HBKiller
Fermé
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
-
23 juin 2009 à 08:28
azzmooon Messages postés 11 Date d'inscription mardi 23 juin 2009 Statut Membre Dernière intervention 26 juin 2009 - 26 juin 2009 à 10:28
azzmooon Messages postés 11 Date d'inscription mardi 23 juin 2009 Statut Membre Dernière intervention 26 juin 2009 - 26 juin 2009 à 10:28
19 réponses
totobetourne
Messages postés
5592
Date d'inscription
dimanche 23 mars 2008
Statut
Membre
Dernière intervention
6 juin 2012
65
23 juin 2009 à 09:05
23 juin 2009 à 09:05
bonjour
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
23 juin 2009 à 09:37
23 juin 2009 à 09:37
Merci infiniment pour ton aide Totobetourne.
Par contre, je me permet une question:
Est-ce un protocole que tu applique pour n'importe quel virus ou connais-tu précisément HBKiller et as-tu réussi à le supprimer par ce biais?
Azmon
Par contre, je me permet une question:
Est-ce un protocole que tu applique pour n'importe quel virus ou connais-tu précisément HBKiller et as-tu réussi à le supprimer par ce biais?
Azmon
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
23 juin 2009 à 09:41
23 juin 2009 à 09:41
salut,
J'essai ça
c'est un programme de détection,pas de désinfection!
il suffit juste de poster les rapports...pour qu'on puissent les analyser!
J'essai ça
c'est un programme de détection,pas de désinfection!
il suffit juste de poster les rapports...pour qu'on puissent les analyser!
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
23 juin 2009 à 10:46
23 juin 2009 à 10:46
Salut Chimay8,
merci pour l'info par contre je travaille avec un ordinateur professionnel contenant des données strictement confidentielles, je ne peux donc pas envoyés mon fichier Log.
J'ai survolé les deux txt, et j'ai constater qu'il y avait des chemins du registres.
Si cela peut vous aidez, je confirme la présence de HBKiller dans mon registre.
Pour que vous en soyez sur, je vous post les logs allègés (je ne met que les lignes concernant le virus).
Si biensur cela ne vous conviens pas, on envisagera la suite.
Le log.txt contient ça:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7dd27f-ebaa-11dd-bac8-00217074137c}]
shell\AutoPlay\command - wscript.exe \HBKiller.js
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe \HBKiller.js
shell\Explore\command - wscript.exe \HBKiller.js -Clicked
shell\Open\command - wscript.exe \HBKiller.js
shell\Scan for Biros\command - wscript.exe \HBKiller.js
shell\Scan with Manok\command - wscript.exe \HBKiller.js
shell\Scan with Rempit\command - wscript.exe \HBKiller.js
Le info.txt contient ça:
Computer Name: NBA
Event Code: 103
Message: 8 2009-06-12 15:02:05+02:00 nba NBA\NBA F-Secure Anti-Virus
Malicious code found in file C:\HBKILLER.JS.
Infection: Trojan.JS.Agent.agp
Action: The file was deleted.
J'ai biensur nettoyer mon registre à plusieurs reprise en supprimant tout les chemin contenant le terme "hbkiller" mais cela reviens sans cesse. C'est comme s'il se rendait invisible pendant un certain temps et qu'il réaparaissait.
merci pour l'info par contre je travaille avec un ordinateur professionnel contenant des données strictement confidentielles, je ne peux donc pas envoyés mon fichier Log.
J'ai survolé les deux txt, et j'ai constater qu'il y avait des chemins du registres.
Si cela peut vous aidez, je confirme la présence de HBKiller dans mon registre.
Pour que vous en soyez sur, je vous post les logs allègés (je ne met que les lignes concernant le virus).
Si biensur cela ne vous conviens pas, on envisagera la suite.
Le log.txt contient ça:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7dd27f-ebaa-11dd-bac8-00217074137c}]
shell\AutoPlay\command - wscript.exe \HBKiller.js
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe \HBKiller.js
shell\Explore\command - wscript.exe \HBKiller.js -Clicked
shell\Open\command - wscript.exe \HBKiller.js
shell\Scan for Biros\command - wscript.exe \HBKiller.js
shell\Scan with Manok\command - wscript.exe \HBKiller.js
shell\Scan with Rempit\command - wscript.exe \HBKiller.js
Le info.txt contient ça:
Computer Name: NBA
Event Code: 103
Message: 8 2009-06-12 15:02:05+02:00 nba NBA\NBA F-Secure Anti-Virus
Malicious code found in file C:\HBKILLER.JS.
Infection: Trojan.JS.Agent.agp
Action: The file was deleted.
J'ai biensur nettoyer mon registre à plusieurs reprise en supprimant tout les chemin contenant le terme "hbkiller" mais cela reviens sans cesse. C'est comme s'il se rendait invisible pendant un certain temps et qu'il réaparaissait.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
totobetourne
Messages postés
5592
Date d'inscription
dimanche 23 mars 2008
Statut
Membre
Dernière intervention
6 juin 2012
65
23 juin 2009 à 13:11
23 juin 2009 à 13:11
envoie alors les rapports en message prive a mon egard ainsi qu a chimay.apres usb fix refais rsit et colle nous les rapports .
deja passe cela.
--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
--> Clique droit sur le raccourci UsbFix situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.
--> Choisis l'option 1 (recherche).
--> Le PC va redémarrer.
--> Après redémarrage, poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
refais pareil mais en option 2 apres colle le rapport que tu obtiens.
deja passe cela.
--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
--> Clique droit sur le raccourci UsbFix situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.
--> Choisis l'option 1 (recherche).
--> Le PC va redémarrer.
--> Après redémarrage, poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
refais pareil mais en option 2 apres colle le rapport que tu obtiens.
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
23 juin 2009 à 13:43
23 juin 2009 à 13:43
Je découvre tout juste ce forum, comment je fais pour vous envoyer un doc en privée?
Es-tu sur que le peu que j'ai mis ne suffise pas? car ce n'est pas un problème de public ou privé, c'est juste que je ne rien émettre concernant ma machine à qui que ce soit de l'extérieur.
Es-tu sur que le peu que j'ai mis ne suffise pas? car ce n'est pas un problème de public ou privé, c'est juste que je ne rien émettre concernant ma machine à qui que ce soit de l'extérieur.
totobetourne
Messages postés
5592
Date d'inscription
dimanche 23 mars 2008
Statut
Membre
Dernière intervention
6 juin 2012
65
23 juin 2009 à 14:27
23 juin 2009 à 14:27
cela va etre complique. car il y a peut etre d autres infections.
sinon tu cliques sur notre nom et tu nous envoies un message prive ou tu colles ton rapport rsit.
fait bien avant usb fix
sinon tu cliques sur notre nom et tu nous envoies un message prive ou tu colles ton rapport rsit.
fait bien avant usb fix
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
23 juin 2009 à 14:47
23 juin 2009 à 14:47
Normalement vous avez reçu les 2 txt avant usb fix en privée.
A part pour chimay8 qui n'a pas du recevoir le info.txt car j'ai une erreur comme quoi jai deja envoyé le message alors que pas du tout. byzar byzar
A part pour chimay8 qui n'a pas du recevoir le info.txt car j'ai une erreur comme quoi jai deja envoyé le message alors que pas du tout. byzar byzar
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
23 juin 2009 à 15:38
23 juin 2009 à 15:38
Petite question, avec le raccourci usbfix sur le bureau je n'ai pas l'option "Exécuter en tant qu'administrateur" puis quand je lance l'option 1, le PC reboot pas, il fait directement une recherche.
Est-ce normal?
Merci
Est-ce normal?
Merci
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
23 juin 2009 à 23:35
23 juin 2009 à 23:35
re,
change le titre de ton message pour me le poster
je n'ai pas l'option "Exécuter en tant qu'administrateur" puis quand je lance l'option 1, le PC reboot pas, il fait directement une recherche.
Est-ce normal?
tes sous xp,donc normal...
change le titre de ton message pour me le poster
je n'ai pas l'option "Exécuter en tant qu'administrateur" puis quand je lance l'option 1, le PC reboot pas, il fait directement une recherche.
Est-ce normal?
tes sous xp,donc normal...
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
24 juin 2009 à 07:45
24 juin 2009 à 07:45
J'ai donc utilisé usbfix, et malheureusement, il n'est pas arrivé à bout de HBKiller (celui-ci est toujours présent sur mes clés usb et dans c:/).
En plus d'être indétectable par la plupart des AV, quand il est détecté, rien n'y arrive à bout, c'est désolant...
Heureusement qu'il ne fait pas de dégâts mais en attendant je bloque !!
Si vous avez des idées, c'est avec grand plaisir que je les considérerai.
^^
En plus d'être indétectable par la plupart des AV, quand il est détecté, rien n'y arrive à bout, c'est désolant...
Heureusement qu'il ne fait pas de dégâts mais en attendant je bloque !!
Si vous avez des idées, c'est avec grand plaisir que je les considérerai.
^^
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
24 juin 2009 à 10:33
24 juin 2009 à 10:33
re,
Télécharge OTMoveIt3( de Old Timer )
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
Une fois téléchargé double-clique sur OTMoveIt3.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" est cochée
Copie les lignes(qui sont en gras) qui se trouvent ci-dessous :
:Processes
explorer.exe
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7dd27f-ebaa-11dd-bac8-00217074137c}]
:Commands
[emptytemp]
et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
Clique sur "MoveIt!" pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
-Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )
/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi sur l'onglet "Processus". Clique en haut à gauche sur "Fichiers" et choisis "Exécuter"
Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau.
ensuite
==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier/coller de : HBKiller.js
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ai terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain poste.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient
*************************************
Télécharge OTMoveIt3( de Old Timer )
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
Une fois téléchargé double-clique sur OTMoveIt3.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" est cochée
Copie les lignes(qui sont en gras) qui se trouvent ci-dessous :
:Processes
explorer.exe
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7dd27f-ebaa-11dd-bac8-00217074137c}]
:Commands
[emptytemp]
et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
Clique sur "MoveIt!" pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
-Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )
/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi sur l'onglet "Processus". Clique en haut à gauche sur "Fichiers" et choisis "Exécuter"
Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau.
ensuite
==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier/coller de : HBKiller.js
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ai terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain poste.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient
*************************************
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
24 juin 2009 à 10:57
24 juin 2009 à 10:57
Ok merci.
Par contre je n'ai pas le pc jusqu'à demain, donc je donnerai des nouvelles demain voire après demain.
Merci encore
à tres bientot.
Azmon
Par contre je n'ai pas le pc jusqu'à demain, donc je donnerai des nouvelles demain voire après demain.
Merci encore
à tres bientot.
Azmon
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
24 juin 2009 à 10:58
24 juin 2009 à 10:58
ok,a bientôt
si ca marche pas de cette manière on feras autrement
si ca marche pas de cette manière on feras autrement
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
26 juin 2009 à 07:40
26 juin 2009 à 07:40
As-tu reçu mon message perso chimay8??
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
26 juin 2009 à 09:32
26 juin 2009 à 09:32
bah oui!je t'ai répondu
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
26 juin 2009 à 10:18
26 juin 2009 à 10:18
Décidément, je sais pas utiliser mon compte !
Comment je fais pour accéder à ma boite perso?
Désolé...
Azmon
Comment je fais pour accéder à ma boite perso?
Désolé...
Azmon
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
26 juin 2009 à 10:22
26 juin 2009 à 10:22
tu cliques sur l'enveloppe en haut à droite
azzmooon
Messages postés
11
Date d'inscription
mardi 23 juin 2009
Statut
Membre
Dernière intervention
26 juin 2009
1
26 juin 2009 à 10:28
26 juin 2009 à 10:28
merci