Interprétation du rapport

[Ivan0609]

Bonjour/bonsoir,

j'ai lu la documentation de RogueKiller mais j'ai encore bien des doutes quant à faire la différence entre faux positifs et réelles menaces. Y a t il un ou des éléments de ce rapport à supprimer ?

Je vous remercie par avance pour toute aide que vous pourrez m'apporter.

[Curson]

Bonsoir Ivan,

Bienvenue sur le forum Adlice.

Ton rapport met en évidence des éléments malveillants.
Merci de suivre la procédure ci-dessous.

Désinstallation logiciels

- Clique sur le menu de démarrage de Windows 7 et rends-toi dans le "Panneau de configuration".
- Lance l'outil "Programmes et fonctionnalités".
- La liste des programmes installés sur ton ordinateur va s'afficher. Désinstalle les logiciels suivants (si présents) :

WTools
Selection Tools
WindApp

Suppression des dossiers

Supprime les dossiers suivants (si présents) :

C:\Users\Jeremy\AppData\Roaming\WTools
C:\Users\Jeremy\AppData\Roaming\Store\WindApp

Note : Il te faudra peut-être au préalable activer l'affichage des fichiers cachés.

Suppression des entrées du registre

Relance RogueKiller et sélectionne les entrées ci-dessous pour suppression :

[Suspicious.Path] \\Selection Tools Update -- C:\Users\Jeremy\AppData\Roaming\WTools\Selection Tools\Selection Tools Update.exe (/T=86400)
[Suspicious.Path] \\WindApp Update -- C:\Users\Jeremy\AppData\Roaming\Store\WindApp\WindApp Update.exe (/T=86400)

Copie/colle le rapport obtenu dans ton prochain message.

Meilleures salutations.

[Ivan0609]

Bonjour, merci pour votre réponse.

Je n'ai aucun programme ou logiciel nommé WindApp, WTools, ou Selection Tools sur mon ordinateur.

De plus les fichiers C:\Users\Jeremy\AppData\Roaming\WTools et C:\Users\Jeremy\AppData\Roaming\Store\WindAp sont introuvables alors que l'affichage des fichiers cachés était déjà activé.

J'ai par contre pu supprimer les 2 tâches via RogueKiller : [Suspicious.Path] \\Selection Tools Update -- C:\Users\Jeremy\AppData\Roaming\WTools\Selection Tools\Selection Tools Update.exe (/T=86400) et [Suspicious.Path] \\WindApp Update -- C:\Users\Jeremy\AppData\Roaming\Store\WindApp\WindApp Update.exe (/T=86400).

Qu'en est-t-il de ces suspicions au niveau du registre, notamment cette adresse ip 10.1.0.1 ?

Je vous remercie par avance.


NB: Rapport après suppression:

RogueKiller V10.6.2.0 (x64) [May  4 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en  : Mode normal
Utilisateur : Jeremy [Administrateur]
Démarré depuis : C:\Users\Jeremy\Downloads\RogueKillerX64.exe
Mode : Scan -- Date : 05/06/2015  17:49:57

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 11 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{91D066BA-0947-4529-8FCE-9563229CAD4D} | DhcpNameServer : 10.1.0.1 [(Private Address) (XX)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{91D066BA-0947-4529-8FCE-9563229CAD4D} | DhcpNameServer : 10.1.0.1 [(Private Address) (XX)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{91D066BA-0947-4529-8FCE-9563229CAD4D} | DhcpNameServer : 10.1.0.1 [(Private Address) (XX)]  -> Trouvé(e)
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0  -> Trouvé(e)
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0  -> Trouvé(e)
[PUM.StartMenu] (X64) HKEY_USERS\S-1-5-21-568953955-2782932766-3859067334-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> Trouvé(e)
[PUM.StartMenu] (X86) HKEY_USERS\S-1-5-21-568953955-2782932766-3859067334-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD7500BPVT-22HXZT1 +++++
--- User ---
[MBR] e07b9701ccccd8b8bccbbc8a2d2ec72e
[BSP] c1989d9e2220bb95d45967435d850cb4 : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 31459328 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 31664128 | Size: 499942 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
3 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 1055545344 | Size: 200000 MB
User = LL1 ... OK

[Curson]

Bonsoir Ivan,

Ton rapport ne montre aucun élément infectieux.

Qu'en est-t-il de ces suspicions au niveau du registre, notamment cette adresse ip 10.1.0.1 ?

Il s'agit simplement de l'adresse IP interne de ton modem/routeur. Toutes les entrées présentes dans ton dernier rapport sont légitimes.

Comment se comporte l'ordinateur à présent ?

Meilleures salutations.

[Ivan0609]

La navigation internet est plus fluide, merci beaucoup pour votre aide.

[Curson]

Bonsoir Ivan,

Au plaisir.
Bonne continuation.