLUA : 0 - REMPLACÉ (1)
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 - REMPLACÉ (2)
[PUM.StartMenu] HKEY_USERS\S-1-5-21-2239227811-3046317541-3576387357-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0 - REMPLACÉ (1)
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 - REMPLACÉ (0)

¤¤¤ Tâches planifiées : 1 ¤¤¤
[Suspicious.Path] \\awditSkipUAC -- C:\Users\Patrice\AppData\Roaming\Reincubate\awdit Desktop\awdit-desktop.exe (-AdminRemote awditCommonRemote_A75E09E5-B691-4EDE-BF55-E24988F851E1) - SUPPRIMÉ

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 35 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\Windows\System32\drivers\etc\hosts] ::1 localhost
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 tracking.opencandy.com.s3.amazonaws.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 media.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 tracking.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 api.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 installer.betterinstaller.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 installer.filebulldog.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 inno.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 nsis.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.file2desktop.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.goateastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.guttastatdk.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.inskinmedia.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.insta.oibundles2.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.insta.playbryte.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.llogetfastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.montiera.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.msdwnld.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.mypcbackup.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.ppdownload.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.riceateastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.shyapotato.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.solimba.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.tuto4pc.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.appround.biz
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bigspeedpro.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bispd.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.cdndp.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.download.sweetpacks.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.dpdownload.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.visualbee.net

¤¤¤ Antirootkit : 2 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214efc0
[SSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[399] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214db20

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ATA Hitachi HTS54323 SCSI Disk Device +++++
--- User ---
[MBR] 272508600b5a5f9c8d002c82687a6d7c
[BSP] bd476c0f7976b10fdbee2d2a69cfac02 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 305143 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Seagate Expansion Desk USB Device +++++
--- User ---
[MBR] 18d9a3d648f0209196f45ac2b9ec815c
[BSP] 1bb3fe2f6d67581294101561f99e9bf1 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 953867 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_06102014_121647.log - RKreport_SCN_06092014_215754.log - RKreport_SCN_08072014_183727.log

Cordialement,
Patrice.
Avatar du membre

Help désinfection par RogueKiller

par PereMalo
 ven. 8 août 2014 10:26 #141003
Image Gabriel,

Effectivement je n'avais pas vu le bouton "RAZ"

Voici le rapport de Scan :

RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : Patrice [Droits d'admin]
Mode : Recherche -- Date : 08/08/2014  01:09:04

¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Svchost] svchost.exe -- [x] - TUÉ [TermThr]

¤¤¤ Entrées de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 4 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214efc0
[SSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[399] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214db20
[EAT:Addr] (explorer.exe) MFC90FRA.DLL - TBCanUnloadNow : C:\Program Files\EaseUS\Todo Backup\bin\ExImage.dll @ 0x6b741870
[EAT:Addr] (explorer.exe) MFC90FRA.DLL - TBCreateObject : C:\Program Files\EaseUS\Todo Backup\bin\ExImage.dll @ 0x6b741880

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ATA Hitachi HTS54323 SCSI Disk Device +++++
--- User ---
[MBR] 272508600b5a5f9c8d002c82687a6d7c
[BSP] bd476c0f7976b10fdbee2d2a69cfac02 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 305143 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Seagate Expansion Desk USB Device +++++
--- User ---
[MBR] 18d9a3d648f0209196f45ac2b9ec815c
[BSP] 1bb3fe2f6d67581294101561f99e9bf1 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 953867 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_06102014_121647.log - RKreport_DEL_08072014_202911.log - RKreport_SCN_06092014_215754.log - RKreport_SCN_08072014_183727.log

Qu'est ce que c'est "RapportCerberus" ?

Cotdialement,
Patrice.
Avatar du membre

Help désinfection par RogueKiller

par PereMalo
 ven. 8 août 2014 16:42 #141041
Merci Gabriel, mon PC est clean maintenant ?
Cordialement,
Patrice.
Avatar du membre

Help désinfection par RogueKiller

par PereMalo
 dim. 10 août 2014 10:49 #141266
Image Gabriel,

Merci pour ta proposition mais vu que j'ai un problème avec le Pare-Feu de Windows qui ne peut pas être réactivé je vais tout réinstaller.

Image pour ton aide.

Cordialement,
Patrice.
 Sujet verrouillé
 Retourner vers « Désinfection »
Refonte d’un petit site vitrine : avis sur les options simples pour un indépendant ?

Bonjour, Un site WordPress serait probablement le[…]

FLTL_READ_MORE
Besoin de conseils pour mieux gérer mes projets perso et pros avec des outils numériques

Hello JulienInfo, Je suis passé par la m&ec[…]

FLTL_READ_MORE
Des conseils pour intégrer un chatbot sur mon site e-commerce?

Salut à tous super interessants à li[…]

FLTL_READ_MORE
Accès appareils sur réseau domestique

Bonjour, On a une livebox fibre Orange et divers a[…]

FLTL_READ_MORE
FLTL_VIEW_MORE_TOPICS