Virus Trojan-BKN.Win32.Keylogger.gen [Résolu/Fermé]

Signaler
-
 Danie -
Bonjour,



J'ai un super problème, g le programme vista anti-spyware qui s'ouvre en me dissant que je ss infecté par trojan-BNK.win32.keylogger.gen et je n'arrive plus à ouvrir mozilla ou internet explorer donc je ne sais rien faire !

Pouvez-vous m'aider svp ?

5 réponses

Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Bonjour,


* Télécharge RogueKiller (de Tigzy) sur le Bureau (si tu n'arrives pas à le télécharger, fais le depuis un autre ordi et transfère le via une clé usb).
* Quitte tous tes programmes en cours
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Lorsque demandé, tape 2 (suppression) et valide
* S'il demande pour supprimer un proxy, tape 1 (supprimer)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois, ou renommer en winlogon.exe


Puis utilise aussitôt ce logiciel de désinfection généraliste stp :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

merci bcp

hier g supprimé mon northon security et supprimer tt ce qui était en quarantaine avec et g plus eu de prob après ca

mais j'ai qd même fait ce que tu as écrit pr vérifier le tout

voici le 1er rapport

RogueKiller V4.3.9 [16/04/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Danie & Xhevat [Droits d'admin]
Mode: Suppression -- Date : 21/04/2011 15:29:22

Processus malicieux: 0

Entrees de registre: 1
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\Danie & Xhevat\AppData\Local\gus.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe")

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt
voici le 2ème rapport

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6412

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

21/04/2011 15:48:01
mbam-log-2011-04-21 (15-48-01).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 170209
Temps écoulé: 11 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Danie & Xhevat\AppData\Local\gus.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\danie & xhevat\downloads\eset antivirus license finder (minodlogin) 3.8.0.1.exe (Riskware.KG) -> Quarantined and deleted successfully.
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Parfait :)
Tu remarqueras que MalwareBytes a détecté un crack pour Eset NOD32... Les cracks sont l'un des principaux vecteurs d'infection, évite les stp (utilise un antivirus payant légalement ou un antivirus gratuit comme Avast ou Antivir).


Pour pouvoir vérifier qu'il n'y a plus rien et terminer le nettoyage, peux-tu utiliser ce logiciel de diagnostic :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de ZHPDiag, choisis une durée de conservation illimitée et clique sur "créer le lien Cjoint". Copie/colle le lien fourni dans ta prochaine réponse sur le forum

voilà

http://cjoint.com/?ADvrm7CdNHy

Après je fais quoi de tout les programmes installés ? je les supprime ?
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Quand on aura terminé, je te donnerai un outil spécial qui permet de supprimer toutes les traces des programmes qu'on va utiliser ;)

1) Les barres d'outils sont inutiles, elles ralentissent le navigateur et peuvent le rendre instable : je te conseille de les désinstaller. Pour ça, ouvre le menu démarrer --> panneau de configuration --> programmes et fonctionnalités --> Sélectionne la "Google toolbar" et désinstalle la.


2) Désinstalle aussi ESET NOD32, se protéger avec un antivirus piraté n'est pas très malin... Installe ensuite la version officielle (payante) ou un antivirus gratuit, comme je te l'ai conseillé dans mon précédent message.


3) Ce script va cibler certains éléments à supprimer :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse


4) Une fois que tu auras fait tout ça, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag.

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-21-04-2011-19-31-59.txt
Run by Danie & Xhevat at 21/04/2011 19:31:59
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCR\CLSID\{03ec05ea-c2a7-49a8-971f-580d5891f2fb} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{03ec05ea-c2a7-49a8-971f-580d5891f2fb} => Clé absente
HKCR\CLSID\{05ac64c2-a330-4dde-a4d3-679c7a7febbc} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{05ac64c2-a330-4dde-a4d3-679c7a7febbc} => Clé absente
HKCR\CLSID\{090a8723-05e7-4648-b4b8-8fc23000e907} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{090a8723-05e7-4648-b4b8-8fc23000e907} => Clé absente
HKCR\CLSID\{1a9ff35c-bb3a-4e5b-805e-e4de0a12a191} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{1a9ff35c-bb3a-4e5b-805e-e4de0a12a191} => Clé absente
HKCR\CLSID\{20d09d9a-4ae0-41d4-b8e5-9bec7850627d} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{20d09d9a-4ae0-41d4-b8e5-9bec7850627d} => Clé absente
HKCR\CLSID\{2dcd271d-3755-4a39-a34e-54998f91b58d} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{2dcd271d-3755-4a39-a34e-54998f91b58d} => Clé absente
HKCR\CLSID\{3401d2ba-3644-4d6b-bc7a-ddf7532e250d} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{3401d2ba-3644-4d6b-bc7a-ddf7532e250d} => Clé absente
HKCR\CLSID\{50156bf7-5ebf-480f-b916-dc8b54bc60f9} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{50156bf7-5ebf-480f-b916-dc8b54bc60f9} => Clé absente
HKCR\CLSID\{6214e226-594f-4ab2-ad56-b7047d9e18c6} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{6214e226-594f-4ab2-ad56-b7047d9e18c6} => Clé absente
HKCR\CLSID\{631c66e1-b5f3-48ad-9b8b-448728cb427a} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{631c66e1-b5f3-48ad-9b8b-448728cb427a} => Clé absente
HKCR\CLSID\{70f19422-7c80-4033-a4f9-2aada5bb151a} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{70f19422-7c80-4033-a4f9-2aada5bb151a} => Clé absente
HKCR\CLSID\{727283a5-2269-4761-a81c-351b0d8df364} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{727283a5-2269-4761-a81c-351b0d8df364} => Clé absente
HKCR\CLSID\{737bc37a-80e9-446f-97a1-1004273545fb} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{737bc37a-80e9-446f-97a1-1004273545fb} => Clé absente
HKCR\CLSID\{bbb0747f-15ef-497f-8356-bd7c4a802cc4} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{bbb0747f-15ef-497f-8356-bd7c4a802cc4} => Clé absente
HKCR\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5} => Clé supprimée avec succès
HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5} => Clé absente
HKCR\CLSID\{c9f2d874-8280-4c8c-999f-ed7ff97d353e} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{c9f2d874-8280-4c8c-999f-ed7ff97d353e} => Clé absente
HKCR\CLSID\{d12b5396-c8ef-4d6d-b540-0f0ff6a9f2cc} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{d12b5396-c8ef-4d6d-b540-0f0ff6a9f2cc} => Clé absente
HKCR\CLSID\{d7c75cc9-4430-402d-a7f8-3e51b65810b8} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{d7c75cc9-4430-402d-a7f8-3e51b65810b8} => Clé absente
HKCR\CLSID\{d7f5802b-1e83-4795-8eee-f5d4b2122c4f} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{d7f5802b-1e83-4795-8eee-f5d4b2122c4f} => Clé absente
HKCR\CLSID\{da8ed552-84fa-4c99-bc32-606c31f30293} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{da8ed552-84fa-4c99-bc32-606c31f30293} => Clé absente
HKCR\CLSID\{de8c8af0-5f5d-40b2-83e8-827caaaf825f} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{de8c8af0-5f5d-40b2-83e8-827caaaf825f} => Clé absente
HKCR\CLSID\{e2a32f53-fcb1-4aaf-98e9-8e4bb843c91d} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{e2a32f53-fcb1-4aaf-98e9-8e4bb843c91d} => Clé absente
HKCR\CLSID\{e2b29223-3056-40f6-b7d5-1dbbcd8595e0} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{e2b29223-3056-40f6-b7d5-1dbbcd8595e0} => Clé absente
HKCR\CLSID\{e339d44a-9819-4cdc-876c-0f563eeaf757} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{e339d44a-9819-4cdc-876c-0f563eeaf757} => Clé absente
HKCR\CLSID\{f3014d3e-8133-4b82-b455-25ffec407984} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{f3014d3e-8133-4b82-b455-25ffec407984} => Clé absente

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 650

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 12639


========== Récapitulatif ==========
50 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan


mnt je redémarre et je fais la suite ...
j'ai posté la suite...mais elle est plus affichée
mon post disparaît à chaque fois ....c normal ?
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Le rapport de ZHPDiag est trop long pour être posté directement, héberge le sur cjoint.com comme le précédent
http://cjoint.com/?ADvuKyMIuGZ
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
As-tu encore des problèmes visibles ?
Sinon, on passera à la finition ;)

non je ne vois aucun problème visible mais faut dire que je m'y connais pas trop lol

les derniers rapports sont bons ? si oui on peut passer à la finition
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
779
Très bien, ton ordinateur n'est plus infecté :)
Voici les conseils de finition :


1) Sécurise ton ordinateur

* Logiciels de protection :
Garde un antivirus (AntiVir dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins ! Pour AntiVir, je t'invite à suivre ce tutoriel pour configurer les mises à jour.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser la dernière version de Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 9 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

* Même chose pour VLC : désinstalle le et télécharge le dernière version ici.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.

* Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) --> lance l'installation avec les paramètres par défaut --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir --> Fais un clic droit sur le raccourci de USBFix et choisis 'Exécuter en tant qu'administrateur' --> Au menu principal, choisis l'option Vaccination.



2) Optimisation :

* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : Adobe Reader Speed Launcher / Adobe ARM / NvCplDaemon / NvMediaCenter / iTunesHelper / ehTray.exe / msnmsgr / ctfmon.exe / WindowsWelcomeCenter / Sidebar (sauf si tu utilises la barre de Gadgets de Windows)

* Télécharge ce fichier --> lance le --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.



4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
ha super, y a du boulot là

je vais faire ça aujourd'hui , une fois fini je t'écris

un tout grand merci