infectée par Trojan bnk.win32.keylogger.gen

Question

Bonjour, voilà je viens d'être infectée par ce fichu machin !! j'ai suivi les conseils d'un membre du forum et voici le rapport RKreport, pourriez-vous m'aider à me débarasser de ce virus ? un grand merci d'avance RogueKiller V6.2.4 [12/01/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Severine [Droits d'admin] Mode: Recherche -- Date : 14/01/2012 18:21:35 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] qkm.exe -- C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 3 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-515967899-261478967-725345543-1004[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 54ee740ebe55b058f9f635f27ab4ff2e [BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code Partition table: 0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo 1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 112455 | Size: 156716 Mo 2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 306198900 | Size: 3224 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

juju666 · Accepted Answer

[...] Lance un scan complet, à la fin clique sur "Sélectionner tout" et "Supprimer la sélection"^[...]

juju666 · Answer

Salut :)

Lance le mode 2 de roguekiller et poste le rapport.

Puis télécharge et installe MBAM

Lance un scan complet, à la fin clique sur "Sélectionner tout" et "Supprimer la sélection"

Poste le rapport

A+

punky7903 · Answer

est-ce ça le rapport du mode 2 ? RogueKiller V6.2.4 [12/01/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Severine [Droits d'admin] Mode: Suppression -- Date : 14/01/2012 18:31:33 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : acead86d (C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 54ee740ebe55b058f9f635f27ab4ff2e [BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code Partition table: 0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo 1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 112455 | Size: 156716 Mo 2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 306198900 | Size: 3224 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

punky7903 · Answer

je n'arrive pas à ouvrir le programme MBAM... :o(

juju666 · Answer

Ah bon ? Tu as un message d'erreur ?

punky7903 · Answer

non rien, le lien s'ouvre dans une fenêtre Firefox et rien de se passe

juju666 · Answer

faut faire enregistrer sous
puis tu pourras l'installer.

punky7903 · Answer

alors voilà le message qu'il me met :

Le téléchargement ne peut pas être enregistré car une erreur inconnue est survenue.

Veuillez essayer à nouveau.

juju666 · Answer

et si tu le prends de là ? https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button

punky7903 · Answer

oui c'est bon avec ce lien !

j'ai lancé l'examen rapide

punky7903 · Answer

ok c'est parti :o)

c'est long ?

juju666 · Answer

c'est relatif...

punky7903 · Answer

ouf voilà tout est fait !

j'ai tout selectionné, tout supprimé et voici le rapport, maintenant je dois redémarrer l'ordi :



Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.14.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Severine :: CARTIER-S [administrateur]

14.01.2012 18:51:18
mbam-log-2012-01-14 (18-51-18).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 474594
Temps écoulé: 3 heure(s), 31 minute(s), 11 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 1
C:\Program Files\Windows Live\Messenger\msimg32.dll (PUP.FunWebProducts) -> Suppression au redémarrage.

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 4
C:\Documents and Settings\All Users\Application Data\82091424 (Rogue.Multiple) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\PlayMP3z (Adware.PLayMP3z) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 23
C:\Program Files\Windows Live\Messenger\msimg32.dll (PUP.FunWebProducts) -> Suppression au redémarrage.
C:\Program Files\Windows Live\Messenger\riched20.dll (PUP.FunWebProducts) -> Mis en quarantaine et supprimé avec succès.
C:\RECYCLER\S-1-5-21-3257690375-2327667626-3394953851-1009\Dc343.exe (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Nico.CARTIER-S\Mes documents\VSTax\jre\bin\java.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Bureau\RK_Quarantine\qkm.exe.vir (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\qkm.exe (Trojan.ExeShell.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\oxmewsnarc.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\asocmerwxn.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Temp\wsxanermoc.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Severine.CARTIER-S\Mes documents\Téléchargements\XvidSetup.exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082692.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082691.EXE (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082693.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082694.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP664\A0082695.DLL (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP665\A0082729.dll (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\Thumbs.db (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\PlayMP3z\uninstall.exe (Adware.PLayMP3z) -> Mis en quarantaine et supprimé avec succès.

(fin)

punky7903 · Answer

et sinon tout à l'air d'être à nouveau ok, plus de messages d'erreur :o)

je te remercie pour ton aide Juju !

juju666 · Answer

Yes :)

Redémarre et fais moi un diagnostic avec zhpdiag : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc#1-utilisation-d-un-logiciel-de-diagnostic

Utilise le site pjjoint.malekal.com pour envoyer le rapport

punky7903 · Answer

ok alors j'ai tout fait, le fichier est enregistré mais je ne sais pas comment le mettre sur le site pjjoint.malekal...

punky7903 · Answer

a y est la première fois ça n'avait pas marché, maintenant c'est ok :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120114_g6e7g15g12e7

juju666 · Answer

Outch ! 
Y'a encore du travail !!!

fais moi un rapport de nettoyage avec AdwCleaner
poste le rapport

punky7903 · Answer

arggg misère, moi qui pensait être sortie d'affaire...

ok je fais ça et la suite arrive !

punky7903 · Answer

https://pjjoint.malekal.com/files.php?id=20120115_q14l11o9c12l8

juju666 · Answer

(suite)

y'a pas que live player, y'a aussi Ask et babylon toolbar.

ça s'attrape en installant des programmes gratuits, faut apprendre à décocher toutes les options quand tu installe un truc :)

je suppose tu as déjà vu ça, google chrome on te l'a surement proposé avec ccleaner ;)

relance adwcleaner mais fais un nettoyage cette fois, là tu l'as lancé en recherche :)

juju666 · Answer

Hello !

Ok on passe à l'autre où c'est Nettoyer :p

Télécharge AD-R et clique sur [ Nettoyer ]

Poste le rapport (C:\AD-ReportCLEAN[1].txt)

juju666 · Answer

Yes 

Refais un ZHPDiag voir l'avancement ;) 
Rapport à héberger comme d'hab

 .::. Contributeur Sécurité .::.

juju666 · Answer

Nettement mieux ouais :)

Va dans ton panneau de configuration et supprime ça :

Softonic
SweetIM    
Conduit Toolbars

~~

Copie le texte en gras :


O43 - CFD: 05.12.2011 - 14:51:14 - [0] ----D- C:\Documents and Settings\Severine.CARTIER-S\Application Data\BabylonToolbar    => Infection BT (Toolbar.Babylon)
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Live-Player]    => Infection MagicControl
[HKLM\Software\Classes\escort.escrtBtn.1]    => Infection BT (Toolbar.Babylon)
[HKLM\Software\Classes\CLSID\{8856F961-340A-11D0-A96B-00C04FD705A2}]    => Infection PUP (Adware.Bandoo)
C:\Documents and Settings\Severine.CARTIER-S\Application Data\BabylonToolbar    => Infection BT (Toolbar.Babylon)
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof2.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof2.dll
O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html    => SweetIM Toolbar
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar    => Toolbar.Conduit
[HKCU\Software\Softonic_France]    => Toolbar.Conduit
[HKLM\Software\Softonic_France]    => Toolbar.Conduit
O43 - CFD: 10.03.2011 - 22:07:28 - [13.602] ----D- C:\Program Files\Softonic_France    => Toolbar.Conduit
O43 - CFD: 01.01.2012 - 12:25:10 - [4.290] ----D- C:\Program Files\SweetIM    => Toolbar.SweetIM
O43 - CFD: 15.01.2012 - 00:56:06 - [9.271] ----D- C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\Softonic_France    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]    => Toolbar.Conduit
[HKCU\Software\Softonic_France]    => Toolbar.Conduit
[HKLM\Software\Softonic_France]    => Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_France Toolbar]    => Toolbar.Conduit
C:\Program Files\Softonic_France    => Toolbar.Conduit
C:\Program Files\SweetIM    => Toolbar.SweetIM
C:\Documents and Settings\Severine.CARTIER-S\Local Settings\Application Data\Softonic_France    => Toolbar.Conduit
EmptyTemp

Ouvre ZHPFix (sur ton bureau)
Clique sur le [ H ] puis sur [ GO ]
Poste le rapport

juju666 · Answer

Yes :)

Redémarre le PC, et on fait un dernier ZHPDiag de contrôle, ensuite je te donnerais quelques conseils :)

juju666 · Answer

Refais un fix avec ça ? 


[HKLM\SOFTWARE\Microsoft\RFC1156Agent]    
O51 - MPSK:{ace2f05f-f0dc-11de-b984-00188b738f31}\AutoRun\command. (...) -- C:\WINDOWS\system32\launcher.exe (.not file.)  
[HKCU\Software	oolbar]

juju666 · Answer

nickel :)

fais ce grand ménage : https://forums.commentcamarche.net/forum/affich-24145602-trojan-dos-alureon?page=2#78

poste moi les rapports au fur et à mesure

Infectée par Trojan bnk.win32.keylogger.gen

27 réponses

Votre réponse

Discussions similaires

Newsletters