Author Topic: Aide pour l'analyse d'un rapport de RogueKiller  (Read 9946 times)

0 Members and 1 Guest are viewing this topic.

May 13, 2015, 10:11:52 PM

Tigereyes

  • Newbie

  • Offline
  • *

  • 4
  • Reputation:
    0
    • View Profile
Aide pour l'analyse d'un rapport de RogueKiller
« on: May 13, 2015, 10:11:52 PM »
Bonsoir ( ou bonjour) ^^,

Un membre de ma famille subissant apparemment l'attaque d'un ransomware sur sa session ( je précise qu'il s'agit d'un pc familial, sous Windows 8.1 et que les autres sessions ne sont pas atteintes jusqu'ici), j'ai suivi les conseils du site http://stopransomware.fr/nettoyer-son-ordinateur/ en téléchargeant RogueKiller et en réalisant le scan en mode sans échec.

Malheureusement, j'avoue ne pas m'y connaître plus que ça en analyse de rapport de scan, je n'ai donc pas osé supprimer tout ce que RogueKiller avait détecté, de peur de faire une bêtise ^^'...
Pourriez-vous m'aider à analyser ce rapport svp ?  :)

Voici le rapport en question :

RogueKiller V10.6.3.0 (x64) [May 11 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9600 ) 64 bits version
Démarré en  : Mode sans échec prise en charge réseau
Utilisateur : Léonard [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 05/13/2015  21:39:12

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 18 ¤¤¤
[Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | WebCheck : {E6FB5E20-DE35-11CF-9C87-00AA005127ED}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | WebCheck : {E6FB5E20-DE35-11CF-9C87-00AA005127ED}  -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1 | (default) : {F241C880-6982-4CE5-8CF7-7085BA96DA5A}  -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2 | (default) : {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}  -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3 | (default) : {BBACC218-34EA-4666-9D7A-C78F2274A524}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1 | (default) : {F241C880-6982-4CE5-8CF7-7085BA96DA5A}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2 | (default) : {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3 | (default) : {BBACC218-34EA-4666-9D7A-C78F2274A524}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9} -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} :   -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} : avast! Online Security  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 109.88.203.3 62.197.111.140 [-][BELGIUM (BE)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 109.88.203.3 62.197.111.140 [-][BELGIUM (BE)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4A87A4EF-0454-4166-B863-A23375313025} | DhcpNameServer : 109.88.203.3 62.197.111.140 [-][BELGIUM (BE)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4A87A4EF-0454-4166-B863-A23375313025} | DhcpNameServer : 109.88.203.3 62.197.111.140 [-][BELGIUM (BE)]  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Non chargé [0xc000035f]) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ST1000DM003-1CH162 +++++
--- User ---
[MBR] 5a20e89176e29685f36f69fb9a306628
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [MAN-MOUNT] Basic data partition | Offset (sectors): 2048 | Size: 499 MB
1 - [MAN-MOUNT] EFI system partition | Offset (sectors): 1024000 | Size: 100 MB
2 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 1228800 | Size: 128 MB
3 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 1490944 | Size: 1024 MB
4 - Basic data partition | Offset (sectors): 3588096 | Size: 890676 MB
5 - Basic data partition | Offset (sectors): 1827692544 | Size: 61441 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic- Multi-Card USB Device +++++

Merci d'avance ^^

Edit : j'espère ne pas m'être trompée de section, si c'est le cas j'en suis désolée ><'
« Last Edit: May 13, 2015, 10:22:17 PM by Tigereyes »

Reply #1May 15, 2015, 03:55:22 PM

Curson

  • Global Moderator
  • Hero Member

  • Offline
  • *****

  • 2809
  • Reputation:
    100
    • View Profile
Re: Aide pour l'analyse d'un rapport de RogueKiller
« Reply #1 on: May 15, 2015, 03:55:22 PM »
Bonsoir Tigereyes,

Bienvenue sur le forum Adlice.

Le rapport que tu as posté a été généré avec la version 32-bits de Roguekiller
Merci de télécharger RogueKiller (version 64-bits), de refaire un scan complet et de poster le rapport obtenu dans ton prochain message.

Télécharge Farbar Recovery Scan Tool et enregistre-le sur le Bureau.
  • Fais un clic droit sur le fichier téléchargé (FRST64.exe) et choissi "Exécuter en tant qu'administrateur". Quand l'outil démarre, clique sur Oui pour accepter les termes de la fenêtre Disclaimer (clause de non-responsabilité).
  • Clique sur le bouton Scan.
  • L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
  • Copie/colle ce rapport dans ta prochaine réponse.
  • La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe. Copie/colle également ce rapport dans ta réponse.
Meilleures salutations.

Reply #2May 15, 2015, 09:13:58 PM

Tigereyes

  • Newbie

  • Offline
  • *

  • 4
  • Reputation:
    0
    • View Profile
Re: Aide pour l'analyse d'un rapport de RogueKiller
« Reply #2 on: May 15, 2015, 09:13:58 PM »
Bonsoir Curson ^^

Tout d'abord, merci de ta réponse et de ton accueil  :)

C'est étrange, je pensais avoir bien téléchargé la version 64-bits, mais bon, soit ^^'.
J'ai téléchargé la bonne version de Roguekiller que tu m'as mise en lien, et j'ai donc refait un scan complet ( en mode "normal"; j'ai supposé que réaliser le scan en mode sans échec n'était pas utile, étant donné que tu n'en as pas fait mention dans ta réponse), dont voici le rapport :

RogueKiller V10.6.3.0 (x64) [May 11 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9200 ) 64 bits version
Démarré en  : Mode normal
Utilisateur : Amandine [Administrateur]
Démarré depuis : C:\Users\Amandine\Downloads\RogueKillerX64.exe
Mode : Scan -- Date : 05/15/2015  20:58:23

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 18 ¤¤¤
[Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | WebCheck : {E6FB5E20-DE35-11CF-9C87-00AA005127ED}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | WebCheck : {E6FB5E20-DE35-11CF-9C87-00AA005127ED}  -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1 | (default) : {F241C880-6982-4CE5-8CF7-7085BA96DA5A}  -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2 | (default) : {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}  -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3 | (default) : {BBACC218-34EA-4666-9D7A-C78F2274A524}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1 | (default) : {F241C880-6982-4CE5-8CF7-7085BA96DA5A}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2 | (default) : {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3 | (default) : {BBACC218-34EA-4666-9D7A-C78F2274A524}  -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Trouvé(e)
[Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9} -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} :   -> Trouvé(e)
[Orphan] (X64) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} : avast! Online Security  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 109.88.203.3 62.197.111.140 [-][BELGIUM (BE)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 109.88.203.3 62.197.111.140 [-][BELGIUM (BE)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4A87A4EF-0454-4166-B863-A23375313025} | DhcpNameServer : 109.88.203.3 62.197.111.140 [-][BELGIUM (BE)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4A87A4EF-0454-4166-B863-A23375313025} | DhcpNameServer : 109.88.203.3 62.197.111.140 [-][BELGIUM (BE)]  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ST1000DM003-1CH162 +++++
--- User ---
[MBR] 5a20e89176e29685f36f69fb9a306628
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [MAN-MOUNT] Basic data partition | Offset (sectors): 2048 | Size: 499 MB
1 - [MAN-MOUNT] EFI system partition | Offset (sectors): 1024000 | Size: 100 MB
2 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 1228800 | Size: 128 MB
3 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 1490944 | Size: 1024 MB
4 - Basic data partition | Offset (sectors): 3588096 | Size: 890676 MB
5 - Basic data partition | Offset (sectors): 1827692544 | Size: 61441 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic- Multi-Card USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_SCN_05132015_212737.log - RKreport_SCN_05132015_213912.log


Les rapports de Farbar sont trop longs pour être directement postés, du coup je mets les liens ci-dessous.
« Last Edit: May 19, 2015, 09:01:14 PM by Tigereyes »

Reply #3May 19, 2015, 10:11:43 PM

Curson

  • Global Moderator
  • Hero Member

  • Offline
  • *****

  • 2809
  • Reputation:
    100
    • View Profile
Re: Aide pour l'analyse d'un rapport de RogueKiller
« Reply #3 on: May 19, 2015, 10:11:43 PM »
Bonsoir Tigereyes,

Les rapports de FRST ne montrent rien de flagrant. Peux-tu m'indiquer la session touchée par le ransomware ? Ce problème est-il toujours d'actualité ?
Nous allons cependant corriger quelques petites choses.

Télécharge le fichier attaché fixlist.txt et enregistre-le sur le Bureau.

NOTE. Il est important que les deux fichiers, FRST et fixlist.txt se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.

NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

Exécute FRST64.exe, clique une seule fois sur le bouton Fix et attends.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Une fois terminé, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copie/colle ce rapport dans ta prochaine réponse.

Meilleures salutations.

Reply #4May 20, 2015, 12:21:24 PM

Tigereyes

  • Newbie

  • Offline
  • *

  • 4
  • Reputation:
    0
    • View Profile
Re: Aide pour l'analyse d'un rapport de RogueKiller
« Reply #4 on: May 20, 2015, 12:21:24 PM »
Bonjour Curson ^^

Il s'agit de la session "Léonard".
Vu qu'elle était infectée, je ne m'y étais plus connectée depuis mon premier post ici, et son utilisateur habituel non plus. Je viens à l'instant d'y retourner, et apparemment tout semble normal; tous les fichiers sont de nouveau accessibles, internet, les paramètres aussi... Bizarre.  ???

J'ai bien exécuté FRST avec Fix, voici le rapport :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-05-2015
Ran by Amandine at 2015-05-20 11:53:12 Run:1
Running from C:\Users\Amandine\Desktop
Loaded Profiles: UpdatusUser & Amandine (Available profiles: UpdatusUser & Amandine & Léonard & Bernadette & eeici_000 & Invité)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
HKLM\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [ConfirmFileDelete] 1
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
File: C:\Windows\system32\DRIVERS\igdkmd64.sys
EmptyTemp:
*****************

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\ => value deleted successfully.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\ConfirmFileDelete => value deleted successfully.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1" => Key deleted successfully.
HKCR\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Key not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2" => Key deleted successfully.
HKCR\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Key not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3" => Key deleted successfully.
HKCR\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524} => Key not found.
"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1" => Key deleted successfully.
HKCR\Wow6432Node\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Key not found.
"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2" => Key deleted successfully.
HKCR\Wow6432Node\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Key not found.
"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3" => Key deleted successfully.
HKCR\Wow6432Node\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524} => Key not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} => value deleted successfully.
HKCR\CLSID\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} => Key not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => value deleted successfully.
HKCR\CLSID\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => Key not found.

========================= File: C:\Windows\system32\DRIVERS\igdkmd64.sys ========================

MD5: BD875DF51F3B5F3B6BBDDC8184D85922
Creation and modification date: 2013-09-03 14:04 - 2013-08-26 21:37
Size: 4166656
Attributes: ----A
Company Name: Intel Corporation
Internal Name: igdkmd32.sys
Original Name: igdkmd32.sys
Product Name: Intel HD Graphics Drivers for Windows 8(R)
Description: Intel Graphics Kernel Mode Driver
File Version: 10.18.10.3282
Product Version: 10.18.10.3282
Copyright: Copyright (c) 1998-2012 Intel Corporation.

====== End Of File: ======

EmptyTemp: => Removed 3.6 GB temporary data.


The system needed a reboot.

==== End of Fixlog 11:56:31 ====

( par curiosité, à quoi sert cet outil, fixlist ? :3)


Reply #5May 21, 2015, 12:29:58 AM

Curson

  • Global Moderator
  • Hero Member

  • Offline
  • *****

  • 2809
  • Reputation:
    100
    • View Profile
Re: Aide pour l'analyse d'un rapport de RogueKiller
« Reply #5 on: May 21, 2015, 12:29:58 AM »
Bonsoir Tigereyes,

Le fichier fixlist permet d'indiquer à FRST les actions à réaliser. Ici, il s'agissait de la suppression de certaines clés de registre et de l'analyse avancée d'un fichier.
Comme se comporte le système actuellement ?

Meilleures salutations.

Reply #6May 21, 2015, 03:52:43 PM

Tigereyes

  • Newbie

  • Offline
  • *

  • 4
  • Reputation:
    0
    • View Profile
Re: Aide pour l'analyse d'un rapport de RogueKiller
« Reply #6 on: May 21, 2015, 03:52:43 PM »
Bonjour Curson ^^

Merci pour cette petite explication  :)

Actuellement, le système semble se comporter tout à fait normalement, tant dans la session infectée que dans les autres.
Se pourrait-il que mon antivirus ait finalement réagit ? C'est vrai qu'il y a quelques jours, il m'avait alerté du fait qu'il avait détecté et supprimé un élément suspect...
Ceci dit, j'ai vu dans le rapport que j'ai posté ci-dessus qu'une clé de registre nommée "Policies\Explorer" avait été supprimée. Or, le ransomware en question se présentait comme s'il s'agissait de la Police et avait été contracté via Explorer ( en sachant que seul Léonard utilise Explorer comme navigateur). Se pourrait-il qu'il s'agisse du ransomware en question ?

Maintenant que tout semble revenu à la normale ( je reste néanmoins attentive), penses-tu que Léonard puisse retourner sans danger sur sa session et sur sa boite mail ? Je me demandais s'il ne serait pas utile qu'il change ses mots de passe, pour plus de sécurité ( celui de sa session et de sa boite mail)...

En tout cas, je te remercie beaucoup d'avoir pris la peine de m'aider et de me guider comme tu l'as fait.  :D

Reply #7May 22, 2015, 02:40:23 PM

Curson

  • Global Moderator
  • Hero Member

  • Offline
  • *****

  • 2809
  • Reputation:
    100
    • View Profile
Re: Aide pour l'analyse d'un rapport de RogueKiller
« Reply #7 on: May 22, 2015, 02:40:23 PM »
Bonjour Tigereyes,

Quote from: Tigereyes
Actuellement, le système semble se comporter tout à fait normalement, tant dans la session infectée que dans les autres.
Se pourrait-il que mon antivirus ait finalement réagit ? C'est vrai qu'il y a quelques jours, il m'avait alerté du fait qu'il avait détecté et supprimé un élément suspect...
Ceci dit, j'ai vu dans le rapport que j'ai posté ci-dessus qu'une clé de registre nommée "Policies\Explorer" avait été supprimée. Or, le ransomware en question se présentait comme s'il s'agissait de la Police et avait été contracté via Explorer ( en sachant que seul Léonard utilise Explorer comme navigateur). Se pourrait-il qu'il s'agisse du ransomware en question ?
Difficile à dire. En tout cas, le rapport n'a révélé aucun élément suspect ou malicieux.
La clé Policies\Explorer n'était pas un malware, mais contenait des restrictions de droit sur l'explorateur Windows.

Quote from: Tigereyes
Maintenant que tout semble revenu à la normale ( je reste néanmoins attentive), penses-tu que Léonard puisse retourner sans danger sur sa session et sur sa boite mail ? Je me demandais s'il ne serait pas utile qu'il change ses mots de passe, pour plus de sécurité ( celui de sa session et de sa boite mail)...
A priori, aucun malware n'est présent sur le système mais il serait effectivement préférable qu'il procède au changement de ses mots de passe.

Quote from: Tigereyes
En tout cas, je te remercie beaucoup d'avoir pris la peine de m'aider et de me guider comme tu l'as fait.  :D
Au plaisir. :)

Meilleures salutations.