Argg..Trojan BNK win 32 keylogger via gri.exe

geoffrey -  
 g3n-h@ckm@n -
Bonjour,

Je me suis fait avoir par un "vi-russe" trojan bnk win32 keylogger qui apparemment s'execute via un gri.exe en permanence (mais bon je lui clous le bec avec mon gestionnaire de tâches) Heureusement que je l'ai repéré dans la liste des processus car je ne pouvais absolument rien faire ( le nom dans la description était en russe, je me suis dit qu'il y avait baleine sous gravier)

Au vu de la dangerosité du cheval, je préfère en appeler à la communauté. J'avais télécharger spyware doctor mais il ne sert à rien en version trial, j'ai donc pris malwarebytes dont je vous fait la copie du rapport. Je n'ai pas voulu supprimer les infections qu'il a détecté car j'ai cru comprendre que cela pouvait endommager mon système ? Pour information je ne suis pas très calé en informatique.

Un grand merci d'avance pour vos réponses

Voici mon rapport de l'examen rapide :

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCR\.exe\shell\open\command| (Hijack.ExeFile) -> Données: "C:\Users\Geoffrey\AppData\Local\gri.exe" -a "%1" %* -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 4
HKCR\.exe| (PUM.HijackExefiles) -> Mauvais: (Af) Bon: (exefile) -> Aucune action effectuée.
HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command| (Hijack.StartMenuInternet) -> Mauvais: ("C:\Users\Geoffrey\AppData\Local\gri.exe" -a "E:\Firefox4\firefox.exe") Bon: (firefox.exe) -> Aucune action effectuée.
HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command| (Hijack.StartMenuInternet) -> Mauvais: ("C:\Users\Geoffrey\AppData\Local\gri.exe" -a "E:\Firefox4\firefox.exe" -safe-mode) Bon: (firefox.exe -safe-mode) -> Aucune action effectuée.
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command| (Hijack.StartMenuInternet) -> Mauvais: ("C:\Users\Geoffrey\AppData\Local\gri.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Bon: (iexplore.exe) -> Aucune action effectuée.

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Geoffrey\Local Settings\Application Data\gri.exe (Trojan.FakeMS) -> Aucune action effectuée.

(fin)

13 réponses

  1. g3n-h@ckm@n
     
    salut spyware doctor est un rogue desinstalle-le

    =======================

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
    0
  2. pseudo...
     
    salut

    spyware doctor est un rogue?

    vraiment? j'hesitais a l'acheter

    faudrait le dire à http://pack.google.com/intl/fr/pack_installer.html
    0
    1. g3n-h@ckm@n
       
      ben t'as bien failli te faire avoir ! :)
      0
    2. pseudo...
       
      ouf

      donc c'est un faux logiciel de protection?

      une arnaque qui protege pas?
      0
    3. pseudo...
       
      ha!

      donc c pas un rogue mais un vrai logiciel de security
      j allais contacter google

      par contre ton lien est suspect http://www.virustotal.com/file-scan/report.html?id=a7654f5f369adb208a9db6b5a7d776b7af7262989cb7ead0e1c36cef375d51c6-1326151463

      c pas dangereux prescan pour le pc ?
      0
  3. g3n-h@ckm@n
     
    normal c'est un outil de desinfection

    c'est moi qui l'ai concu je sais ce qu'il fait ;)

    tu remarqueras que les gros antivirus n'y portent meme pas cas

    clique sur "show all" sur virus total
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    _Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  4. geoffrey
     
    Merci énormément, c'est incroyable cette aide en ligne
    Voici le rapport :

    http://pjjoint.malekal.com/files.php?id=20120112_z12v12q912z6

    J'attends vos conseils !

    Encore merci

    Geoffrey
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    desinstalle toutes tes versions de Java
    desinstalle Firefox 4 et installe le 9
    desinstalle adobe reader 8

    =============

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-
    "iTunesHelper"=-
    "DivXUpdate"=-
    "Adobe Reader Speed Launcher"=-
    "ISTray"=-
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
    [HKLM\SOFTWARE\Microsoft\Security Center\Monitoring]
    "DisableMonitoring"=DWORD:00000000
    [HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=DWORD:00000000
    [HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=DWORD:00000000

    file::
    C:\ProgramData\6tsigcr7v3722087c483lfc7
    C:\Users\Geoffrey\AppData\Local\6tsigcr7v3722087c483lfc7

    clean::

    Host::

    Zip::
    C:\Windows\System32\Tasks\{022A6DB8-ECCC-49CE-891E-BAA7DBDE31B0}
    C:\Windows\System32\Tasks\{17DC6BAA-1E39-4CFA-BBB1-00C808B6E8D2}
    C:\Windows\System32\Tasks\{27F76383-504F-400D-8B73-0C29B544862F}
    C:\Windows\System32\Tasks\{4FD8B449-9E5A-4659-BB29-E5D7DD42F81F}
    C:\Windows\System32\Tasks\{6C89C0AD-C836-4635-BD16-229F52704A84}
    C:\Windows\System32\Tasks\{983F3D88-A1AC-4EC1-A372-9F5637F5F17D}
    C:\Windows\System32\Tasks\{AA9A1F2A-1D8A-4287-8532-33F8874BEC83}
    C:\Windows\System32\Tasks\{C8F28691-977D-4EF8-A208-28FA4D991F6B}
    C:\Windows\System32\Tasks\{FA0FE543-991A-498C-864F-F04434ED3721}

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  7. geoffret
     
    Bonjour, merci beaucoup (ça à l'air bon), voici le pre script :

    Script : 14:01:08

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuée

    ¤

    Supprimé : C:\ProgramData\6tsigcr7v3722087c483lfc7
    Supprimé : C:\Users\Geoffrey\AppData\Local\6tsigcr7v3722087c483lfc7

    ¤

    ¤ Hosts

    ::1 localhost

    ¤ Hosts Fix

    127.0.0.1 localhost

    ¤

    ¤¤¤¤¤¤¤¤¤ |'Archive zip

    Impossible de constituer l'archive

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

    Nettoyage du disque effectué

    ¤

    explorer.exe -> Processus redémarré

    Fin : 14:04:58
    0
  8. g3n-h@ckm@n
     
    bizarre

    regarde si tu as pas un dossier .zip à ton nom dans C:\ ou sur ton bureau
    0
  9. geoffrey
     
    Aïe, pourquoi ?

    Non je n'ai pas de dossier zip à mon nom, il y a un fichier "Kill'em" dans C mais je crois que c'est lié au Pre scan non ?
    0
  10. g3n-h@ckm@n
     
    ok oui c est en rapport avec pre_scan ca sautera à la fin

    essaie de faire une archive avec ces fichiers que je voudrais etudier :

    C:\Windows\System32\Tasks\{022A6DB8-ECCC-49CE-891E-BAA7DBDE31B0}
    C:\Windows\System32\Tasks\{17DC6BAA-1E39-4CFA-BBB1-00C808B6E8D2}
    C:\Windows\System32\Tasks\{27F76383-504F-400D-8B73-0C29B544862F}
    C:\Windows\System32\Tasks\{4FD8B449-9E5A-4659-BB29-E5D7DD42F81F}
    C:\Windows\System32\Tasks\{6C89C0AD-C836-4635-BD16-229F52704A84}
    C:\Windows\System32\Tasks\{983F3D88-A1AC-4EC1-A372-9F5637F5F17D}
    C:\Windows\System32\Tasks\{AA9A1F2A-1D8A-4287-8532-33F8874BEC83}
    C:\Windows\System32\Tasks\{C8F28691-977D-4EF8-A208-28FA4D991F6B}
    C:\Windows\System32\Tasks\{FA0FE543-991A-498C-864F-F04434ED3721}
    0
  11. geoffrey
     
    Ok
    Voilà l'archive :
    http://pjjoint.malekal.com/files.php?read=20120113_q14o11h6m8b10

    Je tiens à signaler que j'avais pas vraiment compris l'histoire du glissement d'icone, en tout cas lorsque je cliquais sur Script, on me proposait de choisir le programme approprié alors j'ai cliqué sur Scan (je pensais que c'était peut être là qu'il aurait fallu que je glisse je ne sais quoi après). Bref donc le pre scan s est executé de plus bel, je ne sais pas si ça à eu de mauvaises conséquences. En tout cas c'est grâce à lui que j'ai pu effectuer le Script, qui s'est mis à marcher tout naturellement
    0
  12. g3n-h@ckm@n
     
    ok fais un scan complet avec malwarebytes après mise à jour de celui-ci
    0
  13. geoffrey
     
    Voilà le rapport, j'ai 3 trojans un Malware et un Hijack. Dois-je les supprimer ?
    Voici le rapport:
    16/01/2012 21:53:40
    mbam-log-2012-01-16 (23-23-43).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 313346
    Temps écoulé: 1 heure(s), 17 minute(s), 29 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 1
    HKCR\.exe\shell\open\command| (Hijack.ExeFile) -> Données: "C:\Users\Geoffrey\AppData\Local\gri.exe" -a "%1" %* -> Aucune action effectuée.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 4
    C:\Kill'em\Quarantine\gri.exe.kill'em (Trojan.FakeMS) -> Aucune action effectuée.
    c:\users\geoffrey\appdata\locallow\sun\java\deployment\cache\6.0\63\3edf88ff-63943381 (Trojan.FakeMS) -> Aucune action effectuée.
    E:\Softwares\alcohol\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Aucune action effectuée.
    E:\telechargement\install_flash_player.exe (Trojan.Downloader) -> Aucune action effectuée.

    (fin)
    0
  14. g3n-h@ckm@n
     
    ben oui on se demande pourquoi tu l'as pas fait !
    0