Votre question

Comment supprimer le virus KD.Rogue.804023

Tags :
  • PC
  • Virus
  • Avira
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Décembre 2012 13:07:14

Bonjour,

Mon PC est infecté par le virus KD.Rogue.804023 qui revient sans cesse (identification par Avira).

Pouvez-vous m'aider à le suprimer ?

Merci d'avance

Autres pages sur : supprimer virus rogue 804023

a b 8 Sécurité
29 Décembre 2012 13:35:19

Bonjour,

Tu as son emplacement ?
29 Décembre 2012 13:43:39

J'ai un message sur Avira :
Access to file 'C:\Users\...\WindowsLiveUpdate.exe containing the virus or unwanted progrm 'TR/Rogue.KD.804023.1' was blocked.
Contenus similaires
a b 8 Sécurité
29 Décembre 2012 13:53:13

On dirait un faux positif.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    a b 8 Sécurité
    29 Décembre 2012 15:27:23

    Re,

    Désinstalle si possible :
    Dll-Files Fixer, pas de confiance
    Iminent

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      PRC - [2012/12/19 20:43:14 | 002,612,336 | ---- | M] (Iminent) -- C:\Program Files (x86)\Common Files\Umbrella\Umbrella.exe
      SRV - [2012/12/19 20:43:14 | 002,612,336 | ---- | M] (Iminent) [Auto | Running] -- C:\Program Files (x86)\Common Files\Umbrella\Umbrella.exe -- (SProtection)
      IE - HKLM\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=[AppInstanceUid]&ref=toolbox&q={searchTerms}
      IE - HKU\S-1-5-21-1799954431-2894848902-2654521264-1000\..\URLSearchHook: {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No CLSID value found
      IE - HKU\S-1-5-21-1799954431-2894848902-2654521264-1000\..\URLSearchHook: {cfcb809c-3a22-4616-a916-6c007bd9d920} - No CLSID value found
      IE - HKU\S-1-5-21-1799954431-2894848902-2654521264-1000\..\SearchScopes\{7775ABF5-0FF0-4394-B61F-1A18293F16C8}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3241952
      IE - HKU\S-1-5-21-1799954431-2894848902-2654521264-1000\..\SearchScopes\{ADF7D5E3-8CA3-4BF9-82B1-68D62691D94F}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=W3I4&o=15934&src=kw&q={searchTerms}&locale=fr_FR&apn_ptnrs=^A9O&apn_dtid=^YYYYYY^YY^FR&apn_uid=A20C10BA-A97A-45C4-94EF-53F5F2E9D311&apn_sauid=0DD0DD7C-88D7-4AB2-98A6-FB76BAA15B61
      IE - HKU\S-1-5-21-1799954431-2894848902-2654521264-1000\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=[AppInstanceUid]&ref=toolbox&q={searchTerms}
      O2:[b]64bit:[/b] - BHO: (no name) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - No CLSID value found.
      O2:[b]64bit:[/b] - BHO: (no name) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - No CLSID value found.
      O2 - BHO: (no name) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - No CLSID value found.
      O2 - BHO: (no name) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - No CLSID value found.
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKU\S-1-5-21-1799954431-2894848902-2654521264-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
      O3 - HKU\S-1-5-21-1799954431-2894848902-2654521264-1000\..\Toolbar\WebBrowser: (no name) - {CFCB809C-3A22-4616-A916-6C007BD9D920} - No CLSID value found.
      O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O4 - HKU\S-1-5-21-1799954431-2894848902-2654521264-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      [2012/12/20 20:50:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
      [2012/12/20 20:08:07 | 000,000,000 | ---D | C] -- C:\Users\John Travolta\AppData\Local\Conduit
      [2012/12/28 23:15:38 | 000,000,000 | ---D | C] -- C:\Users\John Travolta\AppData\Roaming\DriverCure
      [2012/12/28 23:15:37 | 000,000,000 | ---D | C] -- C:\Users\John Travolta\AppData\Roaming\SpeedyPC Software
      [2012/12/28 23:14:58 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedyPC Software
      [2012/12/28 23:14:58 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SpeedyPC Software
      [2012/12/29 11:56:59 | 000,000,000 | ---D | C] -- C:\Users\John Travolta\AppData\Roaming\dll-files.com
      [2012/12/29 11:56:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Dll-Files.com Fixer
      [2012/12/29 11:56:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dll-Files Fixer
      [2012/12/19 20:42:23 | 000,000,000 | ---D | C] -- C:\Users\John Travolta\AppData\Roaming\Iminent
      [2012/12/19 20:42:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Iminent
      [2012/12/19 20:42:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
      [2012/12/19 20:42:23 | 000,000,000 | ---D | C] -- C:\Users\John Travolta\AppData\Roaming\Iminent
      [2012/12/19 20:42:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Iminent
      [2012/12/19 20:42:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
      [2012/12/19 20:42:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Umbrella

      :reg
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
      "{C3D9E786-553A-41A7-A8D3-BAF040E73FAC}"=-

      :files
      C:\Users\John Travolta\AppData\Local\{*}

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a b 8 Sécurité
    29 Décembre 2012 16:40:31

    Soit le rapport n'est pas complet, soit tu n'as pas tout copier/coller dans la procédure.
    a b 8 Sécurité
    29 Décembre 2012 18:04:54

    Tu as les mêmes alertes?
    29 Décembre 2012 21:09:27

    Bonne nouvelle, depuis 1H le message n'apparait plus lorsque je lance internet, cela semble réparé...

    Un grand merci pour ce premier résultat !
    a b 8 Sécurité
    29 Décembre 2012 21:11:11

    Tu as essayé de supprimer manuellement le fichier ?
    29 Décembre 2012 21:28:35

    Aie revoila le message
    Access to file 'C:\Users\...\WindowsLiveUpdate.exe containing the virus or unwanted progrm 'TR/Rogue.KD.804023.1' was blocked
    lorsque je redémarre internet explorer après avoir fermé une session


    Auparavant cela le faisait aussi lorsque je lançais une nouvelle session à partir d'une session en cours.
    Comme cela ne le faisait plus j'ai pensé à tort que c'était réparé...

    Oui j'ai essayé de supprimer WindowsLiveUpdate manuellement mais cela n'a semble t il rien donné
    29 Décembre 2012 21:36:30

    Je viens d'identifier une piste :
    j'ai 2 internet explorer :
    C:\Program Files (x86)\Internet Explorer\iexplore.exe qui déclenche le virus et
    C:\Program Files\Internet Explorer\iexplore.exe qui ne le déclenche pas...
    a b 8 Sécurité
    30 Décembre 2012 14:44:19

    C'est bizarre. Tu peux analyser les deux fichiers sur VirusTotal.com puis tu m'envoies les rapports stp ?
    30 Décembre 2012 16:41:39

    Voici les rapports, à priori le problème ne vient pas de là...


    SHA256:

    f8cb86facd60d6493b9a1d76cbeee6b81f79d3ffa75594c624fa41165c6f19fd



    File name:

    iexplore.exe

    Detection ratio:

    0 / 43



    Analysis date:

    2012-12-30 15:36:13 UTC ( 1 minute ago )


    SHA256:

    9c40f1adf1572bbde18fd2b5f7f152c2c54bfbc914071cd3b61e868cb0c8c907


    Detection ratio:

    0 / 46


    Analysis date:

    2012-12-30 15:38:45 UTC ( 1 minute ago )

    a b 8 Sécurité
    30 Décembre 2012 22:44:25

    C'est une fausse alerte sur ces deux fichiers.
    31 Décembre 2012 10:52:37

    Comment enlever cette fausse alerte ?

    Merci d'avance
    a b 8 Sécurité
    31 Décembre 2012 16:07:34

    "C:\Users\...\WindowsLiveUpdate.exe" c'est impossible d'avoir le chemin complet ?
    1 Janvier 2013 21:22:17

    j'ai trouvé, c'est :
    c:\Users\John Travolta\App Data\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\John Travolta\App Data\Roaming\MCommon\WindowsLiveUpdate.exe !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS