![La discussion « [RogueKiller] Remontées » se trouve dans le forum « Labo malware »](http://i2.slt.lt/ic/labo.png "Forum Labo malware")
![Statut de la discussion » [RogueKiller] Remontées « ( épinglée)](/icones/discussion_NAN.png "discussion épinglée") | [RogueKiller] Remontées |
Page:   |
» Liste des Forums » Labo malware » Discussion » 690 réponses, 189 participants, mise à jour le 2013-05-28 17:37 | ||
ParticiperModérer
+46
-
+
26 ans.
Le 2-10-2010 à 18:13 # 
Salut
J'ai développé un outil en C++ qui s'appelle RogueKiller, et qui a pour vocation à terme de remplacer Rkill (qui pour l'instant est à la ramasse).
Pour ceux à qui ça ne parle pas, RogueKiller vise essentiellement les rogues (faux logiciels de sécurité) , mais je vais peut être élargir.
En particulier, il vise les rogues qui empêchent l'exécution de programmes comme c'est le cas par exemple avec Security Tools:
RogueKiller scanne les exécutables lancés, et si certains sont des rogues, il les tue (avant que ces derniers n'aient pu le faire)
En voici son Changelog et le lien officiel: RogueKiller Page Officielle
Si j'ai créé cette discussion, c'est pour 2 choses:
1- Présenter mon outil
2- Faire un fil référence pour les remontées publiques (la partie privée étant assurée par l'équipe de Web-Tranquille)
La présentation étant faite, voici l'utilisation:
===========================================================================
* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
** Si une clé de registre a été détectée, si vous êtes sûr qu'elle appartient au Rogue, passer le mode 2. Si vous ne savez pas, faites vous aider.
Dans tous les cas, les processus infectieux a été tué, vous pouvez désinfecter tranquillement
** Si le programme demande pour supprimer le proxy, tapez 1 si vous êtes sûr que ce n'est pas vous qui l'avez mis, sinon taper 2
===========================================================================
Pour ce qui est des remontées, je demande que ce soit fait de manière assez stricte:
===========================================================================
Après utilisation de l'outil, ET si le résultat n'est pas celui escompté
(le rogue n'a pas été tué), faire ce qui suit
* Me donner le résultat du rapport RKreport.txt
* Me donner un lien vers la discussion sur laquelle vous vous faites aider (désinfecter)
* OU me donner un rapport diagnostique ZHPdiag / RSIT / OTL / Hijack this/ OTM ... ou l'on peut voir l'éxécutable du rogue (si vous ne savez pas, donnez quand même)
Vous pouvez me donner ça sur cette discussion, ou sur mon adresse mail (voir dans le rapport RKreport.txt)
===========================================================================
Merci à Ben pour l'hébergement de l'outil sur le site sur-la-toile.com
Quelques exemples de rapport pour montrer à quoi sert la nouvelle version:
Security tools
Antivirus Soft
(Modifié par tigzy le 23-10-2010 à 13:10)
--
J'ai développé un outil en C++ qui s'appelle RogueKiller, et qui a pour vocation à terme de remplacer Rkill (qui pour l'instant est à la ramasse).
Pour ceux à qui ça ne parle pas, RogueKiller vise essentiellement les rogues (faux logiciels de sécurité) , mais je vais peut être élargir.
En particulier, il vise les rogues qui empêchent l'exécution de programmes comme c'est le cas par exemple avec Security Tools:
RogueKiller scanne les exécutables lancés, et si certains sont des rogues, il les tue (avant que ces derniers n'aient pu le faire)
En voici son Changelog et le lien officiel: RogueKiller Page Officielle
Si j'ai créé cette discussion, c'est pour 2 choses:
1- Présenter mon outil
2- Faire un fil référence pour les remontées publiques (la partie privée étant assurée par l'équipe de Web-Tranquille)
La présentation étant faite, voici l'utilisation:
===========================================================================
* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
** Si une clé de registre a été détectée, si vous êtes sûr qu'elle appartient au Rogue, passer le mode 2. Si vous ne savez pas, faites vous aider.
Dans tous les cas, les processus infectieux a été tué, vous pouvez désinfecter tranquillement
** Si le programme demande pour supprimer le proxy, tapez 1 si vous êtes sûr que ce n'est pas vous qui l'avez mis, sinon taper 2
===========================================================================
Pour ce qui est des remontées, je demande que ce soit fait de manière assez stricte:
===========================================================================
Après utilisation de l'outil, ET si le résultat n'est pas celui escompté
(le rogue n'a pas été tué), faire ce qui suit
* Me donner le résultat du rapport RKreport.txt
* Me donner un lien vers la discussion sur laquelle vous vous faites aider (désinfecter)
* OU me donner un rapport diagnostique ZHPdiag / RSIT / OTL / Hijack this/ OTM ... ou l'on peut voir l'éxécutable du rogue (si vous ne savez pas, donnez quand même)
Vous pouvez me donner ça sur cette discussion, ou sur mon adresse mail (voir dans le rapport RKreport.txt)
===========================================================================
Merci à Ben pour l'hébergement de l'outil sur le site sur-la-toile.com
Quelques exemples de rapport pour montrer à quoi sert la nouvelle version:
Security tools
---------------- RogueKiller V1.1.0 by Tigzy ---------------
------------ contact at www.sur-la-toile.com ---------------
------------- mail: tigzy44<at>hotmail<dot>com -------------
Remontées: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Bad processes:
Killed 41192952.exe
Deregistred:
HKCU\...\RUNONCE\ 41192952 : "C:\Documents and Settings\tigzy\Local Settings\Application Data\41192952.exe" 8 38
Finished
Antivirus Soft
---------------- RogueKiller V1.1.0 by Tigzy ---------------
------------ contact at www.sur-la-toile.com ---------------
------------- mail: tigzy44<at>hotmail<dot>com -------------
Remontées: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Bad processes:
Killed fkqriw.exe
Deregistred:
HKCU\...\RUN\ yxoxkdlms : c:\documents and settings\tigzy\local settings\application data\urpgffab\fkqriw.exe
HKLM\...\RUN\ yxoxkdlms : c:\documents and settings\tigzy\local settings\application data\urpgffab\fkqriw.exe
Finished
(Modifié par tigzy le 23-10-2010 à 13:10)
--
Configuration (au moment de poster):
OS: Windows 7 32 bits
Navigateur: Firefox 3.6
FAI: proxad.net (Free)
OS: Windows 7 32 bits
Navigateur: Firefox 3.6
FAI: proxad.net (Free)
+1
-
+
+0
-
+
+1
-
+
+0
-
+
Le 11-10-2010 à 15:05 #
salut,tout d'abord un grand merci pour ton roguekiller.je ne savais pas quoi faire pour virer cette merde et je suis arriver sur cette page. auresement qu'il y a des mecs comme toi merci 
+1
-
+
+0
-
+
+0
-
+
+1
-
+
+0
-
+
+1
-
+
-5
-
+
22 ans.
+1
-
+
Le 19-10-2010 à 11:29 #
Salut
Merci ça m'aide car ceci:
RtkBtMnt.exe
est un faux positif.
C'est ajouté
EDIT: Le rogue est inactif, tu peux passer MBAM pour virer les fichiers du disque dur.
(Modifié par tigzy le 19-10-2010 à 11:30)
Merci ça m'aide car ceci:
RtkBtMnt.exe
est un faux positif.
C'est ajouté
EDIT: Le rogue est inactif, tu peux passer MBAM pour virer les fichiers du disque dur.
(Modifié par tigzy le 19-10-2010 à 11:30)
+0
-
+
+1
-
+
Le 19-10-2010 à 11:49 #
Faux positif ça veut dire que le fichier est légitime et n'aurait pas du être tué.
C'est le boulot du développeur de les minimiser et les corriger aussi rapidement possible.
ça n'a pas d'influence sur ton Pc
Pour répondre à ta question, si tu n'as plus d'alertes alors il est parti.
C'est pas le genre de rogue à se faire discret comme tu as pu le voir.
C'est le boulot du développeur de les minimiser et les corriger aussi rapidement possible.
ça n'a pas d'influence sur ton Pc
Pour répondre à ta question, si tu n'as plus d'alertes alors il est parti.
C'est pas le genre de rogue à se faire discret comme tu as pu le voir.
+0
-
+
Le 19-10-2010 à 12:00 #
Concernant la définition de "Faux positif", je le saurais pour les prochaines fois et je serais moins bête en informatique. :D Je comprends mieux pourquoi tu demandes pour parfaire Roguekiller, les remontées du rapport.
Tant que ça n'a pas d'incidence sur mon PC, c'est niquel. :D J'ai cru en lisant "Faux Positif" que ce fut vain toutes ces manipulations pour supprimer ce rogue.
Oui c'est sûr que c'est le rogue qui est très, très perceptible, c'est une calamité ce genre de choses.
C'est niquel tout ça, je me sens moins bête en informatique (rousse mais pas si bête que ça :D), merci pour les explications, ça m'a sauvé la mise, au moins j'évolue petit à petit dans ce monde pas si évident que ça. Mais j'ai pas eu besoin de demander qu'on m'assiste. (Grande fierté.
).
Merci beaucoup vraiment et bonne journée.
Tant que ça n'a pas d'incidence sur mon PC, c'est niquel. :D J'ai cru en lisant "Faux Positif" que ce fut vain toutes ces manipulations pour supprimer ce rogue.
Oui c'est sûr que c'est le rogue qui est très, très perceptible, c'est une calamité ce genre de choses.
C'est niquel tout ça, je me sens moins bête en informatique (rousse mais pas si bête que ça :D), merci pour les explications, ça m'a sauvé la mise, au moins j'évolue petit à petit dans ce monde pas si évident que ça. Mais j'ai pas eu besoin de demander qu'on m'assiste. (Grande fierté.
).
Merci beaucoup vraiment et bonne journée.
+2
-
+
Le 19-10-2010 à 12:15 #
Pas de quoi, Tchô 
EDIT: stop
Je viens de remarquer, tu as passé le mode "Scan".
relance RogueKiller en mode "Remove" (mode 2) pour vérifier.
En fait je crois que c'est malwarebytes qui a fait le ménage et pas mon outil.
EDIT2: Bon de toute façon MBAM a du tout virer, y compris la clé de registre... on va dire que c'est ok
(Modifié par tigzy le 19-10-2010 à 12:20)
EDIT: stop
Je viens de remarquer, tu as passé le mode "Scan".
relance RogueKiller en mode "Remove" (mode 2) pour vérifier.
En fait je crois que c'est malwarebytes qui a fait le ménage et pas mon outil.
EDIT2: Bon de toute façon MBAM a du tout virer, y compris la clé de registre... on va dire que c'est ok
(Modifié par tigzy le 19-10-2010 à 12:20)
+0
-
+
+1
-
+
Le 19-10-2010 à 12:33 #
Oui, ya pas mal de personnes qui savent pas lire les manips, faut pas en tenir compte 
Toi c'est ok
Toi c'est ok
+0
-
+
+1
-
+
+0
-
+
Le 23-10-2010 à 23:49 #
Bonsoir,
J'ai eu un démarrage ce soir de Sécutity Tool sur le PC de mon fils.
J'ai utilisé deux fois l'outil de Tigzy. Voici le rapport:
RogueKiller V2.3.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Remontées: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Operating System: Windows 7 (6.1.7600 ) version 64 bits
Mode: Scan
Bad processes:
Killed 3744152.exe
Found:
\...\RUNONCE\ 3744152 : "C:\Users\Vincent\AppData\Local\3744152.exe" 8 32
Finished
RogueKiller V2.3.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Remontées: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Operating System: Windows 7 (6.1.7600 ) version 64 bits
Mode: Scan
Bad processes:
Found:
\...\RUNONCE\ 3744152 : "C:\Users\Vincent\AppData\Local\3744152.exe" 8 32
Finished
Ensuite, j'ai passé MBAM: voici le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4929
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
23/10/2010 23:36:58
mbam-log-2010-10-23 (23-36-58).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 138359
Temps écoulé: 5 minute(s), 31 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\3744152 (Rogue.SecurityTool) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Vincent\AppData\Local\3744152.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
J'ai cliqué sur "supprimer".
Depuis à priori RAS, mais j'ai lancé Avast pour un scan complet.
Pour l'heure j'ai détecté et supprimé cela:
Infection: Win32:Autorun-BPN [Wrm]
Entre les netbook et les PC, il y a 5 machines en réseau à la maison ... Faut-il faire autre chose ?
Quoi qu'il en soit, merci pour ce fil et cet outil.
Complice
(Modifié par complice le 23-10-2010 à 23:59)
J'ai eu un démarrage ce soir de Sécutity Tool sur le PC de mon fils.
J'ai utilisé deux fois l'outil de Tigzy. Voici le rapport:
RogueKiller V2.3.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Remontées: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Operating System: Windows 7 (6.1.7600 ) version 64 bits
Mode: Scan
Bad processes:
Killed 3744152.exe
Found:
\...\RUNONCE\ 3744152 : "C:\Users\Vincent\AppData\Local\3744152.exe" 8 32
Finished
RogueKiller V2.3.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Remontées: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Operating System: Windows 7 (6.1.7600 ) version 64 bits
Mode: Scan
Bad processes:
Found:
\...\RUNONCE\ 3744152 : "C:\Users\Vincent\AppData\Local\3744152.exe" 8 32
Finished
Ensuite, j'ai passé MBAM: voici le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4929
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
23/10/2010 23:36:58
mbam-log-2010-10-23 (23-36-58).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 138359
Temps écoulé: 5 minute(s), 31 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\3744152 (Rogue.SecurityTool) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Vincent\AppData\Local\3744152.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
J'ai cliqué sur "supprimer".
Depuis à priori RAS, mais j'ai lancé Avast pour un scan complet.
Pour l'heure j'ai détecté et supprimé cela:
Infection: Win32:Autorun-BPN [Wrm]
Entre les netbook et les PC, il y a 5 machines en réseau à la maison ... Faut-il faire autre chose ?
Quoi qu'il en soit, merci pour ce fil et cet outil.
Complice
(Modifié par complice le 23-10-2010 à 23:59)
+1
-
+
Le 24-10-2010 à 11:33 #
Salut ça ira 
Ne pas oublier qu'il y a un mode "Remove" sur l'outil, et donc qu'il aurait pu supprimer la clé de registre!
Ne pas oublier qu'il y a un mode "Remove" sur l'outil, et donc qu'il aurait pu supprimer la clé de registre!
+0
-
+
+1
-
+
Le 26-10-2010 à 13:04 #
salut
tu l'as passé combien de fois?
tu dois repasser en mode 2, et supprimer le proxy quand c'est demandé (option 1. remove)
tu l'as passé combien de fois?
tu dois repasser en mode 2, et supprimer le proxy quand c'est demandé (option 1. remove)
+0
-
+
+1
-
+
+0
-
+
+6
-
+
+0
-
+
Page:
ParticiperModérer
Ces discussions pourraient vous intéresser également:
roguekiller remontées
[Labo]Remontées de liens et fichiers infectieux
rapport roguekiller
utiliser ROGUEKILLER
analyse roguekiller
Liens Rapides
Forums SciencesForums Informatique
Forums Divers
Aide aux Devoirs
Top des messages les + utiles/drôles
Humour Geek et vidéos virales
Sujets Connexes
- roguekiller remontées
- Des remontées dans la gorge : des glaires ??
- [Labo]Remontées de liens et fichiers infectieux
- roguekiller (résolu)
- roguekiller log (résolu)
Ils ont besoin d'aide:
- Virus detectés .(pubs intempestives, demande de mise à jour ....
- boot avec clé usb
- Ou partir en avril
- IPhone 4 iOS 7 beta, problème avec compte développeur
- Questionnement sur Thérèse Desqueyroux
- Problème avec google analytics
- [Logo] Logo d'un groupe de création de jeux videos en forme de croissant lunaire
- Antigone de Jean Anouilh
- UC hp-compaq CQ2000 qui démarre à contretemps
- Pas de signal écran, pas de prise en charge des périphériques.
Du nouveau ?
- La vitesse de lumière est t'elle plus rapide que son observateur?
- nouvelle machine,votre avis ?
- Compilation des messages les plus drôles des toiliens!
- Je suis amoureuse de l'ex a mon amie
- Batterie ne prend pas de charge
- Mon successeur !
- Pastafarien à la recherche de sa bible
- [HTML et JavaScript] Problème avec IE, RAS sur firefox ou chrome
- Cherche à modifier le logo Koh lanta
- identificatiion de monnaies ancienne
Fiches d'Aide
Salons de Tchat
Articles populaires :
Les plantes qui brillent dans le noir : un gène trop loin ?
Ménopause : un médicament pour améliorer la vie sexuelle.
Sauf mention contraire, le contenu du blog et du forum est sous licence Creative Commons By-Sa. Vous avez le droit de le reproduire et de le modifier à condition de citer l'auteur, de faire un lien vers la page d'origine, et de partager vos travaux dérivés selon les mêmes conditions.
Conditions d'utilisation
Partenaires: Forum informatique éligibilité ADSL Astuces Windows
Page générée en 1,11 seconde(s) sur WWW1.
