HBKiller

azzmooon Messages postés 11 Statut Membre -  
azzmooon Messages postés 11 Statut Membre -
Bonjour,

quelqu'un à t'il déjà entendu parler du virus/malware HBKiller ??
J'ai pu trouver sur internet un protocole qui permet de le supprimer mais il s'avère que çà ne marche pas parfaitement. Le virus reviens malgré tout.
Sa particularité est d'être indétectable par tous les antivirus et dans le cas ou il se fait détecter, il est insupprimable.

Cdt,
Azmon
Configuration: Windows XP
Firefox 3.0.4

19 réponses

  1. totobetourne Messages postés 5677 Statut Membre 65
     
    bonjour

    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    -> http://images.malwareremoval.com/random/RSIT.exe

    ! Déconnecte toi et ferme toutes tes applications en cours !

    Double-clique sur " RSIT.exe " pour le lancer .

    -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

    * Devant l'option "List files/folders created ..." , tu choisis : 2 months

    * clique ensuite sur " Continue " pour lancer l'analyse ...

    -> laisse faire le scan et ne touche pas au PC ...

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

    Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

    Important : poste un rapport, puis l'autre dans la réponse suivante
    Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum

    ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
    2
  2. azzmooon Messages postés 11 Statut Membre 1
     
    Merci infiniment pour ton aide Totobetourne.
    Par contre, je me permet une question:

    Est-ce un protocole que tu applique pour n'importe quel virus ou connais-tu précisément HBKiller et as-tu réussi à le supprimer par ce biais?

    Azmon
    1
  3. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    salut,

    J'essai ça

    c'est un programme de détection,pas de désinfection!
    il suffit juste de poster les rapports...pour qu'on puissent les analyser!
    0
  4. azzmooon Messages postés 11 Statut Membre 1
     
    Salut Chimay8,

    merci pour l'info par contre je travaille avec un ordinateur professionnel contenant des données strictement confidentielles, je ne peux donc pas envoyés mon fichier Log.
    J'ai survolé les deux txt, et j'ai constater qu'il y avait des chemins du registres.
    Si cela peut vous aidez, je confirme la présence de HBKiller dans mon registre.
    Pour que vous en soyez sur, je vous post les logs allègés (je ne met que les lignes concernant le virus).
    Si biensur cela ne vous conviens pas, on envisagera la suite.

    Le log.txt contient ça:

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7dd27f-ebaa-11dd-bac8-00217074137c}]
    shell\AutoPlay\command - wscript.exe \HBKiller.js
    shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe \HBKiller.js
    shell\Explore\command - wscript.exe \HBKiller.js -Clicked
    shell\Open\command - wscript.exe \HBKiller.js
    shell\Scan for Biros\command - wscript.exe \HBKiller.js
    shell\Scan with Manok\command - wscript.exe \HBKiller.js
    shell\Scan with Rempit\command - wscript.exe \HBKiller.js

    Le info.txt contient ça:

    Computer Name: NBA
    Event Code: 103
    Message: 8 2009-06-12 15:02:05+02:00 nba NBA\NBA F-Secure Anti-Virus
    Malicious code found in file C:\HBKILLER.JS.
    Infection: Trojan.JS.Agent.agp
    Action: The file was deleted.

    J'ai biensur nettoyer mon registre à plusieurs reprise en supprimant tout les chemin contenant le terme "hbkiller" mais cela reviens sans cesse. C'est comme s'il se rendait invisible pendant un certain temps et qu'il réaparaissait.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. totobetourne Messages postés 5677 Statut Membre 65
     
    envoie alors les rapports en message prive a mon egard ainsi qu a chimay.apres usb fix refais rsit et colle nous les rapports .
    deja passe cela.

    --> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.
    http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

    --> Lance l'installation avec les paramètres par défaut.

    --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

    --> Clique droit sur le raccourci UsbFix situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.

    --> Choisis l'option 1 (recherche).

    --> Le PC va redémarrer.

    --> Après redémarrage, poste le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

    (Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

    refais pareil mais en option 2 apres colle le rapport que tu obtiens.
    0
  7. azzmooon Messages postés 11 Statut Membre 1
     
    Je découvre tout juste ce forum, comment je fais pour vous envoyer un doc en privée?
    Es-tu sur que le peu que j'ai mis ne suffise pas? car ce n'est pas un problème de public ou privé, c'est juste que je ne rien émettre concernant ma machine à qui que ce soit de l'extérieur.
    0
  8. totobetourne Messages postés 5677 Statut Membre 65
     
    cela va etre complique. car il y a peut etre d autres infections.

    sinon tu cliques sur notre nom et tu nous envoies un message prive ou tu colles ton rapport rsit.

    fait bien avant usb fix
    0
  9. azzmooon Messages postés 11 Statut Membre 1
     
    Normalement vous avez reçu les 2 txt avant usb fix en privée.
    A part pour chimay8 qui n'a pas du recevoir le info.txt car j'ai une erreur comme quoi jai deja envoyé le message alors que pas du tout. byzar byzar
    0
  10. azzmooon Messages postés 11 Statut Membre 1
     
    Petite question, avec le raccourci usbfix sur le bureau je n'ai pas l'option "Exécuter en tant qu'administrateur" puis quand je lance l'option 1, le PC reboot pas, il fait directement une recherche.
    Est-ce normal?
    Merci
    0
  11. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    re,

    change le titre de ton message pour me le poster

    je n'ai pas l'option "Exécuter en tant qu'administrateur" puis quand je lance l'option 1, le PC reboot pas, il fait directement une recherche.
    Est-ce normal?


    tes sous xp,donc normal...
    0
  12. azzmooon Messages postés 11 Statut Membre 1
     
    J'ai donc utilisé usbfix, et malheureusement, il n'est pas arrivé à bout de HBKiller (celui-ci est toujours présent sur mes clés usb et dans c:/).
    En plus d'être indétectable par la plupart des AV, quand il est détecté, rien n'y arrive à bout, c'est désolant...
    Heureusement qu'il ne fait pas de dégâts mais en attendant je bloque !!
    Si vous avez des idées, c'est avec grand plaisir que je les considérerai.

    ^^
    0
  13. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    re,

    Télécharge OTMoveIt3( de Old Timer )
    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    Une fois téléchargé double-clique sur OTMoveIt3.exe pour le lancer.
    Assure toi que la case "Unregister Dll's and Ocx's" est cochée
    Copie les lignes(qui sont en gras) qui se trouvent ci-dessous :

    :Processes
    explorer.exe
    :Reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7dd27f-ebaa-11dd-bac8-00217074137c}]

    :Commands
    [emptytemp]


    et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
    Clique sur "MoveIt!" pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Clique sur Exit pour fermer.
    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
    -Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

    /!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
    Puis rends toi sur l'onglet "Processus". Clique en haut à gauche sur "Fichiers" et choisis "Exécuter"
    Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau.

    ensuite

    ==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
    - Enregistre le sur ton bureau

    Double clique sur OAD pour le lancer

    - nom de fichier à rechercher tape ou fais un copier/coller de : HBKiller.js
    - Type de recherche : sélectionne l'option 6 puis valide [entree]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ai terminé.
    Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

    - Fais un copier / coller de ce rapport dans ton prochain poste.

    Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

    *************************************
    0
  14. azzmooon Messages postés 11 Statut Membre 1
     
    Ok merci.
    Par contre je n'ai pas le pc jusqu'à demain, donc je donnerai des nouvelles demain voire après demain.
    Merci encore
    à tres bientot.

    Azmon
    0
  15. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    ok,a bientôt

    si ca marche pas de cette manière on feras autrement
    0
  16. azzmooon Messages postés 11 Statut Membre 1
     
    As-tu reçu mon message perso chimay8??
    0
  17. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    bah oui!je t'ai répondu
    0
  18. azzmooon Messages postés 11 Statut Membre 1
     
    Décidément, je sais pas utiliser mon compte !
    Comment je fais pour accéder à ma boite perso?
    Désolé...

    Azmon
    0
  19. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    tu cliques sur l'enveloppe en haut à droite
    0
  20. azzmooon Messages postés 11 Statut Membre 1
     
    merci
    0