Comment utiliser RogueKiller ?
Qu’est-ce que RogueKiller ?
RogueKiller est un outil (créé par Tigzy) permettant de tuer les processus appartenant à des rogues (faux logiciel de protection) de manière automatique. Dans la mesure où certaines infections empêchent l’exécution des scans antivirus/antimalware habituels, cet outil est un outil préliminaire à un processus complet de désinfection.
De cette façon, la désinfection peut se poursuivre et la personne infectée peut donc exécuter les directives demandées par la personne en charge de nettoyer l’ordinateur.
Comment utiliser RogueKiller ?
Commencer par télécharger la dernière version de RogueKiller. Ensuite pour plus de fiabilité, vous pouvez renommer le fichier RogueKiller.exe en iexplorer.exe par exemple.
Voici l’interface de RogueKiller :
Voici un exemple de fichier log (PC non infecté) :
[php]RogueKiller V6.2.0 [12/12/2011] par Tigzymail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d’exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: mikael [Droits d’admin] Mode: Recherche — Date : 19/12/2011 15:48:34
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[…]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[…]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[…]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[…]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
— User —
[MBR] 989c9d1da119946852389f26430c1054
[BSP] 8175a2cb7a2bf3b66dea43f0a013c096 : MBR Code unknown
Partition table:
0 – [XXXXXX] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 249730 Mo
1 – [ACTIVE] NTFS [VISIBLE] Offset (sectors): 487757824 | Size: 314 Mo
User = LL1 … OK!
User = LL2 … OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt[/php]
Mode 1 : Recherche
Dans ce premier mode, le programme va uniquement tuer les processus malicieux, et informer l’utilisateur des clés de registres infectées, mais ne va pas y toucher. De cette façon, un utilisateur non averti pourra donner le rapport a son technicien ou sur un forum. Ensuite la personne en charge du dossier pourras indiquer si il y a besoin de passer au menu 2.
Instructions
- Télécharger sur le bureau RogueKiller
- Quitter tous les programmes en cours
- Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
- Sinon lancer simplement RogueKiller.exe
- Lorsque demandé, taper 1 et valider
- Patienter un moment pendant le scan
- Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe ou iexplorer.exe
Mode 2 : Supression
Dans ce mode, le programme va également tuer les processus malicieux, mais aussi cibler les clés de registre permettant au rogue de se relancer au démarrage, et les supprimer.
Dans ce mode, les configurations Proxy, DNS et Hosts ne sont pas supprimées, il faudra passer ensuite le mode correspondant à l’infection trouvée (un message s’affiche dans le rapport, invitant à passer le mode correspondant)
Instructions
- Télécharger sur le bureau RogueKiller
- Quitter tous les programmes en cours
- Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
- Sinon lancer simplement RogueKiller.exe
- Lorsque demandé, taper 2 et valider
- Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Mode 3 : HOSTS RAZ
Dans ce mode, le programme réinitialisera le fichier HOSTS (C:/windows/system32/etc/hosts) avec une ligne basique et sûre: 127.0.0.1 localhost (comme le fichier de base)
Les processus malicieux sont tués dans ce mode également.
Instructions
- Télécharger sur le bureau RogueKiller
- Quitter tous les programmes en cours
- Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
- Sinon lancer simplement RogueKiller.exe
- Lorsque demandé, taper 3 et valider
- Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Mode 4 : Proxy RAZ
Dans ce mode, le programme va supprimer les proxy trouvés, pour Internet Explorer et pour Firefox. Si vous utilisez un autre navigateur, vous pouvez supprimer les proxy manuellement.
Les proxy installés sont visibles depuis les modes 1 et 2. Il est préférable de toujours passer le mode 1 pour vérifier ce qui sera supprimé dans les autres modes.
Les processus malicieux sont tués dans ce mode également.
Instructions
- Télécharger sur le bureau RogueKiller
- Quitter tous les programmes en cours
- Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
- Sinon lancer simplement RogueKiller.exe
- Lorsque demandé, taper 4 et valider
- Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Mode 5 : DNS RAZ
Dans ce mode, le programme va supprimer les serveurs DNS entrés dans la configuration des différentes cartes réseau. On ne peut pas trier les interfaces, tout est supprimé.
Si un DNS légitime avait été installé et que le PC a par la suite été infecté avec un DNS malicieux, il conviendra de réinstaller la config du DNS après le passage de ce mode.
Les DNS installés sont visibles depuis les modes 1 et 2.
Les processus infectieux sont également tués, comme dans les autres modes
Instructions
- Télécharger sur le bureau RogueKiller
- Quitter tous les programmes en cours
- Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
- Sinon lancer simplement RogueKiller.exe
- Lorsque demandé, taper 5 et valider
- Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Mode 6 : Raccourcis RAZ
Dans ce mode, le programme va restaurer l’attribut « Normal » sur certains dossiers (Bureau/Menu démarrer/etc) , qui auront été passés en « Caché » par le rogue.
A utiliser seulement si vos dossiers/fichiers ont disparu du bureau.
Instructions
- Télécharger sur le bureau RogueKiller
- Quitter tous les programmes en cours
- Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
- Sinon lancer simplement RogueKiller.exe
- Lorsque demandé, taper 6 et valider
- Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Mode 0 : Quitter
Ce mode permet de quittez RogueKiller correctement. En effet, si l’on ferme RogueKiller sans avoir utilisé ce mode, le driver créé par l’outil ne sera pas supprimé.
Via Site Officiel & CCM