Forum d'Entraide Informatique (FEI)

à Tous(tes) les membres de ce forum,



Je crois bien avoir posté mon SOS au mauvais endroit : http://www.forum-entraide-informatique.com/spa/PereMalo

Malheureusement à cet endroit il n'est pas possible d'éditer. Si un gentil modo veut bien effacer le post je l'en remercie par avance.   

Je viens de scanner mon PC avec RogueKiller et à priori il doit y avoir des parasites.   

Mes connaissances ne me permettant pas d'agir sans un conseil éclairé je viens vous demander de l'aide.   

Voici le rapport de scan :

RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : Patrice [Droits d'admin]
Mode : Recherche -- Date : 08/07/2014  18:37:27

¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Svchost] svchost.exe -- C:\Windows\System32\svchost.exe[x] - [NoKill]

¤¤¤ Entrées de registre : 5 ¤¤¤
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | EnableLUA : 0  - TROUVÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0  - TROUVÉ
[PUM.StartMenu] HKEY_USERS\S-1-5-21-2239227811-3046317541-3576387357-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0  - TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  - TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  - TROUVÉ

¤¤¤ Tâches planifiées : 1 ¤¤¤
[Suspicious.Path] \\awditSkipUAC -- C:\Users\Patrice\AppData\Roaming\Reincubate\awdit Desktop\awdit-desktop.exe (-AdminRemote awditCommonRemote_A75E09E5-B691-4EDE-BF55-E24988F851E1) - TROUVÉ

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 35 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost
[C:\Windows\System32\drivers\etc\hosts] ::1             localhost
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 tracking.opencandy.com.s3.amazonaws.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 media.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 tracking.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 api.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 installer.betterinstaller.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 installer.filebulldog.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 inno.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 nsis.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.file2desktop.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.goateastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.guttastatdk.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.inskinmedia.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.insta.oibundles2.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.insta.playbryte.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.llogetfastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.montiera.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.msdwnld.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.mypcbackup.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.ppdownload.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.riceateastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.shyapotato.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.solimba.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.tuto4pc.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.appround.biz
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bigspeedpro.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bispd.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.cdndp.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.download.sweetpacks.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.dpdownload.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.visualbee.net

¤¤¤ Antirootkit : 2 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214efc0
[SSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[399] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214db20

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ATA Hitachi HTS54323 SCSI Disk Device +++++
--- User ---
[MBR] 272508600b5a5f9c8d002c82687a6d7c
[BSP] bd476c0f7976b10fdbee2d2a69cfac02 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 305143 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Seagate Expansion Desk USB Device +++++
--- User ---
[MBR] 18d9a3d648f0209196f45ac2b9ec815c
[BSP] 1bb3fe2f6d67581294101561f99e9bf1 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 953867 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_06102014_121647.log - RKreport_SCN_06092014_215754.log

  de m'indiquer ce que je dois supprimer.
Cordialement,
Patrice.

Bonsoir,

J'ai supprimé les messages sur le tutoriel.

Passe RogueKiller en Suppression et poste le rapport STP.

Gabriel.

Bonsoir Gabriel,

Merci pour le nettoyage de mes messages.

Voici le rapport de Suppression :
RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : Patrice [Droits d'admin]
Mode : Suppression -- Date : 08/07/2014 20:29:11

¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Svchost] svchost.exe -- C:\Windows\System32\svchost.exe[x] - [NoKill]

¤¤¤ Entrées de registre : 5 ¤¤¤
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | EnableLUA : 0 - REMPLACÉ (1)
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 - REMPLACÉ (2)
[PUM.StartMenu] HKEY_USERS\S-1-5-21-2239227811-3046317541-3576387357-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0 - REMPLACÉ (1)
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 - REMPLACÉ (0)

¤¤¤ Tâches planifiées : 1 ¤¤¤
[Suspicious.Path] \\awditSkipUAC -- C:\Users\Patrice\AppData\Roaming\Reincubate\awdit Desktop\awdit-desktop.exe (-AdminRemote awditCommonRemote_A75E09E5-B691-4EDE-BF55-E24988F851E1) - SUPPRIMÉ

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 35 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\Windows\System32\drivers\etc\hosts] ::1 localhost
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 tracking.opencandy.com.s3.amazonaws.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 media.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 tracking.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 api.opencandy.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 installer.betterinstaller.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 installer.filebulldog.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 inno.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 nsis.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.file2desktop.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.goateastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.guttastatdk.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.inskinmedia.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.insta.oibundles2.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.insta.playbryte.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.llogetfastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.montiera.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.msdwnld.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.mypcbackup.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.ppdownload.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.riceateastcach.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.shyapotato.us
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.solimba.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.tuto4pc.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.appround.biz
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bigspeedpro.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bispd.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.bisrv.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.cdndp.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.download.sweetpacks.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.dpdownload.com
[C:\Windows\System32\drivers\etc\hosts] 0.0.0.0 cdn.visualbee.net

¤¤¤ Antirootkit : 2 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214efc0
[SSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[399] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214db20

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ATA Hitachi HTS54323 SCSI Disk Device +++++
--- User ---
[MBR] 272508600b5a5f9c8d002c82687a6d7c
[BSP] bd476c0f7976b10fdbee2d2a69cfac02 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 305143 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Seagate Expansion Desk USB Device +++++
--- User ---
[MBR] 18d9a3d648f0209196f45ac2b9ec815c
[BSP] 1bb3fe2f6d67581294101561f99e9bf1 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 953867 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_06102014_121647.log - RKreport_SCN_06092014_215754.log - RKreport_SCN_08072014_183727.log

Cordialement,
Patrice.

Re,

Fais un nouveau Scan avec RogueKiller STP, je crois que le fichier host n'a pas été réinitialisé.

Gabriel.

Gabriel,

Effectivement je n'avais pas vu le bouton "RAZ"

Voici le rapport de Scan :

RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : Patrice [Droits d'admin]
Mode : Recherche -- Date : 08/08/2014  01:09:04

¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Svchost] svchost.exe -- [x] - TUÉ [TermThr]

¤¤¤ Entrées de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 4 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214efc0
[SSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[399] : C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_69875.sys @ 0x9214db20
[EAT:Addr] (explorer.exe) MFC90FRA.DLL - TBCanUnloadNow : C:\Program Files\EaseUS\Todo Backup\bin\ExImage.dll @ 0x6b741870
[EAT:Addr] (explorer.exe) MFC90FRA.DLL - TBCreateObject : C:\Program Files\EaseUS\Todo Backup\bin\ExImage.dll @ 0x6b741880

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ATA Hitachi HTS54323 SCSI Disk Device +++++
--- User ---
[MBR] 272508600b5a5f9c8d002c82687a6d7c
[BSP] bd476c0f7976b10fdbee2d2a69cfac02 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 305143 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Seagate Expansion Desk USB Device +++++
--- User ---
[MBR] 18d9a3d648f0209196f45ac2b9ec815c
[BSP] 1bb3fe2f6d67581294101561f99e9bf1 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 953867 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_06102014_121647.log - RKreport_DEL_08072014_202911.log - RKreport_SCN_06092014_215754.log - RKreport_SCN_08072014_183727.log

Qu'est ce que c'est "RapportCerberus" ?

Cotdialement,
Patrice.

Bonjour,

Bien.

Qu'est ce que c'est "RapportCerberus" ?
Ça semble correspondre au logiciel Trusteer.

Gabriel.

Merci Gabriel, mon PC est clean maintenant ?
Cordialement,
Patrice.

Re,

On peut vérifier plus en profondeur si tu veux.

Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

Gabriel,

Merci pour ta proposition mais vu que j'ai un problème avec le Pare-Feu de Windows qui ne peut pas être réactivé je vais tout réinstaller.

pour ton aide.

Cordialement,
Patrice.

Bonjour,

À mon avis on aurait pu résoudre ça aussi, mais comme tu veux.

Je clos le sujet.

Bonne continuation et à bientôt,

Gabriel.