RK failed

[zelaz]

Hello,

First, sorry for my English, I don't use this language each day... (Is it possible to speak french in this forum ?)
(I use this forum for the first time).

I have problems with RogueKiller (RK). Each time I use RK, I have the following message (in French):
In "Processus" :
Statut (Status)        Détection       Id      Nom (Name)   Chemin d'accès (Access)
Tué(e) [TermProc]   Proc.svchost  4232 svchost.exe    C:\Windows\System32\svchost.exe

RK says that is a malware and has to be killed.
But, the same malware is again here if i use RK a second time just after the first one.

Id is always different (4232, 3484, 3580... and so on) and the "Status" is sometimes "Tué(e) [TermThr]".

Today, RK has stopped in Prescan function at "Vérification de services : MpKsl0f2d6165" (80% analysis).
Impossible to stop RK. I have to reboot PC.

Have you some responses to give me ?
Thank you.

Zelaz

[Curson]

Bonjour zelaz,

Bienvenue sur le forum Adlice.

Le français est tout à fait autorisé sur ce forum.
Quelle version de RogueKiller utilises-tu ? Le programme se fige-t-il systématiquement ?

Meilleures salutations.

[zelaz]

Bonjour Curson,
Désolé pour le retard, j'avoue ne pas être venu sur le forum plus tôt à cause de priorités urgentes.
Ravi de savoir que l'on peut s'exprimer ici en français... l'anglais n'est pas mon fort...

Mes problèmes étaient liés à un temps de réponse dégueulasse. J'ai passé tous les programmes de nettoyage possibles, mais rien n'y a fait (CCleaner, Adwcleaner, MalwareBytes et RK). Je les ai passé plusieurs fois en 2 ou 3 semaines et aucun résultat.
Mais RK s'est subitement bloqué à 80% de préscan à "Vérification de services : MpKsl0f2d6165". En cliquant sur la croix rouge, il me dit "Travail en cours de fermeture" et rien ne se passe pendant plusieurs minutes. Obligé de redémarré le PC pour faire disparaître le programme.
Miraculeusement, cela a débloqué la situation. Mes temps de réponse se sont nettement améliorés.
Je ne sais pas si les deux problèmes sont liés. Je ne comprends pas.
Depuis, j'ai un autre problème qui est apparu. De temps en temps (2 fois en 1 mois), mes onglets ouverts de Firefox se figent. Aucune réponse possible. Si par Alt + Tab, j'affiche le Bureau, il est Noir, comme un redémarrage après coupure intempestive. Seules les icônes de la barre des tâches restent affichées. Après quelques instants, le bureau redevient Bleu, mais je suis obligé de couper Firefox. De plus, la case "Avertir lors de la fermeture de plusieurs onglets" de Firefox est systématiquement décochée.

Aujourd'hui, j'ai voulu répondre à ton message.
J'ai relancé RK, installé le 22/02/2015 avec la version du jour. Il s'agissait de la version de l'époque 10.4.1.0.
Une phase d'initialisation s'est aussitôt enclenchée, anormalement assez longue, puis un préscan qui s'est bloqué cette fois-ci à "Vérification de services : MpKsl8a55fe99". Comme le 22/02/2015, impossible d'arrêter RK.

Redémarrage. Chargement de la version actuelle de RK, 10.5.4.0, initialisation assez longue et préscan qui fonctionne correctement. Erreur toujours présente de "Tué(e) [TermProc] Proc.svchost Id svchost.exe" mais, à la différence des autres fois, pas de Chemin d'accès. Aucune autre erreur apparente. Des lignes de Rootkits en vert, 3 lignes de navigateur en vert.

Je ne sais pas si l'écran noir réapparaîtra.

Je ne sais si j'ai bien chargé RK. En bas de l'écran de chargement de RK, il y a 4 lignes :
RK (FossHub) avec "Portable 32 bits", "Portable 64 bits"
RK (Cloud)     avec "Portable 32 bits", "Portable 64 bits", "installer 32/64 bits"
RK (Local)      avec "Portable 32 bits", "Portable 64 bits", "installer 32/64 bits"
RK (Old GUI)  avec "Portable 32 bits", "Portable 64 bits"

J'ai choisi "installer 32/64 bits" de la 3è ligne (RK (Local)). Je pense que c'est ce qu'il fallait faire.

Cela me fait penser : Je suis équipé de Windows 7, 32 bits.
Est-ce normal que lors de l'analyse du registre, RK affiche :
Clé : [X64] suivi de la clé analysée ?

Merci de te pencher sur mon problème.
A bientôt.



 

[Curson]

Bonjour Zelas,

Peux-tu relancer RogueKiller avec l'option -nokill ?
Pour plus d'information, merci de parcourir le tutoriel officiel.

Meilleures salutations.

[zelaz]

Bonjour Curson,

Compliqué de travailler avec RK...

J'ai bien lu le tutoriel, mais beaucoup de choses ont changé et le tutoriel demande à être réactualisé... (vidéo de présentation, anciens fonds d'écran, etc;..) ou alors je n'ai pas chargé une version correcte.

1) Par rapport à ce tuto :
- Onglet "Antirootkit" : Il est possible de désactiver le scan Antirootkit en décochant la case "Antirootkit".
Où est donc cette case ?
- Ligne de commandes (Premium seulement) :
tu me demandes d'exécuter RK avec le paramètre -nokill. J'ai acheté la version Premium, mais il n'existe pas d'endroit où placer ce paramètre.

2) Je me pose des questions sur le logiciel que j'ai chargé. Est-ce le bon ?
Voici la demande de mon dernier message :

Citation :
----------
Je ne sais si j'ai bien chargé RK. En bas de l'écran de chargement de RK, il y a 4 lignes :
RK (FossHub) avec "Portable 32 bits", "Portable 64 bits"
RK (Cloud)     avec "Portable 32 bits", "Portable 64 bits", "installer 32/64 bits"
RK (Local)      avec "Portable 32 bits", "Portable 64 bits", "installer 32/64 bits"
RK (Old GUI)  avec "Portable 32 bits", "Portable 64 bits"

J'ai choisi "installer 32/64 bits" de la 3è ligne (RK (Local)). Je pense que c'est ce qu'il fallait faire.

Cela me fait penser : Je suis équipé de Windows 7, 32 bits.
Est-ce normal que lors de l'analyse du registre, RK affiche :
Clé : [X64] suivi de la clé analysée ?
(Fin de citation)
 
3) Voir le rapport d'erreur envoyé grâce à "Premium" :
- Depuis le dernier message un Rootkit noyau est apparu.
- A signaler, le chemin d'accès du processus : Tué(e) [TermProc] (qui était "C:/Windows/System32/svchost.exe") n'apparaît pas sur la dernière exécution de RK, alors qu'elle se trouvait sur la précédente.
- Comme signalé auparavant "Tué(e) [TermProc]" est remplacé parfois par "Tué(e) [TermThr]" lorsque je lance l'exécution de RK.

4) Je signale que j'ai "Avast" et "McAfee Security" (installé par défaut lorsque j'ai acheté mon PC, mais que j'ai désactivé (peut-être à tort ?) depuis).

Voilà. Que puis-je donc faire pour réparer le (ou les) problèmes ?
Merci encore de ton intervention.

Zelaz

[Curson]

Bonsoir zelaz,

En effet, le tutoriel est un peu dépassé.
Voici ce que tu dois faire pour utiliser l'option nokill:

• Rends-toi dans le dossier contenant RogueKiller.
• Clique droit sur l'exécutable, sélectionne "Envoyer vers Bureau".
• Un raccourci vers le programme a été crée sur ton bureau. Fais un clique droit dessus et sélectionne "Propriétés".
• Onglet Raccourci, ajoute le texte "-nokill" à la fin du champ "Cible". Un exemple de ce que tu devrait obtenir : C:\Program Files\RogueKillerX64.exe -nokill
  

Lance RogueKiller à partir du raccourci. Il ne devrait plus se bloquer.
Poste le rapport obtenu dans ta prochaine réponse.

Meilleures salutations.

[zelaz]

Bonsoir Curson,

Impossible de lancer RK comme tu le dis. Message d'erreur avec la version chargée 32 bits.

1) En laissant le champ Cible comme il est (entouré de "):
"C:\Program Files\RogueKiller\RogueKiller.exe -nokill"

En-tête de message : Problème de raccourci
Message  (C: précédé de ') :
Le nom 'C:\Program Files\RogueKiller\RogueKiller.exe -nokill' précisé dans le champ Cible n'est pas valide. Vérifiez que le chemin d'accès et le nom de fichier sont corrects.

2) En modifiant le champ Cible et entouré de '  :
'C:\Program Files\RogueKiller\RogueKiller.exe -nokill'

En-tête de message : Problème de raccourci
Message  (C: précédé de ") :
Le nom "C:\Program' précisé dans le champ Cible n'est pas valide. Vérifiez que le chemin d'accès et le nom de fichier sont corrects.

3) En modifiant le champ Cible et ôtant les "  :
C:\Program Files\RogueKiller\RogueKiller.exe -nokill

En-tête de message : Problème de raccourci
Message (C: précédé de ') :
Le nom 'C:\Program' précisé dans le champ Cible n'est pas valide. Vérifiez que le chemin d'accès et le nom de fichier sont corrects.

A plus.

[Curson]

Bonsoir zelaz,

Peux-tu essayer en saisissant le texte ci-dessous dans le champ cible :

"C:\Program Files\RogueKiller\RogueKiller.exe" -nokill

Meilleures salutations.

[zelaz]

Bonjour Curson,

1) J'ai modifié Cible comme tu me l'as dit, mais rien ne se passe. Aucun écran ne s'affiche.
2) En faisant Clic droit sur le raccourci, je me suis aperçu que la Cible modifiée, avec -nokill, était conservée.
3) J'ai comparé le raccourci de CCleaner avec celui de RK et je me suis aperçu que dans l'onglet "Détails", le propriétaire de CCleaner était Administrateur, alors que celui de RK était Ordinateur/Utilisateur.
J'ai donc :
- a) Clic droit sur le raccourci.
- b) Renseigné RK avec Cible "C:\Program Files\RogueKiller\RogueKiller.exe" -nokill, sachant que la valeur était mémorisée.
- c) Clic droit sur le raccourci.
- d) Choisi l'option "Exécuter en tant qu'administrateur".

J'ai enfin pu obtenir le rapport voulu que je te joins ci-dessous. La ligne "Tué(e) [TermProc]" a été remplacée par "[NoKill]", mais le chemin d'accès a disparu.
D'autre part dans la colonne "AntiRootkit", la ligne qui désignait un Rootkit noyau a disparu.

Voici le rapport obtenu :
RogueKiller V10.5.7.0 [Mar 22 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarré en  : Mode normal
Utilisateur : Utilisateur [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 03/27/2015  08:41:46
Commutateurs : -nokill

¤¤¤ Processus : 1 ¤¤¤
[Proc.Svchost] svchost.exe(4980) --

• -> [NoKill]

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ST500LM012 HN-M500MBB ATA Device +++++
--- User ---
[MBR] 1c5af5af31010e6fdc8d9707c678ad93
[BSP] d3dda3335043f705982a55fdaf75e094 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 392 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 803250 | Size: 476545 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic USB SD Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive2: Generic USB CF Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive3: Generic USB SM Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive4: Generic USB MS Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_01272015_170336.log - RKreport_DEL_01272015_174106.log - RKreport_DEL_02062015_091811.log - RKreport_DEL_02062015_100704.log
RKreport_DEL_02062015_103842.log - RKreport_DEL_02062015_103854.log - RKreport_DEL_02062015_103859.log - RKreport_DEL_02082015_093245.log
RKreport_DEL_02082015_095022.log - RKreport_DEL_02082015_155009.log - RKreport_DEL_02172015_112730.log - RKreport_DEL_02172015_115307.log
RKreport_DEL_03132015_164154.log - RKreport_DEL_03232015_152243.log - RKreport_DEL_03242015_112750.log - RKreport_DEL_03242015_115656.log
RKreport_DEL_03242015_152542.log - RKreport_SCN_01272015_164907.log - RKreport_SCN_01272015_172035.log - RKreport_SCN_02062015_091616.log
RKreport_SCN_02062015_094310.log - RKreport_SCN_02062015_103812.log - RKreport_SCN_02082015_093215.log - RKreport_SCN_02082015_094942.log
RKreport_SCN_02082015_154951.log - RKreport_SCN_02172015_112657.log - RKreport_SCN_02172015_115247.log - RKreport_SCN_03132015_163942.log
RKreport_SCN_03232015_143619.log - RKreport_SCN_03242015_111959.log - RKreport_SCN_03242015_114822.log - RKreport_SCN_03242015_135948.log

A plus.

[Curson]

Bonsoir Zelas,

On avance.

J'ai enfin pu obtenir le rapport voulu que je te joins ci-dessous. La ligne "Tué(e) [TermProc]" a été remplacée par "[NoKill]", mais le chemin d'accès a disparu.

Peux-tu me dire quel est le chemin complet du processus svchost.exe détecté par RogueKiller ?

Meilleures salutations.

[zelaz]

Bonjour Curson,

Le chemin d'accès détecté par RK est celui indiqué dans mon premier message :
C:\Windows\System32\svchost.exe.

A bientôt.

[Curson]

Bonjour zelas,

Télécharge Farbar Recovery Scan Tool et enregistre-le sur le Bureau.

• Fais un clic droit sur le fichier téléchargé (FRST64.exe) et choissi "Exécuter en tant qu'administrateur". Quand l'outil démarre, clique sur Oui pour accepter les termes de la fenêtre Disclaimer (clause de non-responsabilité).
  
• Clique sur le bouton Scan.
  
• L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
  
• Copie/colle ce rapport dans ta prochaine réponse.
• La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST64.exe. Copie/colle également ce rapport dans ta réponse.
  

Meilleures salutations.

[zelaz]

Bonjour Curson,

J'ai téléchargé Farbar Recovery Scan Tool en suivant ton lien, mais il me charge FRST64.exe qui a planté, car je suis équipé de Windows 7 de 32 bits. J'ai essayé de charger FRST32.exe mais cela n'existe pas. J'ai passé quelques temps chez bleedingcomputer.com pour trouver finalement FRST.exe consacré aux 32 bits. Plus bas, les rapports.

J'ai vu cette semaine un installateur qui a été étonné que j'aie un système Windows 7, 32 bits, alors que cela devrait être 64 bits. Cela m'a fait penser à la question que je t'ai posée : Est-il normal que lors de la vérification des clés de registre, RK affiche : [X64] suivi de la clé ? Lorsque j'ai pris possession de l'ordinateur l'an dernier, l'installateur a-t-il fait une bêtise et m'a installé du 32 bits alors qu'il fallait mettre du 64 bits ? Ce n'est qu'une idée mais toi, qu'en penses-tu ?
Je n'y connais pas grand chose en technique...

Au moment de lancer FRST.exe, j'avais oublié qu'il fallait le lancer en tant qu'administrateur. Cela a quand même fonctionné. Les rapports "Addition" et "FRST" ont bien été générés. Je l'ai relancé ensuite en tant qu'administrateur, au cas où les différences entre les deux modes d'appel sont importantes.
J'envoie tout ça dans des messages différents, car cela dépasse les 20.000 caractères.

(Suite au message suivant)

[zelaz]

Ouaaaaah, j'avais pas vu : "Attachments and other options"...

Ainsi donc :
1) Rapport "Addition"
2) Rapport FRST (en tant qu' Utilisateur)
3) Rapport FRST2 (en tant qu'Administrateur)         

Bon courage pour l'analyse et dis-moi ce qui cloche.
Merci.

[Curson]

Bonjour zelas,

J'ai téléchargé Farbar Recovery Scan Tool en suivant ton lien, mais il me charge FRST64.exe qui a planté, car je suis équipé de Windows 7 de 32 bits. J'ai essayé de charger FRST32.exe mais cela n'existe pas. J'ai passé quelques temps chez bleedingcomputer.com pour trouver finalement FRST.exe consacré aux 32 bits. Plus bas, les rapports.

Toutes mes excuses pour t'avoir donné un lien vers une version 64-bits de FRST.
J'étais persuadé que tu avais un système 64-bits à l'heure à laquelle j'ai posté.

Cela m'a fait penser à la question que je t'ai posée : Est-il normal que lors de la vérification des clés de registre, RK affiche : [X64] suivi de la clé ? Lorsque j'ai pris possession de l'ordinateur l'an dernier, l'installateur a-t-il fait une bêtise et m'a installé du 32 bits alors qu'il fallait mettre du 64 bits ? Ce n'est qu'une idée mais toi, qu'en penses-tu ?

Tant que ces entrées n’apparaissent pas sur le rapport, il n'y a aucun problème.

Après analyse de du rapport de FRST :

Antivirus multiples
Le rapport indique que deux antivirus sont actuellement actifs sur ton système : Avast et Microsoft Security Essential.
L'utilisation de plusieurs antivirus est fortement déconseillée, cela pouvant être source de conflits. Aussi, je te conseille de désinstaller l'un ou l'autre.

Fix FRST
Télécharge le fichier attaché fixlist.txt et enregistre-le sur le Bureau.

NOTE. Il est important que les deux fichiers, FRST et fixlist.txt se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.

NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

Exécute FRST.exe, clique une seule fois sur le bouton Fix et attends.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Une fois terminé, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copie/colle ce rapport dans ta prochaine réponse.

Meilleures salutations.