Aide rapport Rogue killer

Aide rapport Rogue killer - Virus/Spywares - Windows & Software

Marsh Posté le 14-02-2015 à 17:52:00    

Bonjour,
 
Je suis en train de faire un petit bilan de santé de mon pc car j'ai remarqué que l'espace libre sur ma partition système (C:) diminuait sans raison depuis quelques jours et ne correspond pas à la taille des fichiers contenu dans C:. Depuis quelques heures (après avoir supprimer 4 fichiers indésirables avec avast) l'espace libre de C: se met à augmenter.
 
Bref je n'en suis pas resté là et j'ai passé un coup de malwarbyte, puis de ADW cleaner et Junkware removal. Rien n'a été détecte par ces 3 outils. J'ai scanner mon pc avec Rogue killer mais je ne sais pas trop quoi faire à partir de là. Voici le rapport de scan si quelqu'un peut m'éclairer sur la marche à suivre et trouver le bon du mauvais là-dedans :
 
RogueKiller V10.2.0.0 (x64) [Jan 19 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com
 
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en  : Mode normal
Utilisateur : Zalman [Administrateur]
Mode : Scan -- Date : 02/14/2015  17:37:32
 
¤¤¤ Processus : 1 ¤¤¤
[Suspicious.Path] (SVC) ALSysIO -- \??\C:\Users\Zalman\AppData\Local\Temp\ALSysIO64.sys[x] -> Arrêté(e)
 
¤¤¤ Registre : 23 ¤¤¤
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ALSysIO (\??\C:\Users\Zalman\AppData\Local\Temp\ALSysIO64.sys) -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ALSysIO (\??\C:\Users\Zalman\AppData\Local\Temp\ALSysIO64.sys) -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ALSysIO (\??\C:\Users\Zalman\AppData\Local\Temp\ALSysIO64.sys) -> Trouvé(e)
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.sfr.fr/kit/adsl/  -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.sfr.fr/kit/adsl/  -> Trouvé(e)
[PUM.StartMenu] (X64) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowHelp : 0  -> Trouvé(e)
[PUM.StartMenu] (X86) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowHelp : 0  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {645FF040-5081-101B-9F08-00AA002F954E} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {645FF040-5081-101B-9F08-00AA002F954E} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {645FF040-5081-101B-9F08-00AA002F954E} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3161242038-2767149469-327950386-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {645FF040-5081-101B-9F08-00AA002F954E} : 1  -> Trouvé(e)
 
¤¤¤ Tâches : 0 ¤¤¤
 
¤¤¤ Fichiers : 0 ¤¤¤
 
¤¤¤ Fichier Hosts : 0 ¤¤¤
 
¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤
 
¤¤¤ Navigateurs web : 0 ¤¤¤
 
¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: SanDisk SDSSDHP128G ATA Device +++++
--- User ---
[MBR] cb0e111237061c7d5de1cca6a68dd310
[BSP] b915e4face24cd9583800211a986f7b8 : Windows Vista/7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 122102 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK
 
+++++ PhysicalDrive1: HGST HUS724020ALA640 ATA Device +++++
--- User ---
[MBR] fa16cb1550b20140beff5769f26b8783
[BSP] 283990de8632de9cc0a41b4aed1afd5b : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 1907626 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK
 
+++++ PhysicalDrive2: ST332082 0A USB Device +++++
--- User ---
[MBR] 028d9376790fe5451ea2fca64c30b4af
[BSP] b95460fe5abbb7e6fe605e2ab23493be : HP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 305243 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )
 
 
============================================
RKreport_SCN_01172015_132205.log
 
 
 
 
Merci d'avance !!

Reply

Marsh Posté le 14-02-2015 à 17:52:00   

Reply

Marsh Posté le 14-02-2015 à 19:10:00    

Bonjour,
 
 
Oui, tu peux passer au mode nettoyage.  
 
 
Pour vérifier la présence de malware, applique le programme qui suit:
 
 
 
Le forum informe que :
Les fichiers générés par les programmes qui suivent incluent des données personnelles et potentiellement confidentielles qui seront mises à disposition de tous une fois transmis. Assurez vous de bien les nettoyer, ou de ne pas transmettre ces données si vous n'êtes pas sûr du contenu diffusé.
 
 
 
 
:) Tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.  
 
Comment créer et poster le lien d'un rapport :
 

  • Se rendre sur le site http://www.cjoint.com/
  • Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir.
  • Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint
  • Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme htt://cjoint.com/CFnaaobHAob, et sélectionner l'option copier l'adresse du lien.  
  • Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.


 
 
 
==> ZHPDiag - programme de diagnostic
 
 

  • Télécharge et installe ZHPDiag (de Nicolas Coolman) sur ton bureau.


  • Fermer tous les programmes en cours d'utilisation.


  • Sous Windows Vista, 7/8, lancer ZHPDiag par un clic droit de la souris puis "Exécuter en tant qu'administrateur"  


  • Cliquer sur Complet


    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
    http://upload.sosvirus.net/images/2014/04/16/ZHPDiagc82cd.png
 

  • Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau.


  • Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


 
 
 
 

Reply

Marsh Posté le 14-02-2015 à 19:51:09    

Merci pour la réponse.
 
Qu'entends-tu pas " passer au mode nettoyage "?

Reply

Marsh Posté le 14-02-2015 à 19:53:00    

Tu as juste fait un scan avec RogueKiller, enfin d'après le rapport. Il faut passer ensuite au mode Suppression (cliquer sur Suppression).


Message édité par monk521 le 14-02-2015 à 19:53:28
Reply

Marsh Posté le 14-02-2015 à 20:12:05    

Oui, mais on m'a dit que se que détectait Rogue killer n'était pas forcément malicieux et que la suppression à tort peut être néfaste. J'ai également posté mon rapport sur un autre forum où l'on ma dit qu'il était correct, j'ai supposé que rien n'était à supprimer du coup...
 
Au passage, toujours dans l'optique de mon problème de place sur C:, j'ai utilisé WinDirStat pour visualiser l'espace utilisé sur mon disque et il me confirme bien que l'espace utilisé est de 97 Go au total. Lorsque je vais dans ordinateur puis que je clique droit sur ma partition puis sur propriétés la boite de dialogue m'affiche 114 Go utilisé ce qui est faux visiblement. Du coup il m'affiche la barre en rouge avec seulement 5Go/120 d'espace libre alors qu'il devrait y en avoir 23... Donc c'est comme si la place libre diminuait sans être occupé réellement sur le disque...
 
J'ai du mal à comprendre

Reply

Marsh Posté le 14-02-2015 à 20:22:42    

J'ai supprimer tous les points de restauration sauf le plus récent et miracle paf 20Go d'espace libre en plus. Problème résolu !

Reply

Marsh Posté le 14-02-2015 à 20:23:15    

En fait, tu as 1 ou 2 éléments sur le rapport qui sont infectieux, le reste sont des fausses détections, des faux positifs. Passer à la suppression ne supprimera pas ces fausses détections, testé et approuvé. Pourquoi Roguekiller fait ça, je l'ignore.  
 
Infection: http://www.systemlookup.com/search [...] 002B30309D
 
 
 
 
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed