Tutoriel RogueKiller (Tigzy)

Sommaire :

1 - Explications du logiciel.
2 - Lancement et utilisation de l'outil.
3 - Contacter l'auteur

1 - Explications du logiciel :

RogueKiller est un outil (créé par Tigzy) permettant de tuer les processus appartenant à des rogues de manière automatique. Dans la mesure où certaines infections empêchent l'exécution des scans antivirus/antimalware habituels, cet outil est un outil préliminaire à un processus complet de désinfection. Il est basé sur le principe de Rkill (de Gringler), outil obsolète contre les dernières vagues d'infection Rogue (Voir notre FAQ sur les infections pour savoir ce qu'est un Rogue).

De cette façon, la désinfection peut se poursuivre et la personne infectée peut donc exécuter les directives demandées par la personne en charge de nettoyer l'ordinateur.

RogueKiller utilise également un driver. Notez que ce dernier ne s'exécute pas sur des systèmes 64 bits.

Mais RogueKiller peut faire plus.

Il scanne le MBR de votre ordinateur, peut supprimer des proxy.

2 - Lancement et utilisation de l'outil.

Vous pouvez télécharger RogueKiller ici : http://www.sur-la-toile.com/RogueKiller/

Lancez RogueKiller par double clic sur Windows XP et par clic droit > Exécuter en tant qu'administrateur sur Vista et Seven.
Si le rogue bloque le lancement de l'outil, ne pas hésiter à le renommer en WinLogon.exe ou en RogueKiller.pif

Accepter l'EULA après le prescan.


Exemple de rapport en mode Recherche :

Code:

RogueKiller V8.3.1 [Nov 26 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Karterl [Droits d'admin]
Mode : Recherche -- Date : 28/11/2012 11:28:06

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 12 ¤¤¤
[RUN][NOTFOUND] HKUS\.DEFAULT[...]\Run : Welcome Center (C:\Windows\system32\rundll32.exe C:\Windows\system32\OobeFldr.dll,ShowWelcomeCenter LaunchedBy_StartMenuShortcut) -> TROUVÉ
[RUN][NOTFOUND] HKUS\S-1-5-18[...]\Run : Welcome Center (C:\Windows\system32\rundll32.exe C:\Windows\system32\OobeFldr.dll,ShowWelcomeCenter LaunchedBy_StartMenuShortcut) -> TROUVÉ
[STARTUP][SUSP PATH] Little transparency.exe @Common : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Little transparency.exe -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{8247347C-9168-41A9-8BAE-9CF0A5D26DD7} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{E94D42EB-38B4-4685-B6F3-756B26A0BB1F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{8247347C-9168-41A9-8BAE-9CF0A5D26DD7} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{E94D42EB-38B4-4685-B6F3-756B26A0BB1F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD16 00AABS-00PRA SCSI Disk Device +++++
--- User ---
[MBR] 2a9599a3f940ed459517c1393523b70b
[BSP] 2832a5384224c217d0abc08972c9881a : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 152525 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: ST925031 5AS USB Device +++++
--- User ---
[MBR] 7333938e9d4d03a9cd68a44fcd917745
[BSP] 6cfdf705e60dd2ba6324c07005473ff5 : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_28112012_112806.txt >>
RKreport[1]_S_28112012_112806.txt

Mode Scan

Dans ce mode, le programme va uniquement tuer les processus infectieux, et informer l'utilisateur des clés de registres infectées, mais ne va pas y toucher. De cette façon, en fournissant le rapport généré, un helper connaissant ce type d'infection pourra demander, ou non, l'utilisation du mode 2.

Mode Suppression

Dans ce mode, le programme va également tuer les processus infectieux, mais aussi cibler les clés de registre permettant au rogue de se relancer au démarrage, et les supprimer. Le remplacement du fichier services.exe patché dans le cas d'une infection sirefef sur un système 64 bits s'effectuera également mais un redémarrage est nécessaire.

Dans ce mode, les configurations Proxy, DNS et Hosts ne sont pas supprimées, il faudra passer ensuite le mode correspondant à l'infection trouvée (un message s'affiche dans le rapport, invitant à passer le mode correspondant)

Mode Host RAZ

Dans ce mode, le programme réinitialisera le fichier HOSTS (localisé à %WinDir%\system32\etc\hosts) avec une ligne basique et sûre: 127.0.0.1 localhost
Les processus infectieux sont également tués, comme dans les autres modes

Mode Proxy RAZ

Dans ce mode, le programme va supprimer les proxy trouvés, pour Internet Explorer et pour Firefox.
Les proxy installés sont visibles depuis les modes 1 et 2. Je préconise d'ailleurs de toujours passer le mode 1 pour vérifier ce qui sera supprimé dans les autres modes.
Les processus infectieux sont également tués, comme dans les autres modes.

Mode DNS RAZ

Dans ce mode, le programme va supprimer les serveurs DNS entrés dans la configuration des différentes cartes réseau. On ne peut pas trier les interfaces, tout est supprimé.
Si un DNS légitime avait été installé et que le PC a par la suite été infecté avec un DNS malicieux, il conviendra de réinstaller la config du DNS après le passage de ce mode.
Les DNS installés sont visibles depuis les modes 1 et 2.
Les processus infectieux sont également tués, comme dans les autres modes

Mode Racc. RAZ

Dans ce mode, le programme va restaurer l'attribut "Normal" sur certains dossiers (Bureau/Menu démarrer/etc) , qui auront été passés en "Caché" par le rogue Windows Diagnostic
A utiliser si vos dossiers/fichiers ont disparu du bureau seulement.

Quitter l'outil

Ce mode est le moyen de fermer l'outil correctement. En effet, si l'on ferme RogueKiller sans avoir utilisé ce mode, le driver créé par l'outil ne sera pas supprimé.
Il faut passer par le bouton Fichier -> Quitter.

3 - Contacter l'auteur

Pour contacter le créateur de l'outil :

Site officiel : http://www.sur-la-toile.com/RogueKiller/