Site Officiel

Site Officiel
Site Officiel

mardi 30 octobre 2012

[FR] RogueKiller tutoriel officiel

RogueKiller : Tutoriel officiel



Ceci est un guide d'utilisation de RogueKiller, outil de désinfection antivirus que l'on peut télécharger ici :  

 

_ RogueKiller _





RogueKiller est compatible Windows XP, Server 2003, Vista, Server 2008, Win7, Win8.
RogueKiller est compatible avec les Systèmes 32 bits et 64 bits.

  1. Commencer par télécharger l'outil sur le bureau, et quitter tous les programmes en cours.
  2. Lancer RogueKiller.exe. Si le programme est tué par un malware, ne pas hesiter à renommer l'exécutable en winlogon.exe, ou changer l'extension de fichier en .com (ex: Roguekiller.com)


PRESENTATION VIDEO

 

  

 

SMARTSCREEN

 

Sous les systèmes d'exploitation récents (Windows 7 / Windows 8), le filtre SmartScreen empêche l'exécution de programmes inconnus (de Microsoft). Pour passer outre cette protection et pouvoir lancer RogueKiller, procéder comme suit:

  1. Cliquer sur Informations complémentaires
  2. Puis sur Exécuter quand même. 


 


PRESCAN

 

Le Prescan est démarré automatiquement au lancement du programme. Il a pour effet de stopper les processus nuisibles, stopper les services infectieux, charger le driver et faire des vérifications de version. A ce stade aucune action de l'utilisateur n'est requise, car tout le traitement est réversible par un simple redémarrage du PC et est donc inoffensif.

Il se peut que RogueKiller détecte une nouvelle version disponible et propose son téléchargement. Dans ce cas, on peut soit accepter et être redirigé vers la page de téléchargement ou refuser et continuer l'utilisation normale avec la version périmée. Il est très fortement conseillé de toujours lancer la version la plus récente! 

La liste des processus / services stoppés se trouve dans l'onglet Processus.

Note importante! L'icone "driver" (carré vert/rouge) ne vire au vert que lorsque le driver est chargé. Le driver ne peut pas être chargé sur des OS 64 bits. 
Le driver n'est pas obligatoire pour la désinfection, mais permet de scanner le noyau à la recherche de rootkits.

 

SCAN

 

Le scan est déclenché par appui sur le bouton Scan. C'est la première étape naturelle à effectuer après la fin du Prescan.  
Le scan est un traitement n'apportant aucune modification sur le système, car il ne fait que répertorier les anomalies rencontrées et les afficher à l'utilisateur. Parmi les opérations effectuées, une vérification des entrées de démarrage automatique (clés RUN, Services, Taches planifiées, dossiers de démarrages), et des détournements du fonctionnement normal de Windows. Le scan fait aussi une recherche de certaines infections connues, ainsi qu'une vérification de la présence de rootkits au sein du noyau (avec l'aide du driver) et pour terminer une vérification du secteur de démarrage (MBR). 

Une fois le scan terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).

 

Déclenchement du scan


 

SUPPRESSION

 

La suppression est déclenchée par appui sur le bouton Suppression. Au préalable il conviendra de vérifier les résultats du scan dans les différents onglets, ou par le rapport texte. Les éléments supprimés/restaurés sont uniquement ceux de l'onglet Registre et de l'onglet Fichiers. Si vous avez des doutes, voir les sections suivantes sur les compléments d'analyse.

Si certaines choses vous paraissent anormales et ne doivent pas être supprimées, vous avez la possibilité de les décocher (onglet Registre seulement) avant la suppression (et me les signaler par mail!). Contrairement au scan, la suppression fait des modification sur le système, car c'est ce qui permet de supprimer les infections. Toutefois, chaque clé de registre modifiée est au préalable sauvegardée dans le dossier RK_Quarantine (voir ci-après). 

Une fois la suppression terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt). Il se peut également que le programme demande à redémarrer le PC. Si c'est le cas, il faut le faire impérativement car certaines infections pourraient avoir le temps de se réactiver dans le cas contraire.


Déclenchement de la suppression



HOST RAZ

 

Le fichier Hosts est un fichier de configuration Windows, permettant d'effectuer des redirections de noms de domaines vers des IPs définies. On l'utilise principalement pour interdire l'accès à une adresse internet, ou pour associer une adresse textuelle (ex: http://test.com) vers une adresse IP du réseau local (ex: 192.168.1.12). Voici quelques exemples de redirections Hosts légitimes:

127.0.0.1 localhost (ligne par defaut dans le fichier hosts)
127.0.0.1 www.site_de_virus.com (empêche l'accès a des sites dangereux)
192.168.1.12 mon_site_en_local (associe une adresse textuelle à une IP du réseau local)

Les malwares peuvent utiliser le fichier Hosts pour rediriger des adresses web légitimes vers des serveurs vérolés, et ainsi infecter de nouveaux utilisateurs. Voici un exemple de lignes malwares:

123.456.789.10 www.google.com (redirige un site bien connu vers une adresse IP inconnue - le serveur vérolé)
165.498.156.14 www.facebook.com (redirige un site bien connu vers une adresse IP inconnue - le serveur vérolé)

Ces lignes doivent être supprimées. 
Le contenu du fichier Hosts de Windows est visible après un Scan dans l'onglet Hosts, ou dans la section du même nom dans le rapport. Le bouton Host RAZ permet de réinitialiser le contenu du fichier hosts avec la ligne par défaut présente à l'installation de Windows, à savoir : 127.0.0.1 localhost
Une fois la réinitialisation terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).

  • Voici un exemple de section Hosts vérolée:
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\
etc\hosts

127.0.0.1       localhost

::1             localhost
64.46.36.178 www.google-analytics.com.

64.46.36.178 ad-emea.doubleclick.net.
64.46.36.178 www.statcounter.com.
64.27.10.42 www.google-analytics.com.
64.27.10.42 ad-emea.doubleclick.net.
64.27.10.42 www.statcounter.com.

  • Après passage du Hosts RAZ, le contenu du rapport est le suivant:
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1       localhost
::1             localhost 


Déclenchement de la réinitialisation du fichier Hosts



PROXY RAZ

 

La configuration proxy est une configuration particulière d'accès au web, permettant de rediriger le flux internet entrant et sortant vers une adresse IP et un port particulier. Cela est surtout utilisé lorsque dans une entreprise un accès internet est filtré par un serveur du réseau (l'adresse du proxy est alors une IP du réseau local), ou lorsqu'on veut filtrer le traffic internet par un logiciel installé en local (l'adresse du proxy est alors celle du localhost - 127.0.0.1 sur un port particulier)

Un malware peut également modifier la configuration proxy pour filtrer les accès au web, et ainsi:
  • Se protéger du téléchargement de logiciels antivirus (en bloquant les pages web associées).
  • Sniffer le traffic internet (et récupérer les mot de passes éventuels, les cookies de session, ...).
  • Rediriger l'utilisateur vers des sites vérolés, ou sur des publicités.
  • ...

Voici un exemple de configuration proxy. Il est difficile sans connaitre l'architecture réseau de la personne concernée de savoir si ce dernier est légitime ou non. En général, seul l'utilisateur sait s'il doit utiliser ou non un proxy.

¤¤¤ Entrees de registre: 3 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (10.25.52.205:8080) -> FOUND
[PROXY FF] n2aqvo03.default\ 10.25.52.205:8080 -> FOUND

Les lignes précédentes montrent une configuration Proxy à la fois pour Internet Explorer (paramètres proxy du système) et pour Mozilla Firefox.
Si une configuration proxy est définie, alors elle sera visible après un Scan dans l'onglet Proxy, ou dans la section Registre dans le rapport. Le bouton Proxy RAZ permet de réinitialiser la configuration proxy.

Une fois la réinitialisation terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).


Déclenchement de la réinitialisation de la configuration Proxy/DNS



 DNS RAZ

 

La configuration DNS est une configuration particulière d'accès au web, permettant de rediriger le flux internet entrant vers une adresse IP particuliere. A la base, la configuration DNS sert à définir le serveur DNS que l'on souhaite utiliser. En général, les utilisateurs mettent soit un serveur DNS dédié sur le réseau (en entreprise) soit celui de leur fournisseur d'accès internet.Un serveur DNS est utilisé pour la résolution des noms d'hôtes, en simplifié à associer un nom de domaine (www.google.fr) à une adresse IP (173.194.67.94).

Un malware peut modifier la configuration DNS pour envoyer les demandes de résolution vers un serveur vérolé. De cette manière, un serveur DNS vérolé peut renvoyer de mauvaises adresses IP à des demandes de sites légitimes, et ainsi tromper l'utilisateur qui va se retrouver sur un site vérolé au lieu d'un site légitime. Un exemple de malware très connu utilisant ce genre d'attaques est DNS Changer.

Voici un exemple de configuration DNS. RogueKiller effectue un premier tri grâce à une liste blanche, donc si une ligne apparait dans le programme, c'est qu'elle n'a pas été identifiée comme légitime. A partir de là, il faut donc regarder vers quel pays/herbergeur pointe l'adresse IP et prendre une décision.



¤¤¤ Entrees de registre: 3 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\
Services\Interfaces\{E3608E44-...} : NameServer (200.13.249.101,200.13.224.254) -> FOUND
[DNS] HKLM\[...]\ControlSet002\
Services\Interfaces\{E3608E44-...} : NameServer (200.13.249.101,200.13.224.254) -> FOUND

Les lignes précédentes montrent une configuration DNS concernant une seule carte réseau (Interface)
Si une configuration DNS est définie, alors elle sera visible après un Scan dans l'onglet DNS, ou dans la section Registre dans le rapport. Le bouton DNS RAZ permet de réinitialiser la configuration DNS.

Une fois la réinitialisation terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).


Déclenchement de la réinitialisation de la configuration Proxy/DNS



Racc. RAZ

 

Le mode Raccourci RAZ permet de faire réapparaitre des fichiers/raccourcis ou dossiers ayant été masqué par les rogues de type Fake HDD (System restore, File restore, System Fix, ...). Une démonstration est proposée dans la vidéo ci-après. Ce mode n'est pas à utiliser à la légère, ne l'utiliser réellement que dans ce type d'infection! Le traitement peut prendre du temps (quelques minutes), merci de patienter jusqu'à la fin.





Voici un exemple de rapport obtenu dans ce mode. Ce dernier montre dans quels répertoire il a retrouvé et restauré des fichiers cachés, et combien. 
Le répertoire Sauvegarde correspond à un endroit bien précis ou le malware Fake HDD déplace les raccourci du menu démarrer, du bureau, ... Le nombre de fichiers restaurés dans cette ligne correspond à ce qui a pu être retrouvé et remis à sa place. La section Lecteurs montre les lecteurs physiques traités (Restored) ou ignorés (Skipped).


¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 6675 / Fail 0
Lancement rapide: Success 7 / Fail 0
Programmes: Success 24786 / Fail 0
Menu demarrer: Success 430 / Fail 0
Dossier utilisateur: Success 6583 / Fail 0
Mes documents: Success 131315 / Fail 0
Mes favoris: Success 8 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 44060 / Fail 0
Sauvegarde: [FOUND] Success 125468 / Fail 0 / Exists 1

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[Z:] \Device\VBoxMiniRdr\;Z:\VBOXSVR\Shared -- 0x4 --> Skipped
 

Une fois la réinitialisation terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).


Déclenchement de la réinitialisation des raccourcis


ONGLET DRIVER

 

L'onglet Driver regroupe toutes les informations provenant du module TrueSight, le driver kernel de RogueKiller. Ce driver est surtout utilisé pour la recherche de rootkits dans le noyau Windows.
La recherche concerne plusieurs sections: 

- System Service Dispatch Table (SSDT)  - Montre les APIs détournées.
- Shadow SSDT (S_SSDT) - Montre les APIs détournées
- Inline SSDT - Montre les APIs détournées par hot patching. 
- IRP hook - Montre les drivers dont les fonctions majeures sont détournées 

Il est possible de désactiver le scan anti-rootkit avant d'effectuer le scan en décochant la case AntiRootkit.


 

Il est possible de restaurer certains détournements (SSDT et Inline SSDT) par un clic droit, restaurer. Si le détournement est légitime (en effet, la plupart des antivirus utilisent ces techniques pour fonctionner) il ne sera pas possible de le restaurer. RogueKiller fonctionne sur une base de liste blanche de drivers, mais il est possible que certains détournements ne soient pas listés (Si c'est le cas, merci de le signaler).




Les détournement du noyau (illégitimes ou suspects) sont listés également à l'édition du rapport, dans la section Driver. on y retrouve le nom de l'API, l'adresse et le nom du driver détournant cette dernière.

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[119] : NtOpenKey @ 0x80624BA6 -> HOOKED (\??\C:\WINDOWS\TEMP\rqmqbqga.
sys @ 0xF783E562)
SSDT[57] : NtDebugActiveProcess @ 0x80643B3E -> HOOKED (Unknown @ 0x89C30200)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0x89C302F0)
SSDT[277] : NtWriteVirtualMemory @ 0x805B43D4 -> HOOKED (Unknown @ 0x89C306D0)
IRP[IRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[IRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF1864)


ONGLET MBR

 

L'onglet MBR liste et affiche les informations concernant le(s) Master Boot Record (MBR) du PC. Ce dernier est le premier secteur physique d'un disque dur, contenant à la fois des informations sur la taille et la localisation des différentes partitions logiques, ainsi que le code chargé de lancer le système d'exploitation d'un disque bootable.

Certains malwares appelés Bootkit, comme TDSS, MaxSST ou Stoned modifient soit le code (bootstrap) pour lancer leurs propres composants, soit la table des partitions pour booter sur une partition fantôme et ainsi effectuer des traitements avant le lancement du système d'exploitation (et des antivirus!).

RogueKiller permet de détecter et supprimer les bootkits, même lorsqu'ils masquent leur présence.
Plusieurs indicateurs montrent la légitimité d'un MBR: Le bootstrap est connu, et légitime. Ensuite, la lecture à différents niveaux d’abstraction retourne les même résultats (ce qui signifie que le MBR n'est pas masqué).

  •  Voici un exemple de rapport sain. Le bootsrap (BSP) est légitime (Windows XP), et la lecture User, LL1 et LL2 renvoient les mêmes résultats.
¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: VBOX HARDDISK +++++
--- User ---
[MBR] c708b764ca9daa4f8f33e4e8b3b517da
[BSP] f4eb87199eee8a432bb482bb55118447 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 4086 Mo
User = LL1 ... OK!
User = LL2 ... OK!

  •  Voici un exemple de rapport présentant un MBR infecté. Le bootsrap (BSP) est légitime (Windows 7), mais la méthode LL1 renvoit quelque chose de différent. Enfin et surtout, il existe une partition fantôme masqué par le rootkit (MaxSST).
¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HDS721032CLA362 +++++
--- User ---
[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
User != LL1 ... KO!
--- LL1 ---
[MBR] 501fcd9f60449033a7b892d424337896
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code [possible maxSST in 2!]
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625113088 | Size: 10 Mo

  •  Voici un autre exemple de rapport présentant un MBR infecté. Le bootsrap (BSP) est infecté avec le rootkit MaxSST.
¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++

--- User ---
[MBR] 318e94ac5cf893f8e2ed0643494e74
0e
[BSP] 07a9005ccf77d28c668138e4d4a42d
65 : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 13000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 119235 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 270819328 | Size: 344703 Mo
User = LL1 ... OK!
User = LL2 ... OK!


 Il est possible de désactiver le scan MBR avant d'effectuer le scan en décochant la case MBR.




En cas d'infection MBR, il est possible de restaurer le MBR. Selon le cas de figure, cela peut se passer différemment

  •  Si le MBR est masqué (User != LLx ... KO!) , alors on peut récupérer le MBR original et le fixer de manière automatique. Il suffit de choisir l'index correspondant dans PhysicalDrive, et de cliquer sur MBR RAZ.



  •  Si le MBR a été écrasé, il n'existe pas de copie de sauvegarde. On peut alors restaurer un MBR par défaut, dont le choix est fait dans une liste de système d'exploitation (Windows XP, Vista, Seven).  Il suffit de choisir l'index correspondant dans PhysicalDrive, de choisir le système d'exploitation de l’ordinateur et de cliquer sur MBR RAZ.





ROGUEKILLER PE

 

Depuis peu, RogueKiller est capable de lire les ruches Windows en mode Offline. Cela veut dire que RogueKiller est capable de:

  1. Détecter les clés de registre cachées de l'API (rootkit)
  2. Détecter et supprimer les clés de registre d'un système d'exploitation présent sur un disque externe.
  3. Détecter et supprimer les clés de registre d'un PC lancé depuis un live CD PE (ex: OTLPE)
Concrètement, cela est pratique dans le cas de rootkits masquant/protégant leurs clés de registre, ou lorsqu'un PC est inaccessible en raison d'un malware bloquant toute les actions (ransomwares).

Voici une démonstration du mode PE effectuée sur un PC infecté par le malware Gendarmerie, et lancé depuis un live CD OTLPE:






LIGNES DE COMMANDE

 

Pour automatiser le traitement et faciliter le déploiement et le traitement sur un grand nombre de postes, RogueKiller permet de passer des paramètres en ligne de commande, dont voici la liste:

Ces paramètres sont indépendants les uns des autres (ne pas oublier le tiret).


-autoscan (lancement automatique du scan après le prescan)
-autoaccepteula (acceptation automatique de l'EULA, le passage de ce flag implique avoir déjà lu l'EULA auparavant et être d'accord avec)
-autodelete (suppression auto, tout sera supprimé hors Proxy, DNS, hosts - équivalent au clic sur le bouton suppression)
-autoquit (RogueKiller quitte automatiquement après la suppression)
-nodriver (pas de chargement du driver, et donc pas de recherche de rootkits côté kernel)
-nokill (pas de kill des processus malicieux - certains se protègent et plantent le PC quand on les tue. De cette façon on se focalise sur les clés de registre)
-report_output "chemin des rapports" (défini le dossier où sauvegarder les rapports. S'il n'existe pas au préalable, ce flag est ignoré)
-hide (masque la fenêtre et empêche les interactions utilisateur. active implicitement -autoaccepteula -autoscan -autoquit)

52 commentaires:

  1. Outil puissant mais assez technique (il faut être bien calé en informatique pour comprendre tout l'outil). Pour ma part, c'était ça ou reformatage du PC. Heureusement grâce à RogueKiller tout marche à nouveau. Merci pour cet ange gardien informatique qui, rappelons le, est libre!

    RépondreSupprimer
  2. Superbe outil, il m'a sauver mon PC.

    Très belle initiative, continuez

    RépondreSupprimer
  3. Très bonne outil !

    Merci pour le développement de cette application.

    Une question : pourquoi une Triforce comme icône XD ?

    RépondreSupprimer
  4. je l'ai déjà utiliser 2 fois, et c'est très éfficace.

    RépondreSupprimer
  5. bonjours jai un soucis jai installé ce logiciel sur mon pc windows seven 64 bits mais le carré driver reste rouge quelq un peut m aidé merci

    RépondreSupprimer
    Réponses
    1. C'est normal, le driver ne peut pas être chargé sous OS 64 bits

      Supprimer
  6. Mon MBR est infecté (LL2 KO). Mais PhysicalDrive et MBR RAZ restent désactivés.
    Le système d'exploitation est Windows 7

    RépondreSupprimer
  7. Bonjour,

    J'ai été plusieurs fois confronté au virus qui s'affiche dès l'ouverture d'une session et qui réclame 200€ suite à soit disant un comportement suspect comme la visite de site pédophile avec le logo de la gendarmerie. Je ne connais pas le nom de ce virus (ou trojan je ne suis pas sûr).

    Bref, j'utilise roguekiller pour l'éliminé mais ce n'est pas toujours simple.
    En gros je boot l'ordi avec un CD linux ubuntu pour avoir accès au disque le temps de placer le fichier roguekiller sur le bureau de la session que je compte démarrer. Puis je redémarre l'ordi en comptant sur le fait que le virus ne se lance pas trop vite et j'exécute aussi vite que je peux roguekiller.
    Je doit faire plusieurs essais pour y arriver... et je pense qu'en faisant appel à l'imagination d'une personne charitable il sera sûrement possible de trouver un moyen moins archaïque d'exécuter roguekiller pour que ce soit plus sûre ou plus direct.

    Merci.

    RépondreSupprimer
    Réponses
    1. slt,
      j'ai eu le même problème que toi en mai 2012.
      Heureusement mon voisin était gendarme et m'a expliquer comment faire. Je ne sait plus comment faire mais j'ai pu le supprimer en allant sur ma session invité et en lançant mon antivirus (Antivir), le trojan fut supprimer et aucune donnée n'a été affecter

      Supprimer
  8. Si vous êtes sous windows, ouvrez une session en mode sans echec puis exécutez RogueKiller.
    http://www.commentcamarche.net/faq/5004-windows-demarrage-en-mode-sans-echec

    RépondreSupprimer
  9. vraiment super, j'ai aussi sauvé mes données, j'ai fait un don avec plaisir pour avoir bonne conscience d'utiliser cet outil régulièrement. Merci encore

    RépondreSupprimer
  10. Bonjour à tous
    c'est top je galère depuis une journée et avec ce logiciel ça na pas trainé débarrassé du virus
    merci
    Steed

    RépondreSupprimer
  11. bonjour,
    roguekiller me trouve ceci : Blacklist -services BrowserProtect - puis m'indique où il est situé sur C , est-ce qu'il faut supprimer ?
    MERCI

    RépondreSupprimer
  12. Merci pour cette application !! j'ai réussi a sauver mon ordi en 30 min.. Le temps de chercher depuis Mac comment faire, et transferer le fichier avec clés USB pour mon windows vista car l'acces internet était impossible en mode sans échec. Merci !

    RépondreSupprimer
  13. Bonjour,
    Je tente de supprimer le virus Gendarmerie du PC d'un voisin, mais malgré ce bon outil, rien n'y fait : redémarrage impossible.
    on dirait que RogueKiller ne supprime pas durablement l'infection.
    Une nouvelle variante plus tenace ???

    RépondreSupprimer
  14. Bravo pour l'appli.
    Dans le scan DNS il me trouve un server qui ne correspond à rien (8.8.8.8 4.4.4.4).
    Dois-je supprimer ?

    RépondreSupprimer
  15. Merci a Tigzy pour cet outil formidable

    RépondreSupprimer
  16. Le serveur DNS 8.8.8.8 est celui de Google, pas de problème !

    RépondreSupprimer
  17. Un très grand merci pour un outil aussi magique, si je puis dire. Un logiciel très puissant, et d'un très grand secours. Bravo au concepteur Tigzy.

    RépondreSupprimer
  18. Bonjour,
    Un très grand merci à vous pour ce logiciel qui a sauvé mon ordinateur! Je suis vraiment une bille en informatique et je ne voyais pas comment me débarasser du virus ransomware et votre logiciel a réussi en 2 min, vous êtes simplement génial!
    Juste une question (désolée si cela peut paraître bête) dans la liste de ce que roguekiller a trouvé, comment reconnaître un vrai virus d'un faux positif?
    Merci beaucoup encore une fois de votre aide.
    Sabrina

    RépondreSupprimer
  19. je viens renforcer le sentiment partagé de tous :FORMIDABLE !!!!
    on se sent désarmé quand on se retrouve en face de cette bête sur notre écran: heureusement que vous êtes là , merci au calés en informatique , continuez

    RépondreSupprimer
  20. je démarre en mode sans échec, je lance roguekiller MAIS le trojan UKASH (vous devez payer 100 € blabla) se lance immédiatement et bloque mon écran pendant le prescan ! Comment faire ??

    RépondreSupprimer
    Réponses
    1. J'ai eu aussi ce cas. J'ai fermé la session, puis ré-ouvert.
      En ouvrant le gestionnaire de tache immédiatement après l'ouverture de session puis RogueKiller, j'ai réussi à lancer le scan.

      scan tjs en cours depuis 1 heurs environs.
      Il a rapidement trouvé 2 DNS et 4 entrée dans la regedit.
      Mais la "recherche détournement des droits" me semble très longue...
      Avez-vous une estimation de temps pour le scan?
      Merci

      Supprimer
  21. Outils puissant mais risqué
    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : RFR [Droits d'admin]
    Mode : Raccourcis RAZ -- Date : 03/05/2013
    Depuis, le dossier boot, bootmgr.exe et bootsec.bak ne sont plus cachés; ( case grisée inactive) Impossible de changer l'attribut car ils sont verrouillés (ni avec options des dossiers, ni en commande cmd, ni avec unlocker ni avec attribute changer
    Une solution?
    Merci

    RépondreSupprimer
    Réponses
    1. http://tigzy.geekstogo.com/forcehide.php

      Supprimer
  22. bonjour,
    merci pour cet outil efficace, que doit on faire des dossiers apparus sur le bureau? fichier txt et RK_quarantine
    peut-on le supprimer?

    cordialement,

    RépondreSupprimer
  23. am i infected ???


    RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
    mail : tigzyRKgmailcom
    Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/
    Website : http://tigzy.geekstogo.com/roguekiller.php
    Blog : http://tigzyrk.blogspot.com/

    Operating System : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Started in : Normal mode
    User : [Admin rights]
    Mode : Scan -- Date : 05/13/2013 14:31:18
    | ARK || FAK || MBR |

    ¤¤¤ Bad processes : 0 ¤¤¤

    ¤¤¤ Registry Entries : 1 ¤¤¤
    [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> FOUND

    ¤¤¤ Particular Files / Folders: ¤¤¤

    ¤¤¤ Driver : [LOADED] ¤¤¤
    SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xBA76961C)
    SSDT[41] : NtCreateKey @ 0x8062423A -> HOOKED (Unknown @ 0xBA7695D6)
    SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA769626)
    SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7695CC)
    SSDT[63] : NtDeleteKey @ 0x806246D6 -> HOOKED (Unknown @ 0xBA7695DB)
    SSDT[65] : NtDeleteValueKey @ 0x806248A6 -> HOOKED (Unknown @ 0xBA7695E5)
    SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA769617)
    SSDT[98] : NtLoadKey @ 0x8062645E -> HOOKED (Unknown @ 0xBA7695EA)
    SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7695B8)
    SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7695BD)
    SSDT[177] : NtQueryValueKey @ 0x8062245E -> HOOKED (Unknown @ 0xBA76963F)
    SSDT[193] : NtReplaceKey @ 0x8062630E -> HOOKED (Unknown @ 0xBA7695F4)
    SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA769630)
    SSDT[204] : NtRestoreKey @ 0x80625C1A -> HOOKED (Unknown @ 0xBA7695EF)
    SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA76962B)
    SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA769635)
    SSDT[247] : NtSetValueKey @ 0x806227AC -> HOOKED (Unknown @ 0xBA7695E0)
    SSDT[255] : NtSystemDebugControl @ 0x8061820E -> HOOKED (Unknown @ 0xBA76963A)
    SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7695C7)
    S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA76964E)
    S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA769653)

    ¤¤¤ HOSTS File: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost


    ¤¤¤ MBR Check: ¤¤¤

    +++++ PhysicalDrive0: ST3500418AS +++++
    --- User ---
    [MBR] f36d8d4d75977a4e17083accec410ef5
    [BSP] 20efb7c64d30542c790573f9d59cef26 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 379998 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Finished : << RKreport[24]_S_05132013_02d1431.txt >>
    RKreport[10]_SC_05132013_02d1357.txt ; RKreport[11]_S_05132013_02d1359.txt ; RKreport[12]_H_05132013_02d1400.txt ; RKreport[13]_PR_05132013_02d1400.txt ; RKreport[14]_DN_05132013_02d1400.txt ;
    RKreport[15]_S_05132013_02d1403.txt ; RKreport[16]_S_05132013_02d1411.txt ; RKreport[17]_S_05132013_02d1415.txt ; RKreport[18]_S_05132013_02d1429.txt ; RKreport[19]_H_05132013_02d1429.txt ;
    RKreport[1]_S_11212012_02d0712.txt ; RKreport[20]_PR_05132013_02d1429.txt ; RKreport[21]_PR_05132013_02d1429.txt ; RKreport[22]_DN_05132013_02d1429.txt ; RKreport[23]_DN_05132013_02d1429.txt ;
    RKreport[24]_S_05132013_02d1431.txt ; RKreport[2]_S_11212012_02d0818.txt ; RKreport[3]_SC_11212012_02d0820.txt ; RKreport[4]_S_11212012_02d0824.txt ; RKreport[5]_S_11212012_02d1634.txt ;
    RKreport[6]_S_11212012_02d2220.txt ; RKreport[7]_S_11222012_02d0401.txt ; RKreport[8]_D_11222012_02d0401.txt ; RKreport[9]_S_05132013_02d1352.txt



    RépondreSupprimer
  24. Bonjour, j'ai fait le scan mais suis bien incapable de savoir si je suis infectée :(

    voici le rapport : suis je infectée ?

    RogueKiller V8.6.0 [Jun 14 2013] par Tigzy
    mail : tigzyRKgmailcom
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows Vista
    Demarrage : Mode normal
    Utilisateur : Sylvie [Droits d'admin]
    Mode : Recherche -- Date : 06/15/2013 01:47:47
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [DNS] HKLM\[...]\CCSet[...]\{49CF6C8C-4349-4B48-9D73-9DACFED0A61D} : NameServer (8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1) -> TROUVÉ
    [DNS] HKLM\[...]\CS001[...]\{49CF6C8C-4349-4B48-9D73-9DACFED0A61D} : NameServer (8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1) -> TROUVÉ
    [DNS] HKLM\[...]\CS003[...]\{49CF6C8C-4349-4B48-9D73-9DACFED0A61D} : NameServer (8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1) -> TROUVÉ
    [HJ POL] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    [Address] SSDT[75] : NtCreateSection @ 0x82240FA5 -> HOOKED (Unknown @ 0x8D38326E)
    [Address] SSDT[276] : NtRequestWaitReplyPort @ 0x82253142 -> HOOKED (Unknown @ 0x8D383278)
    [Address] SSDT[289] : NtSetContextThread @ 0x822A22AB -> HOOKED (Unknown @ 0x8D383273)
    [Address] SSDT[314] : NtSetSecurityObject @ 0x821CF023 -> HOOKED (Unknown @ 0x8D38327D)
    [Address] SSDT[332] : NtSystemDebugControl @ 0x82207EF1 -> HOOKED (Unknown @ 0x8D383282)
    [Address] SSDT[334] : NtTerminateProcess @ 0x82200173 -> HOOKED (Unknown @ 0x8D38320F)
    [Address] Shadow SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D383296)
    [Address] Shadow SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D38329B)

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts


    127.0.0.1 00aaf101a7.gougava.asia # hosts anti-adware / pups
    127.0.0.1 08sr.combineads.info # hosts anti-adware / pups
    127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups
    127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups
    127.0.0.1 1a2e115593.efacen.pro # hosts anti-adware / pups
    127.0.0.1 1f1.fr # hosts anti-adware / pups
    127.0.0.1 1facebookhackeronline.blogspot.no # hosts anti-adware / pups
    127.0.0.1 2010-fr.com # hosts anti-adware / pups
    127.0.0.1 2012-new.biz # hosts anti-adware / pups
    127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups
    127.0.0.1 24h00business.com # hosts anti-adware / pups
    127.0.0.1 33black.porn-quest.net # hosts anti-adware / pups
    127.0.0.1 4672ee0bc8.laibritec.waw.pl # hosts anti-adware / pups
    127.0.0.1 4990usd.com # hosts anti-adware / pups
    127.0.0.1 4xp.com # hosts anti-adware / pups
    127.0.0.1 74.80.131.123 # hosts anti-adware / pups
    127.0.0.1 78031d2298.tradorad.waw.pl # hosts anti-adware / pups
    127.0.0.1 80323fcc6e.starsogor.waw.pl # hosts anti-adware / pups
    127.0.0.1 888.rahon.org # hosts anti-adware / pups
    127.0.0.1 8e47c22037.temavi.pro # hosts anti-adware / pups
    [...]


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9250320AS ATA Device +++++
    --- User ---
    [MBR] 3f5024570af9c34248a389a3c282ad46
    [BSP] 64e337131f490ad902cc12c1a0c940ba : Toshiba MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 227630 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 466188288 | Size: 10841 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_S_06152013_014747.txt >>




    RépondreSupprimer
  25. Un très grand merci !!!
    Juste quelques petites questions :
    - Sur le rapport il y a écrit : "Error reading LL2 MBR!", c'est sur PhysicalDrive0 et PhysicalDrive1 cela veut dire quoi svp ?
    - Faut-il redémarrer après ? Sur quel mode ?

    RépondreSupprimer
  26. Le driver reste rouge et ne se charge pas.J'ai lu que c'était normal sur un système 64 bits.
    Alors que veut dire RogueKiller compatible en 64 bits ? Si le driver n'est pas chargé je pense que le logiciel n'est pas fonctionnel et ne peut pas analyser mon Pc ?

    RépondreSupprimer
  27. Bjr, quand je lance RK ,il ya un petit message qui sort au début du scan me disant votre version est périmé ,j'ai eu un doute et j'ai vérifier et RK me dit que je suis a jour ,je reçois ce message a chaque lancement , j'ai voulu désinstaller roguekiller et le réinstallé a nouveau par précaution mais je ne le trouve pas dans désinstaller un programme ,suis je infecté et comment faire svp

    RépondreSupprimer
  28. Y a t-il un moyen d'utiliser RK sans le driver ? car je suis prise avec des trojan et un virus Systeme car Antivirus... j'imagine que j'utilise un 64bits...y a t-il un moyen de faire autrement ? je ne connais pas grand chose sur les ordis... :S Merci

    RépondreSupprimer
  29. Bonjour Tigzy.
    Merci pour votre antivirus qui m'a aidé face à un malware de type gendarmerie.
    Mais le rapport m'indique une atteinte de proxy qui nécessite l'utilisation du proxyRAZ.
    Problème, je suis sous windows7 64bits et le driver n'est pas disponible.
    Quelle solution avez vous pour ce genre de problèmes?

    Voici le rapport obtenu :

    RogueKiller V8.6.2 _x64_ [Jul 2 2013] par Tigzy
    mail : tigzyRKgmailcom
    Remontees : hxxp://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : nader2 [Droits d'admin]
    Mode : Suppression -- Date : 07/08/2013 21:11:24
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (10.61.82.10:8080) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [AUTORUN] HKCU\[...]\Command Processor : AutoRun ("C:\Users\nader2\AppData\Local\Temp\fuvqgrxaygoxqvssm.exe") -> REMPLACÉ ()

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts




    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD7500BPVT-60HXZT3 +++++
    --- User ---
    [MBR] 9984d4ec6426998f19b71c6a6b184b02
    [BSP] 072fdd74f9f039b735251e9bb61e0df4 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 688921 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1411319808 | Size: 22220 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1456826368 | Size: 4062 Mo
    User = LL1 ... OK!
    User != LL2 ... KO!
    --- LL2 ---
    [MBR] df59697d103a476732ccc8c050ebbc74
    [BSP] 072fdd74f9f039b735251e9bb61e0df4 : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 77824 Mo
    1 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 159793152 | Size: 4000 Mo
    2 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 167985152 | Size: 2000 Mo
    3 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 172081152 | Size: 1000 Mo

    Termine : << RKreport[0]_D_07082013_211124.txt >>
    RKreport[0]_S_07082013_211008.txt



    RépondreSupprimer
  30. Bonjour,

    Je ne sais pas si vous pouvez m'aider mais voici mon soucis, j'ai installé Roguekiller car je n'arrive plus à télécharger des pièces jointe quel qu'elle soit. j'ai du desinstallé mon antivirus AVG pour mettre avast. voici le rapport
    Merci pour votre aide

    RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
    mail : tigzyRKgmailcom
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Win Vista [Droits d'admin]
    Mode : Recherche -- Date : 07/09/2013 10:18:18
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts


    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    [...]


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST3250310AS ATA Device +++++
    --- User ---
    [MBR] 215c3bffd1e989f6bd5f2d2ad93849ee
    [BSP] 80f5b5c4ea1b446aacaf0485b212ed8a : Windows Vista MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238473 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_S_07092013_101818.txt >>
    RKreport[0]_S_07092013_100014.txt



    RépondreSupprimer
  31. merci pour votre outil il n'a permis de supprimer un proxi malicieux sous :tv channel

    RépondreSupprimer
  32. Bonjour...
    Après plusieurs passages par RogueKiller, et MalwareBytes... j'ai toujours deux ZéroAccess... dont je n'arrive pas à me libérer.
    Le centre de sécurité Windows reste inaccessible, mais j'ai pu redémarrer toutes les fonctionnalités de McAfee.
    Je ne m'explique pas cette infection, vu que j'utilise en permanence McAfee Internet Security, associé à Webroot Security Anywhere. Toutes les fonctions des deux logiciels de sécurité sont activées et la protection devrait être totale.
    Merci de me donner une marche à suivre pour virer des deux "merdes".

    RépondreSupprimer
  33. Bonsoir, je viens d'installer RogueKiller mais n'arrive toujours pas à supprimer ce "BrowserProtect" de mon ordinateur, cela me marque "remplacé" et "erreur".
    Quand je fais un scan avec Avast, il m'annonce 3 fichiers infectés sous :\ProgramData\BrowserProtect\2.6.112580 (et j'ai un message d'erreur: "accès refusé" pour la mise en quarantaine, pour la suppression et également quand je clique sur réparer.... Désespérant) et effectivement avec Spybot search and destroy je n'arrive pas non plus à l'enlever.
    Ce que je trouve bizarre c'est que je n'ai jamais installé ce programme et quand je vais dans "programme et fonctionnalité" je ne le trouve nul part.
    Pourriez vous me guider?

    Merci,
    Cordialement

    Jc_69

    RépondreSupprimer
  34. très bon outil en compléments d'un antivirus et autres outils pour supprimer des virus et troyens

    RépondreSupprimer
  35. Mon ordi a été infecté par "Hadopi", le faux bien sur, celui qui bloque totalement l'usage de la session infecté. Du coup j'ai téléchargé Roguekiller et j'ai lancé le scan et voilà le rapport :

    RogueKiller V8.6.12 [Sep 18 2013] par Tigzy
    mail : tigzyRKgmailcom
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : JOJO [Droits d'admin]
    Mode : Recherche -- Date : 09/22/2013 14:01:57
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 7 ¤¤¤
    [RUN][SUSP PATH] HKUS\S-1-5-21-2039230305-2438650444-434876951-1002\[...]\Run : jnbehd ("c:\users\jojo\appdata\local\jnbehd.exe" jnbehd [x][x]) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-2039230305-2438650444-434876951-1002\[...]\Run : qmqieddu (C:\Users\Laura\AppData\Local\Temp\kewfyipvu\lpiihboagnz.exe [x]) -> TROUVÉ
    [HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
    [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ DLL][SUSP PATH] HKLM\[...]\CCSet\[...]\Parameters : ServiceDll (C:\PROGRA~2\wg8th8.plz [-]) -> TROUVÉ
    [HJ DLL][SUSP PATH] HKLM\[...]\CS001\[...]\Parameters : ServiceDll (C:\PROGRA~2\wg8th8.plz [-]) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 1 ¤¤¤
    [V2][SUSP PATH] Updater12767.exe : C:\Users\JOJO\AppData\Local\Updater12767\Updater12767.exe - /extensionid=12767 /extensionname="Tiger Savings" /chromeid=akdojefgphalhhkagafpcoakgboeokdl [x][x] -> TROUVÉ

    ¤¤¤ Entrées Startup : 1 ¤¤¤
    [JOJO][SUSP PATH] 8ht8gw.lnk : C:\Users\JOJO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8ht8gw.lnk @C:\Windows\System32\rundll32.exe C:\PROGRA~2\wg8th8.plz,GL300 [-][-][-] -> TROUVÉ

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts


    127.0.0.1 localhost
    ::1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ( @ ) - +++++
    --- User ---
    [MBR] 9a783aa32aaa9ef8c4f5e5ff674edea6
    [BSP] cbe1a3892920c024e3e7b9efc684338e : MBR Code unknown
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 598334 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1225390005 | Size: 12142 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[0]_S_09222013_140157.txt >>
    RKreport[0]_S_09222013_135327.txt



    Ne voulant pas faire de bêtises je m'adresse a vous en espérant que quelqu'un m'aide, pour savoir ce que je peux supprimer et ce que je dois pas supprimer...

    Cordialement

    RépondreSupprimer
  36. J`ai installé et fait plusieurs scan,j`ai fait suppression pour tout,mais rien marche,je suis sur une autre session et c`est la session utilisateur qui est bloqué,quand j`y vais,je tombe directement sur la page blanche de grc,qui faut que je pait 100$... et je ne peut pas lancer en mode sans échec,sa dit que c`est impossible du a un logiciel ou de quoi comme sa.

    RépondreSupprimer
    Réponses
    1. et sur le virus(la page blanche de grc) c`est écrit que c`est supporté par avira antivirus,mais je vien de le supprimer,parce que je doute de ce antivirus,j`ai déja eu des problèmes avec et j`ai mis anvi smart defender a place

      Supprimer
  37. Merci beaucoup, j'ai récupéré l'ordinateur de ma fille d'un ransomware.

    RépondreSupprimer
  38. Bonjour, je suis comme qq uns d'entre vous. j'ai installé RK, mais je ne sais comment interpréter les résultats du scan. Je ne sais pas si j'ai des faux positifs et si je suis encore infecté.

    J'ai Vista. Même si je fais attention et met à jours mes logiciels + antivirus Avast version payante + SuperAnti-psyware + CC cleaner. Avast m'a indiqué qu'il avait bloqué une tentative d'accès à mon ordi lorsque j'étais sur le Net. J'ai passé Avast et il a indiqué que j'étais infecté par qq virus ! J'avais mis à jour Java cette session là. Après le scan, j'ai mis en quanrantaine, passé CC cleaner. J'ai du désinfecté trois fois. Fais des scans avant et après démarrage. Là, il semble que tout soit OK, mais j'ai encore peur d'avoir qq chose.
    Je n'ai pas pris en note les virus, mais il y avait un de type .Banker.

    Je crains maintenant qu'un qq chose de malicieux se soit caché. Merci de votre aide et désolé de mon ignorance.

    RépondreSupprimer
  39. bonjour,
    mon PC est infecté par le virus de la gendarmerie
    malgré mes restaurations (ce n'est pas la 1ère fois
    mais la restauration ne suffit plus) et j'aimerais
    utiliser RK mais l'icône du DRIVER reste en rouge,
    pourquoi ?
    J'ai scanné quand même mais je n'ose pas supprimer.
    Le PC est sous windows7.
    Je vous remercie de l'aide que vous pourrez m'apporter

    RépondreSupprimer
  40. bonjour roguekiller ma trouvé un driver inconnu voici le rapport RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
    mail : tigzyRKgmailcom
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : HP [Droits d'admin]
    Mode : Recherche -- Date : 10/31/2013 09:56:01
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    [Inline] EAT @explorer.exe (?_Clocptr@_Locimp@locale@std@@0PAV123@A) : MSVCP90.dll -> HOOKED (Unknown @ 0x7B515DB5)
    [Inline] EAT @explorer.exe (?_Clocptr@_Locimp@locale@std@@0PAV123@A) : MSVCP60.dll -> HOOKED (Unknown @ 0x5E073985)

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts


    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST3160021A +++++
    --- User ---
    [MBR] 2ae044f8fcb656a0b1d81e1bf85027be
    [BSP] 55a73ffcd33f9825cc9f4c909b280340 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_S_10312013_095601.txt >>




    c'est quoi ce driver explorer.exe d'ou vient il ets il dangereux????
    en tout cas votre pti log de desinfection est trés efficace !!!

    RépondreSupprimer
  41. Malheureusement, je crois que nous n,avons pas de réponse sur ce mur. J'aurais bien aimé savoir comment bien interprété mon rapport de RK. Il semble y avoir des choses dans les entrées de régistre, mais je ne sais pas si c'est réel. Il y a aussi qq dans Tâches planifiées et peut être dans Driver. Est-ce que je peux envoyer le rapport à qq part ? Merci quand même

    RépondreSupprimer
  42. Bonjour,
    Pour toute question, merci d'utiliser le FORUM
    http://www.adlice.com/forum/

    RépondreSupprimer
  43. Bonjours! J'ai un petit problème, j'ai pris ce logiciel mais je ne sais pas exactement ce qu'il faut décocher dans l'onglet " registre " les trois premiers on un " 0 " dans " Donnée " et les quatre dernier on un " 1 " dans " donnée "
    je ne sais vraiment pas quoi décocher et quoi supprimer

    RépondreSupprimer
  44. Bonjour,

    J'ai un dossier mise en quarantaine sur mon bureau après le scan je dois le supprimer ou pas

    RépondreSupprimer
  45. bonjour

    j utilise roguekiller v8.8.2 x64 (win 8.1 64 bits) car j ai l anti virus qui démarre plus au lancement du pc, malgré son entrée dans le groupe démarrage.

    mais j ai le processus dllhost.exe qui empêche la fin de l analyse.
    une idée

    par avance merci

    RépondreSupprimer
  46. Un conseil si vous voulez une réponse par le créateur du site, au lieu de lui dire merci, merci, laissez lui ne serait ce que 5 euros avec Paypal (site sans aucun risque et sans être pour autant abonné il est même gratuit pour celui qui paie) si vous voulez qu'il continue à nous offrir une sécurité ''free'' soyez sympa laissez lui un minimum de monnaie ;-)

    RépondreSupprimer