infectée par Trojan bnk.win32.keylogger.gen Fermé

Question

Bonjour, voilà je viens d'être infectée par ce fichu machin !! j'ai suivi les conseils d'un membre du forum et voici le rapport RKreport, pourriez-vous m'aider à me débarasser de ce virus ? un grand merci d'avance RogueKiller V6.2.4 [12/01/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Severine [Droits d'admin] Mode: Recherche -- Date : 14/01/2012 18:21:35 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] qkm.exe -- C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 3 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-515967899-261478967-725345543-1004[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 54ee740ebe55b058f9f635f27ab4ff2e [BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code Partition table: 0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo 1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 112455 | Size: 156716 Mo 2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 306198900 | Size: 3224 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

juju666 · Accepted Answer

[...] Lance un scan complet, à la fin clique sur "Sélectionner tout" et "Supprimer la sélection"^[...]

juju666 · Answer

Salut :)

Lance le mode 2 de roguekiller et poste le rapport.

Puis télécharge et installe MBAM

Lance un scan complet, à la fin clique sur "Sélectionner tout" et "Supprimer la sélection"

Poste le rapport

A+

punky7903 · Answer

est-ce ça le rapport du mode 2 ? RogueKiller V6.2.4 [12/01/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Severine [Droits d'admin] Mode: Suppression -- Date : 14/01/2012 18:31:33 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 54ee740ebe55b058f9f635f27ab4ff2e [BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code Partition table: 0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo 1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 112455 | Size: 156716 Mo 2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 306198900 | Size: 3224 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

punky7903 · Answer

je n'arrive pas à ouvrir le programme MBAM... :o(

juju666 · Answer

Ah bon ? Tu as un message d'erreur ?

punky7903 · Answer

non rien, le lien s'ouvre dans une fenêtre Firefox et rien de se passe

juju666 · Answer

faut faire enregistrer sous
puis tu pourras l'installer.

punky7903 · Answer

alors voilà le message qu'il me met :

Le téléchargement ne peut pas être enregistré car une erreur inconnue est survenue.

Veuillez essayer à nouveau.

juju666 · Answer

et si tu le prends de là ? https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button

punky7903 · Answer

oui c'est bon avec ce lien !

j'ai lancé l'examen rapide

punky7903 · Answer

ok c'est parti :o)

c'est long ?

juju666 · Answer

c'est relatif...

punky7903 · Answer

ouf voilà tout est fait !

j'ai tout selectionné, tout supprimé et voici le rapport, maintenant je dois redémarrer l'ordi :



Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.14.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Severine :: CARTIER-S [administrateur]

14.01.2012 18:51:18
mbam-log-2012-01-14 (18-51-18).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 474594
Temps écoulé: 3 heure(s), 31 minute(s), 11 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 1
C:\Program Files\Windows Live\Messenger\msimg32.dll (PUP.FunWebProducts) -> Suppression au redémarrage.

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 4
C:\Documents and Settings\All Users\Application Data\82091424 (Rogue.Multiple) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\PlayMP3z (Adware.PLayMP3z) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 23
C:\Program Files\Windows Live\Messenger\msimg32.dll (PUP.FunWebProducts) -> Suppression au redémarrage.
C:\Program Files\Windows Live\Messenger\riched20.dll (PUP.FunWebProducts) -> Mis en quarantaine et supprimé avec succès.
C:\RECYCLER\S-1-5-21-3257690375-2327667626-3394953851-1009\Dc343.exe (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nico.CARTIER-S\Mes documents\VSTax\jre\bin\java.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Bureau\RK_Quarantine\qkm.exe.vir (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe (Trojan.ExeShell.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\oxmewsnarc.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\asocmerwxn.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\wsxanermoc.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Mes documents\Téléchargements\XvidSetup.exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082692.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082691.EXE (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082693.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082694.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082695.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP665\A0082729.dll (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\Thumbs.db (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\PlayMP3z\uninstall.exe (Adware.PLayMP3z) -> Mis en quarantaine et supprimé avec succès.

(fin)

punky7903 · Answer

et sinon tout à l'air d'être à nouveau ok, plus de messages d'erreur :o)

je te remercie pour ton aide Juju !

juju666 · Answer

Yes :)

Redémarre et fais moi un diagnostic avec zhpdiag : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc#1-utilisation-d-un-logiciel-de-diagnostic

Utilise le site pjjoint.malekal.com pour envoyer le rapport

punky7903 · Answer

ok alors j'ai tout fait, le fichier est enregistré mais je ne sais pas comment le mettre sur le site pjjoint.malekal...

punky7903 · Answer

a y est la première fois ça n'avait pas marché, maintenant c'est ok :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120114_g6e7g15g12e7

juju666 · Answer

Outch ! 
Y'a encore du travail !!!

fais moi un rapport de nettoyage avec AdwCleaner
poste le rapport

punky7903 · Answer

arggg misère, moi qui pensait être sortie d'affaire...

ok je fais ça et la suite arrive !

punky7903 · Answer

https://pjjoint.malekal.com/files.php?id=20120115_q14l11o9c12l8

juju666 · Answer

(suite)

y'a pas que live player, y'a aussi Ask et babylon toolbar.

ça s'attrape en installant des programmes gratuits, faut apprendre à décocher toutes les options quand tu installe un truc :)

je suppose tu as déjà vu ça, google chrome on te l'a surement proposé avec ccleaner ;)

relance adwcleaner mais fais un nettoyage cette fois, là tu l'as lancé en recherche :)

juju666 · Answer

Hello !

Ok on passe à l'autre où c'est Nettoyer :p

Télécharge AD-R et clique sur [ Nettoyer ]

Poste le rapport (C:\AD-ReportCLEAN[1].txt)

juju666 · Answer

Yes 

Refais un ZHPDiag voir l'avancement ;) 
Rapport à héberger comme d'hab

 .::. Contributeur Sécurité .::.

juju666 · Answer

Nettement mieux ouais :)

Va dans ton panneau de configuration et supprime ça :

Softonic
SweetIM    
Conduit Toolbars

~~

Copie le texte en gras :


O43 - CFD: 05.12.2011 - 14:51:14 - [0] ----D- C:\Documents and Settings\Severine.CARTIER-S\Application Data\BabylonToolbar    => Infection BT (Toolbar.Babylon)
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Live-Player]    => Infection MagicControl
[HKLM\Software\Classes\escort.escrtBtn.1]    => Infection BT (Toolbar.Babylon)
[HKLM\Software\Classes\CLSID\{8856F961-340A-11D0-A96B-00C04FD705A2}]    => Infection PUP (Adware.Bandoo)
C:\Documents and Settings\Severine.CARTIER-S\Application Data\BabylonToolbar    => Infection BT (Toolbar.Babylon)
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof2.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof2.dll
O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html    => SweetIM Toolbar
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar    => Toolbar.Conduit
[HKCU\Software\Softonic_France]    => Toolbar.Conduit
[HKLM\Software\Softonic_France]    => Toolbar.Conduit
O43 - CFD: 10.03.2011 - 22:07:28 - [13.602] ----D- C:\Program Files\Softonic_France    => Toolbar.Conduit
O43 - CFD: 01.01.2012 - 12:25:10 - [4.290] ----D- C:\Program Files\SweetIM    => Toolbar.SweetIM
O43 - CFD: 15.01.2012 - 00:56:06 - [9.271] ----D- C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\Softonic_France    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKCU\Software\Softonic_France]    => Toolbar.Conduit
[HKLM\Software\Softonic_France]    => Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_France Toolbar]    => Toolbar.Conduit
C:\Program Files\Softonic_France    => Toolbar.Conduit
C:\Program Files\SweetIM    => Toolbar.SweetIM
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\Softonic_France    => Toolbar.Conduit
EmptyTemp

Ouvre ZHPFix (sur ton bureau)
Clique sur le [ H ] puis sur [ GO ]
Poste le rapport

juju666 · Answer

Yes :)

Redémarre le PC, et on fait un dernier ZHPDiag de contrôle, ensuite je te donnerais quelques conseils :)

juju666 · Answer

Refais un fix avec ça ? 


[HKLM\SOFTWARE\Microsoft\RFC1156Agent]    
O51 - MPSK:{ace2f05f-f0dc-11de-b984-00188b738f31}\AutoRun\command. (...) -- C:\WINDOWS\system32\launcher.exe (.not file.)  
[HKCU\Software	oolbar]

juju666 · Answer

nickel :)

fais ce grand ménage : https://forums.commentcamarche.net/forum/affich-24145602-trojan-dos-alureon?page=2#78

poste moi les rapports au fur et à mesure

Infectée par Trojan bnk.win32.keylogger.gen

27 réponses

Discussions similaires