Infectée par Trojan bnk.win32.keylogger.gen
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
voilà je viens d'être infectée par ce fichu machin !!
j'ai suivi les conseils d'un membre du forum et voici le rapport RKreport, pourriez-vous m'aider à me débarasser de ce virus ?
un grand merci d'avance
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Severine [Droits d'admin]
Mode: Recherche -- Date : 14/01/2012 18:21:35
¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] qkm.exe -- C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-515967899-261478967-725345543-1004[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 54ee740ebe55b058f9f635f27ab4ff2e
[BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 112455 | Size: 156716 Mo
2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 306198900 | Size: 3224 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
27 réponses
- 1
- 2
Une infection est détectée sur Windows XP via RogueKiller V6.2.4 et le rapport RKreport met en évidence un processus malicieux, des entrées Run, et des vérifications du MBR et du fichier Hosts. Plusieurs solutions pratiques sont proposées, notamment lancer un balayage complet, cliquer sur Sélectionner tout puis Supprimer la sélection, puis consulter les rapports via Malekal ou ZHPDiag. Des éléments ciblés à retirer concernent qkm.exe dans les chemins d'exécution, les clés Run, des barres d’outils indésirables et des modules Conduit/Softonic, l'objectif étant de rétablir un profil système sain et de restaurer le MBR. En cas de persistance, des outils complémentaires comme ZHPDiag et RKFix peuvent être employés pour des nettoyages supplémentaires et vérifier les restes d’infection.
-
[...] Lance un scan complet, à la fin clique sur "Sélectionner tout" et "Supprimer la sélection"^[...]
-
Salut :)
Lance le mode 2 de roguekiller et poste le rapport.
Puis télécharge et installe MBAM
Lance un scan complet, à la fin clique sur "Sélectionner tout" et "Supprimer la sélection"
Poste le rapport
A+ -
est-ce ça le rapport du mode 2 ?
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Severine [Droits d'admin]
Mode: Suppression -- Date : 14/01/2012 18:31:33
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 54ee740ebe55b058f9f635f27ab4ff2e
[BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 112455 | Size: 156716 Mo
2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 306198900 | Size: 3224 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt -
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Ah bon ? Tu as un message d'erreur ?
-
non rien, le lien s'ouvre dans une fenêtre Firefox et rien de se passe
-
faut faire enregistrer sous
puis tu pourras l'installer. -
alors voilà le message qu'il me met :
Le téléchargement ne peut pas être enregistré car une erreur inconnue est survenue.
Veuillez essayer à nouveau. -
et si tu le prends de là ? https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button
-
-
-
c'est relatif...
-
ouf voilà tout est fait !
j'ai tout selectionné, tout supprimé et voici le rapport, maintenant je dois redémarrer l'ordi :
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org
Version de la base de données: v2012.01.14.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Severine :: CARTIER-S [administrateur]
14.01.2012 18:51:18
mbam-log-2012-01-14 (18-51-18).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 474594
Temps écoulé: 3 heure(s), 31 minute(s), 11 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 1
C:\Program Files\Windows Live\Messenger\msimg32.dll (PUP.FunWebProducts) -> Suppression au redémarrage.
Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 4
C:\Documents and Settings\All Users\Application Data\82091424 (Rogue.Multiple) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\PlayMP3z (Adware.PLayMP3z) -> Mis en quarantaine et supprimé avec succès.
Fichier(s) détecté(s): 23
C:\Program Files\Windows Live\Messenger\msimg32.dll (PUP.FunWebProducts) -> Suppression au redémarrage.
C:\Program Files\Windows Live\Messenger\riched20.dll (PUP.FunWebProducts) -> Mis en quarantaine et supprimé avec succès.
C:\RECYCLER\S-1-5-21-3257690375-2327667626-3394953851-1009\Dc343.exe (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nico.CARTIER-S\Mes documents\VSTax\jre\bin\java.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Bureau\RK_Quarantine\qkm.exe.vir (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe (Trojan.ExeShell.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\oxmewsnarc.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\asocmerwxn.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\wsxanermoc.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Mes documents\Téléchargements\XvidSetup.exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082692.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082691.EXE (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082693.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082694.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082695.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP665\A0082729.dll (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\Thumbs.db (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\PlayMP3z\uninstall.exe (Adware.PLayMP3z) -> Mis en quarantaine et supprimé avec succès.
(fin) -
et sinon tout à l'air d'être à nouveau ok, plus de messages d'erreur :o)
je te remercie pour ton aide Juju ! -
Yes :)
Redémarre et fais moi un diagnostic avec zhpdiag : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc#1-utilisation-d-un-logiciel-de-diagnostic
Utilise le site pjjoint.malekal.com pour envoyer le rapport -
ok alors j'ai tout fait, le fichier est enregistré mais je ne sais pas comment le mettre sur le site pjjoint.malekal...
-
a y est la première fois ça n'avait pas marché, maintenant c'est ok :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120114_g6e7g15g12e7 -
Outch !
Y'a encore du travail !!!
fais moi un rapport de nettoyage avec AdwCleaner
poste le rapport -
arggg misère, moi qui pensait être sortie d'affaire...
ok je fais ça et la suite arrive !-
ah nan tu seras pas sortie d'affaire si vite :)
en fait t'a installé live-player qui est une infection :/
voir : https://forum.malekal.com/viewtopic.php?t=12214&start= -
-
-
-
- 1
- 2