Trojan Win32.bnk keylogger
nuky13
Messages postés
2
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je n'arrivais plus à ouvrir un seul fichuer exe ni internet, cette satanée page qui s'affichait m'invitant à acheter un prog pour désinfecter mon ordi. J'ai un peu regardé sur le net et ai tenté d'installer roguekiller.
J'ai pu lancer une recherche et j'ai eu ce premier rapport:
RogueKiller V6.2.3 [09/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Lili [Droits d'admin]
Mode: Recherche -- Date : 11/01/2012 15:44:38
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 10 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : WahOO ("C:\Users\Lili\AppData\Local\WahOO\WahOO.exe" silent) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-504860533-3912140453-2207478336-1000[...]\Run : WahOO ("C:\Users\Lili\AppData\Local\WahOO\WahOO.exe" silent) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\.exe : (50c) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 514d73a24434542d55cbb9e6894750bd
[BSP] ec2371f15c3022fa1e6141d58c23c748 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 149916 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 292806656 | Size: 10120 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 7adf875e47f4368c4c946b8b62dbba14
[BSP] 2c56e585dfdaac93ca20882fda178490 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT16 [VISIBLE] Offset (sectors): 32 | Size: 2076 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Lors de la suppression, j'ai reçu ce 2eme rapport:
RogueKiller V6.2.3 [09/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Lili [Droits d'admin]
Mode: Suppression -- Date : 11/01/2012 15:45:32
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 8 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : WahOO ("C:\Users\Lili\AppData\Local\WahOO\WahOO.exe" silent) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[FILEASSO] HKCR\[...].exe : (50c) -> REPLACED (exefile)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe")
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files\internet explorer\iexplore.exe")
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 514d73a24434542d55cbb9e6894750bd
[BSP] ec2371f15c3022fa1e6141d58c23c748 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 149916 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 292806656 | Size: 10120 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 7adf875e47f4368c4c946b8b62dbba14
[BSP] 2c56e585dfdaac93ca20882fda178490 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT16 [VISIBLE] Offset (sectors): 32 | Size: 2076 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Je ne sais pas si j'dois faire les points 3, 4, 5, 6. Visiblement mon ordi va mieux mais j'aimerais l'avis d'experts pour etre sur que mon ordi est bien désinfecté..
Depuis que mon ordi est l'air plus gentil ;-) mon antivirus qui est avira antivir personal, me met une alerte régulièrement me disant que des fichiers dangereux tentent d'avoir accès à mon ordinateur. Comment ravoir un ordinateur tout beau tout frais?
Merci d'avance pour vos réponses
nuky13
Je n'arrivais plus à ouvrir un seul fichuer exe ni internet, cette satanée page qui s'affichait m'invitant à acheter un prog pour désinfecter mon ordi. J'ai un peu regardé sur le net et ai tenté d'installer roguekiller.
J'ai pu lancer une recherche et j'ai eu ce premier rapport:
RogueKiller V6.2.3 [09/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Lili [Droits d'admin]
Mode: Recherche -- Date : 11/01/2012 15:44:38
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 10 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : WahOO ("C:\Users\Lili\AppData\Local\WahOO\WahOO.exe" silent) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-504860533-3912140453-2207478336-1000[...]\Run : WahOO ("C:\Users\Lili\AppData\Local\WahOO\WahOO.exe" silent) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\.exe : (50c) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 514d73a24434542d55cbb9e6894750bd
[BSP] ec2371f15c3022fa1e6141d58c23c748 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 149916 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 292806656 | Size: 10120 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 7adf875e47f4368c4c946b8b62dbba14
[BSP] 2c56e585dfdaac93ca20882fda178490 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT16 [VISIBLE] Offset (sectors): 32 | Size: 2076 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Lors de la suppression, j'ai reçu ce 2eme rapport:
RogueKiller V6.2.3 [09/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Lili [Droits d'admin]
Mode: Suppression -- Date : 11/01/2012 15:45:32
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 8 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : WahOO ("C:\Users\Lili\AppData\Local\WahOO\WahOO.exe" silent) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[FILEASSO] HKCR\[...].exe : (50c) -> REPLACED (exefile)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe")
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files\internet explorer\iexplore.exe")
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 514d73a24434542d55cbb9e6894750bd
[BSP] ec2371f15c3022fa1e6141d58c23c748 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 149916 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 292806656 | Size: 10120 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 7adf875e47f4368c4c946b8b62dbba14
[BSP] 2c56e585dfdaac93ca20882fda178490 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT16 [VISIBLE] Offset (sectors): 32 | Size: 2076 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Je ne sais pas si j'dois faire les points 3, 4, 5, 6. Visiblement mon ordi va mieux mais j'aimerais l'avis d'experts pour etre sur que mon ordi est bien désinfecté..
Depuis que mon ordi est l'air plus gentil ;-) mon antivirus qui est avira antivir personal, me met une alerte régulièrement me disant que des fichiers dangereux tentent d'avoir accès à mon ordinateur. Comment ravoir un ordinateur tout beau tout frais?
Merci d'avance pour vos réponses
nuky13
A voir également:
- Trojan Win32.bnk keylogger
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Trojan win32 malgent - Forum Virus
- Trojan agent ✓ - Forum Virus
- Comment enlever mon virus trojan:win32/si... ✓ - Forum Virus
3 réponses
Salut g3n-h@ckm@n,
Alors des fichiers du style:
TR/Proxy.sefbov.E.12
TR/Fake.Rean.6211
de nouveau TR/Proxy.sefbov.E.12
BDS/Backdoor.Gen5
TR/Agent.422223
A chaque alerte je choisissais "remove"...
Merci de prendre le temps de m'aider
Alors des fichiers du style:
TR/Proxy.sefbov.E.12
TR/Fake.Rean.6211
de nouveau TR/Proxy.sefbov.E.12
BDS/Backdoor.Gen5
TR/Agent.422223
A chaque alerte je choisissais "remove"...
Merci de prendre le temps de m'aider
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
