Trojan-bnk.win32.keylogger.gen

Cora-lie19 Messages postés 3 Date d'inscription   Statut Membre Dernière intervention   -  
 g3n-h@ckm@n -
Bonjour,

Mon PC a récemment été "infecté" par le virus Trojan-bnk.win32.keylogger.gen. Depuis, je ne peux plus accéder à Internet ni à Mozilla Firefox.

J'aimerais donc que vous m'aidiez à supprimer ce virus, et par la même occasion, à supprimer Win 7 Antivirus 2012.

J'ai lu pas mal de trucs sur ce problème et j'ai ainsi téléchargé ZhpDiag.

Et voici le résultat : http://www.cijoint.fr/cjlink.php?file=cj201107/cij08b6SU3.txt

En espérant que vous pourrez m'aider (cordialement :/)...

23 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut le keylogger n'existe pas , c'est win 7 2012 qui te fait croire ca :) pour que tu l'achètes pour que soi-disant il te vire l'infection (surtout pour te mettre à l'amende ton compte en banque lol ^^ )

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    mirroir :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    1
    1. cricri76
       
      Merci beaucoup

      Car depuis ce midi, impossible d'ouvrir mozilla, internet, word, ....
      Alors j'ai suivi tes conseils ...

      ET
      J'ai enfin réussi à m'en débarrasser avec Version .pif car avec la première solution impossible
      C'est vraiment la plaie ce machin qui est censé nous donner la solution (payante en plus ..

      RECONNAISSANCE !!!

      Merci g3n-h@ckm@n !
      0
    2. bylnax
       
      cela fait un week end que j essai de me debarrasser de ce virus et en un clique avec la version.pif plus rien.
      c est génial
      merci g3n-h@ckm@n !
      0
    3. Chris
       
      Merci beaucoup!
      http://cjoint.com/?BAqrYz1Kj2a
      0
    4. g3n-h@ckm@n
       
      bonjour ouvre-toi un nouveau sujet il reste des fichiers/dossiers system apppartenant au rogue qui n'ont pas été virés
      0
  2. Cora-lie19 Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
     
    Je n'arrive pas à désactiver l'antivirus ni le pare-feu car à chaque fois, c'est Win 7 Antivirus qui s'ouvre...

    (Mais dans le centre de Maintenance, ça met que "Win 7 Antivirus 2012 indique qu'il est désactivé")
    0
  3. g3n-h@ckm@n
     
    pas grave lance Pre_scan comme ca
    0
  4. Cora-lie19 Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
     
    Voilà : http://www.cijoint.fr/cjlink.php?file=cj201107/cijB9EFoju.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    ok Java n'est pas à jour , il va etre desinstallé dans la foulée (normalement) on mettra le dernier à la fin

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    Uninst::
    {26A24AE4-039D-4CA4-87B4-2F83216017FF}
    {26A24AE4-039D-4CA4-87B4-2F83216020F0}

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HP Software Update"=-
    "PaperPort PTD"=-
    "IndexSearch"=-
    "ControlCenter3"=-
    "QuickTime Task"=-
    "iTunesHelper"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "HP Software Update"=-
    "PaperPort PTD"=-
    "IndexSearch"=-
    "ControlCenter3"=-
    "QuickTime Task"=-
    "iTunesHelper"=-
    [-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [-HKEY_CURRENT_USER\Software\Ask&Record]
    [-HKEY_CURRENT_USER\Software\BrowserChoice]
    [-HKEY_CURRENT_USER\Software\Conduit]
    [-HKEY_LOCAL_MACHINE\Software\Conduit]

    file::
    C:\ProgramData\72iy044135e625i5of58dmrru2
    C:\Users\Utilisateur\AppData\Local\72iy044135e625i5of58dmrru2
    C:\Users\Utilisateur\AppData\Local\Temp\Low\R66v.exe
    C:\Users\Utilisateur\AppData\Local\Temp\Low\ttd.exe

    attrib::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  7. Cora-lie19
     
    Voici Pre_Script : http://www.cijoint.fr/cjlink.php?file=cj201107/cij4XG6HCU.txt
    0
  8. g3n-h@ckm@n
     
    ok desinstalle tes version de Java , le logiciel n'a pas trouvé les desinstalleurs
    0
  9. Cora-lie19
     
    J'ai désinstallé Java(TM) 6 Update 17 (64-bit), Java(TM) 6 Update 20 et Java(TM) 6 Update 21.
    Et Java m'a mis un message pour que je mette à jour le logiciel avec la version 26. (Je l'ai installé)
    0
  10. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  11. Cora-lie19
     
    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Version de la base de données: 7282

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    26/07/2011 23:07:24
    mbam-log-2011-07-26 (23-07-24).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
    Elément(s) analysé(s): 386444
    Temps écoulé: 6 heure(s), 56 minute(s), 30 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Kill'em\quarantine\qpd.exe.kill'em (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\utilisateur\AppData\Local\microsoft\Windows\temporary internet files\Low\Content.IE5\2NHY8LHC\info[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\utilisateur\Desktop\AMAURY\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
    0
  12. Cora-lie19
     
    Désolé de poster ma réponse seulement maintenant mais depuis, mon ordinateur est devenu vraiment TRES TRES lent et je suis obligée de me mettre en mode Sans Echec pour que ça aille plus vite...
    0
  13. g3n-h@ckm@n
     
    salut

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  14. Cora-lie19
     
    Le fichier OTL : http://www.cijoint.fr/cjlink.php?file=cj201108/cijvAGLulP.txt

    Le fichier Extras : http://www.cijoint.fr/cjlink.php?file=cj201108/cijSnGla7G.txt
    0
  15. g3n-h@ckm@n
     
    ah ouais mais le fait que tu sois en mode sans echec m'arrange pas trop...

    bref

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  16. Vador2012
     
    Merci beaucoup pour cette aide qui m'a été précieuse.
    0
  17. Geronimo
     
    Après la pire frayeur informatique que j'ai pu avoir, je suis maintenant soulagé de revoir fonctionner mon ancêtre d'ordinateur...
    Un grand merci pour cette aide!
    0
  18. Eleo02 Messages postés 22 Statut Membre
     
    Bonjour a tous,

    Je me suis pris un virus du meme nom ce weekend et j'ai lance Pre Scan, il a mouline un moment.
    Au redemarrage, mon ordi semble bien fonctionne et le virus ne semble plus etre la. Et c'est tout ce que j'ai fait.

    Or, je voudrais m'assurer que ce sale Trojan est completement supprime. Comment faire pour etre certaine que lq menace a disparu ?

    Est-il donc imperatif de poster le rapport ? Si, oui, comment faire, je n'arrive pas a heberger le rapport sur cijoint.fr.

    Merci de votre aide,

    Eleonore

    PS: Desolee pour l'absence d'accent, je suis au R-U et subis le clavier QWERTY

    :-)
    0
  19. g3n-h@ckm@n
     
    salut heberge-le sur http://pjjoint.malekal.com puis donne le lien sur un nouveau sujet que tu ouvriras
    0
  20. g3n-h@ckm@n
     
    donne le lien sur un nouveau sujet que tu ouvriras
    0
  • 1
  • 2