Infectée par Trojan bnk.win32.keylogger.gen

punky7903 Messages postés 22 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

voilà je viens d'être infectée par ce fichu machin !!

j'ai suivi les conseils d'un membre du forum et voici le rapport RKreport, pourriez-vous m'aider à me débarasser de ce virus ?

un grand merci d'avance

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Severine [Droits d'admin]
Mode: Recherche -- Date : 14/01/2012 18:21:35

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] qkm.exe -- C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-515967899-261478967-725345543-1004[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 54ee740ebe55b058f9f635f27ab4ff2e
[BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 112455 | Size: 156716 Mo
2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 306198900 | Size: 3224 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

27 réponses

  • 1
  • 2
Résumé de la discussion

Une infection est détectée sur Windows XP via RogueKiller V6.2.4 et le rapport RKreport met en évidence un processus malicieux, des entrées Run, et des vérifications du MBR et du fichier Hosts. Plusieurs solutions pratiques sont proposées, notamment lancer un balayage complet, cliquer sur Sélectionner tout puis Supprimer la sélection, puis consulter les rapports via Malekal ou ZHPDiag. Des éléments ciblés à retirer concernent qkm.exe dans les chemins d'exécution, les clés Run, des barres d’outils indésirables et des modules Conduit/Softonic, l'objectif étant de rétablir un profil système sain et de restaurer le MBR. En cas de persistance, des outils complémentaires comme ZHPDiag et RKFix peuvent être employés pour des nettoyages supplémentaires et vérifier les restes d’infection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    [...] Lance un scan complet, à la fin clique sur "Sélectionner tout" et "Supprimer la sélection"^[...]
    2
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut :)

    Lance le mode 2 de roguekiller et poste le rapport.

    Puis télécharge et installe MBAM

    Lance un scan complet, à la fin clique sur "Sélectionner tout" et "Supprimer la sélection"

    Poste le rapport

    A+
    0
  3. punky7903 Messages postés 22 Statut Membre
     
    est-ce ça le rapport du mode 2 ?

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Severine [Droits d'admin]
    Mode: Suppression -- Date : 14/01/2012 18:31:33

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 2 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 54ee740ebe55b058f9f635f27ab4ff2e
    [BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code
    Partition table:
    0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo
    1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 112455 | Size: 156716 Mo
    2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 306198900 | Size: 3224 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  4. punky7903 Messages postés 22 Statut Membre
     
    je n'arrive pas à ouvrir le programme MBAM... :o(
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ah bon ? Tu as un message d'erreur ?
    0
  7. punky7903 Messages postés 22 Statut Membre
     
    non rien, le lien s'ouvre dans une fenêtre Firefox et rien de se passe
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    faut faire enregistrer sous
    puis tu pourras l'installer.
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      suite

      fais un clic droit sur le lien
      https://store.malwarebytes.org/342/cookie?affiliate=1878&redirectto=http%3a%2f%2fdownload.bleepingcomputer.com%2fmalwarebytes%2fmbam-setup.exe&product=29945
      "Enregistrer la cible du lien sous" Tu choisi comme emplacement ton bureau et tu clique sur enregistrer
      0
  9. punky7903 Messages postés 22 Statut Membre
     
    alors voilà le message qu'il me met :

    Le téléchargement ne peut pas être enregistré car une erreur inconnue est survenue.

    Veuillez essayer à nouveau.
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    et si tu le prends de là ? https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button
    0
  11. punky7903 Messages postés 22 Statut Membre
     
    oui c'est bon avec ce lien !

    j'ai lancé l'examen rapide
    0
  12. punky7903 Messages postés 22 Statut Membre
     
    ok c'est parti :o)

    c'est long ?
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    c'est relatif...
    0
  14. punky7903 Messages postés 22 Statut Membre
     
    ouf voilà tout est fait !

    j'ai tout selectionné, tout supprimé et voici le rapport, maintenant je dois redémarrer l'ordi :

    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.14.03

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    Severine :: CARTIER-S [administrateur]

    14.01.2012 18:51:18
    mbam-log-2012-01-14 (18-51-18).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 474594
    Temps écoulé: 3 heure(s), 31 minute(s), 11 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 1
    C:\Program Files\Windows Live\Messenger\msimg32.dll (PUP.FunWebProducts) -> Suppression au redémarrage.

    Clé(s) du Registre détectée(s): 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 4
    C:\Documents and Settings\All Users\Application Data\82091424 (Rogue.Multiple) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\PlayMP3z (Adware.PLayMP3z) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 23
    C:\Program Files\Windows Live\Messenger\msimg32.dll (PUP.FunWebProducts) -> Suppression au redémarrage.
    C:\Program Files\Windows Live\Messenger\riched20.dll (PUP.FunWebProducts) -> Mis en quarantaine et supprimé avec succès.
    C:\RECYCLER\S-1-5-21-3257690375-2327667626-3394953851-1009\Dc343.exe (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Nico.CARTIER-S\Mes documents\VSTax\jre\bin\java.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Severine.CARTIER-S\Bureau\RK_Quarantine\qkm.exe.vir (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe (Trojan.ExeShell.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\oxmewsnarc.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\asocmerwxn.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\wsxanermoc.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Severine.CARTIER-S\Mes documents\Téléchargements\XvidSetup.exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082692.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082691.EXE (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082693.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082694.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082695.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
    C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP665\A0082729.dll (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FBrowsingAdvisor\Thumbs.db (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\PlayMP3z\uninstall.exe (Adware.PLayMP3z) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  15. punky7903 Messages postés 22 Statut Membre
     
    et sinon tout à l'air d'être à nouveau ok, plus de messages d'erreur :o)

    je te remercie pour ton aide Juju !
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Yes :)

    Redémarre et fais moi un diagnostic avec zhpdiag : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc#1-utilisation-d-un-logiciel-de-diagnostic

    Utilise le site pjjoint.malekal.com pour envoyer le rapport
    0
  17. punky7903 Messages postés 22 Statut Membre
     
    ok alors j'ai tout fait, le fichier est enregistré mais je ne sais pas comment le mettre sur le site pjjoint.malekal...
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ouvre pjjoint, clique sur "Parcourir", choisi ton fichier et clique sur Envoyer le fichier :)
      0
  18. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Outch !
    Y'a encore du travail !!!

    fais moi un rapport de nettoyage avec AdwCleaner
    poste le rapport
    0
  19. punky7903 Messages postés 22 Statut Membre
     
    arggg misère, moi qui pensait être sortie d'affaire...

    ok je fais ça et la suite arrive !
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ah nan tu seras pas sortie d'affaire si vite :)

      en fait t'a installé live-player qui est une infection :/

      voir : https://forum.malekal.com/viewtopic.php?t=12214&start=
      0
    2. punky7903 Messages postés 22 Statut Membre
       
      beuh je sais même pas ce que c'est ce Live-player....
      c'est indiqué quand il a été telechargé ??
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      yes : O43 - CFD: 01.08.2011 - 19:38:48 - [1.594] ----D- C:\Program Files\Live-Player

      je regarde le rapport je reviens
      0
  • 1
  • 2