Home >> Sécurité >> Comment utiliser RogueKiller ?

Comment utiliser RogueKiller ?

Qu’est-ce que RogueKiller ?

RogueKiller est un outil (créé par Tigzy) permettant de tuer les processus appartenant à des rogues (faux logiciel de protection) de manière automatique. Dans la mesure où certaines infections empêchent l’exécution des scans antivirus/antimalware habituels, cet outil est un outil préliminaire à un processus complet de désinfection.

De cette façon, la désinfection peut se poursuivre et la personne infectée peut donc exécuter les directives demandées par la personne en charge de nettoyer l’ordinateur.

Comment utiliser  RogueKiller ?

Commencer par télécharger la dernière version de RogueKiller. Ensuite pour plus de fiabilité, vous pouvez renommer le fichier RogueKiller.exe en iexplorer.exe par exemple.

Voici l’interface de RogueKiller :

Voici un exemple de fichier log (PC non infecté) :

[php]RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d’exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: mikael [Droits d’admin] Mode: Recherche — Date : 19/12/2011 15:48:34

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[…]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[…]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[…]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[…]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤
— User —
[MBR] 989c9d1da119946852389f26430c1054
[BSP] 8175a2cb7a2bf3b66dea43f0a013c096 : MBR Code unknown
Partition table:
0 – [XXXXXX] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 249730 Mo
1 – [ACTIVE] NTFS [VISIBLE] Offset (sectors): 487757824 | Size: 314 Mo
User = LL1 … OK!
User = LL2 … OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt[/php]

Mode 1 : Recherche

Dans ce premier mode, le programme va uniquement tuer les processus malicieux, et informer l’utilisateur des clés de registres infectées, mais ne va pas y toucher. De cette façon, un utilisateur non averti pourra donner le rapport a son technicien ou sur un forum. Ensuite la personne en charge du dossier pourras indiquer si il y a besoin de passer au menu 2.

Instructions

  • Télécharger sur le bureau RogueKiller
  • Quitter tous les programmes en cours
  • Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
  • Sinon lancer simplement RogueKiller.exe
  • Lorsque demandé, taper 1 et valider
  • Patienter un moment pendant le scan
  • Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
  • Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe ou iexplorer.exe

Mode 2 : Supression

Dans ce mode, le programme va également tuer les processus malicieux, mais aussi cibler les clés de registre permettant au rogue de se relancer au démarrage, et les supprimer.

Dans ce mode, les configurations Proxy, DNS et Hosts ne sont pas supprimées, il faudra passer ensuite le mode correspondant à l’infection trouvée (un message s’affiche dans le rapport, invitant à passer le mode correspondant)

Instructions

  • Télécharger sur le bureau RogueKiller
  • Quitter tous les programmes en cours
  • Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
  • Sinon lancer simplement RogueKiller.exe
  • Lorsque demandé, taper 2 et valider
  • Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
  • Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Mode 3 : HOSTS RAZ

Dans ce mode, le programme réinitialisera le fichier HOSTS (C:/windows/system32/etc/hosts) avec une ligne basique et sûre: 127.0.0.1 localhost  (comme le fichier de base)
Les processus malicieux sont tués dans ce mode également.

Instructions

  • Télécharger sur le bureau RogueKiller
  • Quitter tous les programmes en cours
  • Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
  • Sinon lancer simplement RogueKiller.exe
  • Lorsque demandé, taper 3 et valider
  • Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
  • Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Mode 4 : Proxy RAZ

Dans ce mode, le programme va supprimer les proxy trouvés, pour Internet Explorer et pour Firefox. Si vous utilisez un autre navigateur, vous pouvez supprimer les proxy manuellement.
Les proxy installés sont visibles depuis les modes 1 et 2. Il est préférable de toujours passer le mode 1 pour vérifier ce qui sera supprimé dans les autres modes.
Les processus malicieux sont tués dans ce mode également.

Instructions

  • Télécharger sur le bureau RogueKiller
  • Quitter tous les programmes en cours
  • Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
  • Sinon lancer simplement RogueKiller.exe
  • Lorsque demandé, taper 4 et valider
  • Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
  • Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Mode 5 : DNS RAZ

Dans ce mode, le programme va supprimer les serveurs DNS entrés dans la configuration des différentes cartes réseau. On ne peut pas trier les interfaces, tout est supprimé.
Si un DNS légitime avait été installé et que le PC a par la suite été infecté avec un DNS malicieux, il conviendra de réinstaller la config du DNS après le passage de ce mode.
Les DNS installés sont visibles depuis les modes 1 et 2.
Les processus infectieux sont également tués, comme dans les autres modes

Instructions

  • Télécharger sur le bureau RogueKiller
  • Quitter tous les programmes en cours
  • Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
  • Sinon lancer simplement RogueKiller.exe
  • Lorsque demandé, taper 5 et valider
  • Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
  • Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Mode 6 : Raccourcis RAZ

Dans ce mode, le programme va restaurer l’attribut « Normal » sur certains dossiers (Bureau/Menu démarrer/etc) , qui auront été passés en « Caché » par le rogue.
A utiliser seulement si vos dossiers/fichiers ont disparu du bureau.

Instructions

  • Télécharger sur le bureau RogueKiller
  • Quitter tous les programmes en cours
  • Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
  • Sinon lancer simplement RogueKiller.exe
  • Lorsque demandé, taper 6 et valider
  • Un rapport à dû s’ouvrir (RKreport.txt se trouve également à côté de l’exécutable), donner son contenu à la personne qui vous aide
  • Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Mode 0 : Quitter

Ce mode permet de quittez RogueKiller correctement. En effet, si l’on ferme RogueKiller sans avoir utilisé ce mode, le driver créé par l’outil ne sera pas supprimé.

Via Site Officiel & CCM

About Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 chez homeinformatique. Je partage mes connaissances, problèmes et solutions a travers articles ou tweets !

A lire également

RansomFree : Le seul outil gratuit qui arrête 99% des Ransomwares ?

On continue nos tests de Ransomware VS Anti-Ransomware, cette fois c’est le logiciel RansomFree de …