Trojan-BNK.Win32.Keylogger.gen Fermé

Question

Bonjour, 

J'ai été infecté hier par ce soit-disant virus sur mon pc portable (windows XP)... J'ai cherché des solutions sur internet (avec mon autre pc) pendant des heures, j'ai tout essayé, mais je n'arrive pas à avancer d'un pouce... 
Des fenêtres s'ouvrent de partout... "XP Home security 2012 m'indique une trentaine de virus, mon centre de sécurité windows est désactivé (pare-feu et protection antivirus), je ne peux plus me connecter sur internet, et lorsque j'ouvre la moindre application, une fenêtre d'alerte s'ouvre sur laquelle il y a les barres rouges et bleues (on y voit Yes, activate XP Home security et No, Continue unprotected).

J'ai donc essayé de scanner avec mon antivir, mais il ne trouve aucun virus. J'ai téléchargé malware sur l'autre pc et j'ai essayé de l'installer sur le portable infecté avec ma clé ubs, mais ça ne marche pas. Lorsque je clique dessus, la fameuse fenêtre d'alerte s'ouvre et rien d'autre ne se passe. J'ai alors tenté "exécuter en tant que" mais il me marque "run-time error 339". 
Pour Spybot and destroy, j'ai réussi par je ne sais quel miracle à l'installer, mais lorsque je veux le faire démarrer, il me demande d'installer la détection update. Mais je ne peux rien faire car je ne peux plus me connecter à internet.
Pour load_tdsskiller, une fenêtre noire s'ouvre, des textres défilent puis arrivé à "c:/tdsskiller STAR", une fenêtre d'erreur s'ouvre : "Windows ne trouve pas 'C:/tdsskiller/tdsskiller.exe'. Vérifiez que vous avez entré le nom correctement et essayez à nouveau. 
Pour Superantispyware, j'arrive à démarrer l'installation, mais un message d'erreur s'ouvre à la fin :"error creating registry, aborting installation".
Pour Roguekiller, la fenêtre bleue s'ouvre avec le choix des actions. Et lorsque je tape 1 et entrée, il me marque access denied puis une longue phrase que je n'arrive pas à lire puisque la fenêtre se ferme aussitôt. 
Concernant Spyware Doctor, j'ai réussi également à l'installer mais il faut se connecter à internet pour les mises à jour. J'ai beau analyser mon disque local avec, il ne trouve aucun problème. 
Pour finir, j'ai essayé ZHPDiag2, et lorsque je clique sur exécuter en tant que, le message d'erreur suivant s'affiche : "vous devez disposer des droits d'administration de cet ordinateur pour installer ce programme". 

J'arrive au bout de toutes les solutions, je ne sais vraiment plus quoi faire... Quelqu'un pourrait-il m'aider ????? Merci d'avance.




Configuration: Windows XP / Internet Explorer 7.0

g3n-h@ckm@n · Accepted Answer

bonjour il y a des logiciels prevus pour les rogues , il faut les utiliser : 

roguekiller , pre_scan ,..... 

spyware Doctor est un faux logiciel de securité 

Malwarebytes s'utilise en fin de desinfection et non au debut
¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

tiktaktok · Answer

Bonjour à tous,

A force d'usure, j'ai réussi à installer malware. Et effectivement, il ne me sert pas à grand chose... Il m'a trouvé 19 erreurs mais est dans l'incapacité de les réparer. De plus, lors du scan, il a détecté 3 grosses erreurs qu'il ne peut en aucun cas répertorier. Pffffff... Quand à Roguekiller, impossible de le faire marcher. Il me marque acces denied puis la fenêtre se referme aussitôt.

Je suis désespéré ! 

Effectivement, Spyware doctor est une arnaque, il demande de payer.

Je vais tenter ma chance avec pre-scan.

Merci à tous pour votre aide.

g3n-h@ckm@n · Answer

tu as essayé de  renommer Roguekiller en winlogon ou changer l'extension exe en .scr ou .com ?

tiktaktok · Answer

Ah non, j'essaye de le renommer tout de suite...

g3n-h@ckm@n · Answer

ok poste le rapport du 1 deja

tiktaktok · Answer

oki, le voici :

RogueKiller V5.2.3 [16/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Utilisateur [Droits d'admin]
Mode: Recherche -- Date : 20/06/2011 14:46:05

Processus malicieux: 1
[SUSP PATH] jkq.exe -- c:\documents and settings\utilisateur\local settings\application data\jkq.exe -> KILLED

Entrees de registre: 13
[ROGUE ST] HKCU\[...]\Run : 351618311 (C:\Documents and Settings\Utilisateur\Local Settings\Application Data\jkq.exe) -> FOUND
[ROGUE ST] HKUS\S-1-5-21-789336058-1060284298-839522115-1004[...]\Run : 351618311 (C:\Documents and Settings\Utilisateur\Local Settings\Application Data\jkq.exe) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Utilisateur\Local Settings\Application Data\jkq.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\Utilisateur\Local Settings\Application Data\jkq.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...]exefile\shell\open\command : ("C:\Documents and Settings\Utilisateur\Local Settings\Application Data\jkq.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Documents and Settings\Utilisateur\Local Settings\Application Data\jkq.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\Utilisateur\Local Settings\Application Data\jkq.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Documents and Settings\Utilisateur\Local Settings\Application Data\jkq.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Utilisateur\Local Settings\Application Data\jkq.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> FOUND

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

g3n-h@ckm@n · Answer

pourquoi tu le lances 10 fois ?

g3n-h@ckm@n · Answer

ah ben ca y a pas de soucis il est supprimé ^^ lol

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

tiktaktok · Answer

Avant de recevoir votre dernier message, j'ai réalisé un scan de mon ordi avec malware... Il m'a de nouveau trouvé 3 virus trojan. J'ai donc valider la suppression des virus. Il m'a indiqué qu'il les avait mis en quarantaine avec succès et qu'il fallait redémarrer l'ordinateur pour que ce soit finalisé. Ce que j'ai fait... Mais là, je pense que mon PC est MORT... Lorsqu'il s'est allumé, il s'est mis directement sur une page noire en indiquant : Erreur lecture disque. Ctrl + Alt + Suppr pour redémarrer. J'ai donc cliqué sur ces 3 touches mais ça ne marche plus. Il revient toujours sur cette même page... pffffffffff.... ... ...

g3n-h@ckm@n · Answer

tu n'as meme pas le chargement de windows qui debute ?

g3n-h@ckm@n · Answer

c'est pas dit

fais ca voir et dis moi si tu arrives a voir le contenu du disque avec

https://forum.malekal.com/viewtopic.php?t=23453&start=

g3n-h@ckm@n · Answer

merci d'etre passé donner des nouvelles

si tout s'est passé pour le mieux , tant mieux :)

Trojan-BNK.Win32.Keylogger.gen

12 réponses

Discussions similaires