Adlice forum
Software feedback => RogueKiller => Topic started by: Ivan0609 on May 02, 2015, 10:58:24 PM
-
Bonjour/bonsoir,
j'ai lu la documentation de RogueKiller mais j'ai encore bien des doutes quant à faire la différence entre faux positifs et réelles menaces. Y a t il un ou des éléments de ce rapport à supprimer ?
Je vous remercie par avance pour toute aide que vous pourrez m'apporter.
-
Bonsoir Ivan,
Bienvenue sur le forum Adlice.
Ton rapport met en évidence des éléments malveillants.
Merci de suivre la procédure ci-dessous.
Désinstallation logiciels
- Clique sur le menu de démarrage de Windows 7 et rends-toi dans le "Panneau de configuration".
- Lance l'outil "Programmes et fonctionnalités".
- La liste des programmes installés sur ton ordinateur va s'afficher. Désinstalle les logiciels suivants (si présents) :
WTools
Selection Tools
WindApp
Suppression des dossiers
Supprime les dossiers suivants (si présents) :
C:\Users\Jeremy\AppData\Roaming\WTools
C:\Users\Jeremy\AppData\Roaming\Store\WindApp
Note : Il te faudra peut-être au préalable activer l'affichage des fichiers cachés (http://windows.microsoft.com/fr-ch/windows/show-hidden-files#show-hidden-files=windows-7).
Suppression des entrées du registre
Relance RogueKiller et sélectionne les entrées ci-dessous pour suppression :
[Suspicious.Path] \\Selection Tools Update -- C:\Users\Jeremy\AppData\Roaming\WTools\Selection Tools\Selection Tools Update.exe (/T=86400)
[Suspicious.Path] \\WindApp Update -- C:\Users\Jeremy\AppData\Roaming\Store\WindApp\WindApp Update.exe (/T=86400)
Copie/colle le rapport obtenu dans ton prochain message.
Meilleures salutations.
-
Bonjour, merci pour votre réponse.
Je n'ai aucun programme ou logiciel nommé WindApp, WTools, ou Selection Tools sur mon ordinateur.
De plus les fichiers C:\Users\Jeremy\AppData\Roaming\WTools et C:\Users\Jeremy\AppData\Roaming\Store\WindAp sont introuvables alors que l'affichage des fichiers cachés était déjà activé.
J'ai par contre pu supprimer les 2 tâches via RogueKiller : [Suspicious.Path] \\Selection Tools Update -- C:\Users\Jeremy\AppData\Roaming\WTools\Selection Tools\Selection Tools Update.exe (/T=86400) et [Suspicious.Path] \\WindApp Update -- C:\Users\Jeremy\AppData\Roaming\Store\WindApp\WindApp Update.exe (/T=86400).
Qu'en est-t-il de ces suspicions au niveau du registre, notamment cette adresse ip 10.1.0.1 ?
Je vous remercie par avance.
NB: Rapport après suppression:
RogueKiller V10.6.2.0 (x64) [May 4 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal
Utilisateur : Jeremy [Administrateur]
Démarré depuis : C:\Users\Jeremy\Downloads\RogueKillerX64.exe
Mode : Scan -- Date : 05/06/2015 17:49:57
¤¤¤ Processus : 0 ¤¤¤
¤¤¤ Registre : 11 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{91D066BA-0947-4529-8FCE-9563229CAD4D} | DhcpNameServer : 10.1.0.1 [(Private Address) (XX)] -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{91D066BA-0947-4529-8FCE-9563229CAD4D} | DhcpNameServer : 10.1.0.1 [(Private Address) (XX)] -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{91D066BA-0947-4529-8FCE-9563229CAD4D} | DhcpNameServer : 10.1.0.1 [(Private Address) (XX)] -> Trouvé(e)
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 -> Trouvé(e)
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 -> Trouvé(e)
[PUM.StartMenu] (X64) HKEY_USERS\S-1-5-21-568953955-2782932766-3859067334-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0 -> Trouvé(e)
[PUM.StartMenu] (X86) HKEY_USERS\S-1-5-21-568953955-2782932766-3859067334-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)
¤¤¤ Tâches : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier Hosts : 0 ¤¤¤
¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD7500BPVT-22HXZT1 +++++
--- User ---
[MBR] e07b9701ccccd8b8bccbbc8a2d2ec72e
[BSP] c1989d9e2220bb95d45967435d850cb4 : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 31459328 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 31664128 | Size: 499942 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
3 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 1055545344 | Size: 200000 MB
User = LL1 ... OK
-
Bonsoir Ivan,
Ton rapport ne montre aucun élément infectieux.
Qu'en est-t-il de ces suspicions au niveau du registre, notamment cette adresse ip 10.1.0.1 ?
Il s'agit simplement de l'adresse IP interne de ton modem/routeur. Toutes les entrées présentes dans ton dernier rapport sont légitimes.
Comment se comporte l'ordinateur à présent ?
Meilleures salutations.
-
La navigation internet est plus fluide, merci beaucoup pour votre aide.
-
Bonsoir Ivan,
Au plaisir.
Bonne continuation.