Trojan.bnk.win32.keylogger.gen
Fermé
0drey
-
12 janv. 2012 à 11:45
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 - 12 janv. 2012 à 23:26
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 - 12 janv. 2012 à 23:26
5 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
12 janv. 2012 à 11:46
12 janv. 2012 à 11:46
Salut,
Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
Lances en option 2 (Suppression).
Poste le rapport ici.
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
Lances en option 2 (Suppression).
Poste le rapport ici.
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
12 janv. 2012 à 11:53
12 janv. 2012 à 11:53
Pour voir :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Voici les rapports :
http://pjjoint.malekal.com/files.php?id=20120112_d6n8b8z9u8
http://pjjoint.malekal.com/files.php?id=20120112_w15y12m12m15j13
http://pjjoint.malekal.com/files.php?id=20120112_d6n8b8z9u8
http://pjjoint.malekal.com/files.php?id=20120112_w15y12m12m15j13
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
Modifié par Malekal_morte- le 12/01/2012 à 12:24
Modifié par Malekal_morte- le 12/01/2012 à 12:24
A faire si tu le souhaites - ce n'est pas obligatoire :
WIGI est un programme permettant de voir son historique (FF / IE), et permettant de scanner ses plugins pour rechercher ceux qui sont périmés.
WIGI permet d'envoyer de manière anonyme l'historique de navigation afin de récupérer des adresses malicieuses et pouvoir les analyser.
L'envoie n'est pas obligatoire, à faire si tu es d'accord.
Télécharge WIGI sur le bureau: http://www.geekstogo.com/forum/files/file/413-roguekiller/Tools/WhyIGotInfected.rar
* Décompresse le tout avec un outil comme winrar / winzip / 7zip...
* Lance WhyIGotInfected.exe
* Dans l'onget "History", clique sur "Scan".
* Si tu es d'accord pour envoyer de manière anonyme ton historique pour analyse, clique sur "Envoi".
Cet historique sera analysé par des spécialistes afin de retrouver des traces de ton infection pour la suivre et la prévenir.
L'onglet pluggin permet de vérifier si ses pluggins WEB sont à jour.
Un pluggin WEB non à jour permet permet l'infection de son ordinateur via des Un exploit sur site WEB .
Ne pas tenir à jour ses pluggins est une porte d'entrée à infection.
~~
Désinstalle Search Settings, ça sert à rien.
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2010/05/24 16:51:52 | 000,000,000 | ---D | M] -- C:\Users\Audrey\AppData\Roaming\OpenCandy
[2012/01/12 10:31:31 | 000,273,408 | ---- | C] ( ) -- C:\Users\Audrey\AppData\Local\tsp.exe
[2012/01/12 10:31:31 | 000,273,408 | ---- | C] ( ) -- C:\Users\Audrey\AppData\Local\cxi.exe
[2012/01/12 10:31:23 | 000,000,000 | ---D | C] -- C:\Users\Audrey\AppData\Local\SanctionedMedia
[2012/01/12 11:31:58 | 000,012,756 | -HS- | M] () -- C:\Users\Audrey\AppData\Local\gfy7j1h4inpa
[2012/01/12 11:31:58 | 000,012,756 | -HS- | M] () -- C:\ProgramData\gfy7j1h4inpa
:reg
[HKEY_CURRENT_USER\SOFTWARE\Classes\extension]
.exe=-
* redemarre le pc sous windows et poste le rapport ici
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.htmlfailles-de-securite]
Absolument à faire.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
WIGI est un programme permettant de voir son historique (FF / IE), et permettant de scanner ses plugins pour rechercher ceux qui sont périmés.
WIGI permet d'envoyer de manière anonyme l'historique de navigation afin de récupérer des adresses malicieuses et pouvoir les analyser.
L'envoie n'est pas obligatoire, à faire si tu es d'accord.
Télécharge WIGI sur le bureau: http://www.geekstogo.com/forum/files/file/413-roguekiller/Tools/WhyIGotInfected.rar
* Décompresse le tout avec un outil comme winrar / winzip / 7zip...
* Lance WhyIGotInfected.exe
* Dans l'onget "History", clique sur "Scan".
* Si tu es d'accord pour envoyer de manière anonyme ton historique pour analyse, clique sur "Envoi".
Cet historique sera analysé par des spécialistes afin de retrouver des traces de ton infection pour la suivre et la prévenir.
L'onglet pluggin permet de vérifier si ses pluggins WEB sont à jour.
Un pluggin WEB non à jour permet permet l'infection de son ordinateur via des Un exploit sur site WEB .
Ne pas tenir à jour ses pluggins est une porte d'entrée à infection.
~~
Désinstalle Search Settings, ça sert à rien.
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2010/05/24 16:51:52 | 000,000,000 | ---D | M] -- C:\Users\Audrey\AppData\Roaming\OpenCandy
[2012/01/12 10:31:31 | 000,273,408 | ---- | C] ( ) -- C:\Users\Audrey\AppData\Local\tsp.exe
[2012/01/12 10:31:31 | 000,273,408 | ---- | C] ( ) -- C:\Users\Audrey\AppData\Local\cxi.exe
[2012/01/12 10:31:23 | 000,000,000 | ---D | C] -- C:\Users\Audrey\AppData\Local\SanctionedMedia
[2012/01/12 11:31:58 | 000,012,756 | -HS- | M] () -- C:\Users\Audrey\AppData\Local\gfy7j1h4inpa
[2012/01/12 11:31:58 | 000,012,756 | -HS- | M] () -- C:\ProgramData\gfy7j1h4inpa
:reg
[HKEY_CURRENT_USER\SOFTWARE\Classes\extension]
.exe=-
* redemarre le pc sous windows et poste le rapport ici
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.htmlfailles-de-securite]
Absolument à faire.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Le rapport ODT :
http://pjjoint.malekal.com/files.php?id=20120112_n6w12w11m14w5
Pour Search Settings j'aimerais bien le désinstaller mais je ne le trouve pas.
http://pjjoint.malekal.com/files.php?id=20120112_n6w12w11m14w5
Pour Search Settings j'aimerais bien le désinstaller mais je ne le trouve pas.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
12 janv. 2012 à 14:57
12 janv. 2012 à 14:57
pas bon. t'as fait un scan là.
Faut faire correction lire ce qui est écrit.
Faut faire correction lire ce qui est écrit.
12 janv. 2012 à 11:50
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Audrey [Droits d'admin]
Mode: Suppression -- Date : 12/01/2012 11:49:32
Processus malicieux: 1
[APPDT/TMP/DESKTOP] cxi.exe -- c:\users\audrey\appdata\local\cxi.exe -> KILLED
Entrees de registre: 1
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Audrey\AppData\Local\cxi.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
Fichier HOSTS:
127.0.0.1 localhost
12 janv. 2012 à 23:26
TRES vieille version de RogueKiller