XP Security Cleaner : trojan.BNK.win32Résolu/Fermé

Question

Bonjour

J'étais sur internet quand Xsécurity cleaner s'est ouvert me signalant que avcenter.exe était infecté par TROJAN ci-dessus. J'ai voulu faire un scan avec avira mais celui ci est bloqué ainsi que mon accès internet. J'ai voulu démarrer en mode sans echec mais impossible, touches F5 et F8 sans effet. Je suis sous windows XP. 

là je suis sur l'ordi de mon fils

Que dois je faire ?

Merci à tous pour votre aide

Malekal_morte- · Answer

Salut,

Tu peux désinstaller ce Xsécurity cleaner ?

Malekal_morte- · Answer

ha je viens de capter c'est XP Security Cleaner. 
Bref c'est un faux antivirus qui détecte de fausse infection pour te faire payer un faux antivirus mais avec du vrai argent :p


Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.  

!!! Démarre sur la session infectée !!! 

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)   
[*] Quitter tous les programmes   
[*] Lancer RogueKiller.exe.   
[*] Attendre que le Prescan ait fini ...   
[*] Lance un scan afin de débloquer le bouton Suppression à droite.  
[*] Clic sur Suppression.  
Poste le rapport ici.  

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!   
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

iorana10 · Answer

merci de ta réponse mais je n'arrive pas à demarrer en mode sans echec, j'ai essayé plusieurs fois avec F5 et F8 ?

Malekal_morte- · Answer

Faut faire avant le logo Windows.

Sinon essaye en mode normal
Affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com 
Il devrait se lancer.

iorana10 · Answer

Bonjour

Oui je sais qu'il faut faire au démarrage mais ça marche pas et je peux pas aller sur internet sur suivre ta procédure, quoi faire d'autre ?

iorana10 · Answer

mais comment je fais j'ai pas accès à internet et je sais pas le faire d'un autre ordi

iorana10 · Answer

comment je dois faire pour transferer sur clé USB ? suis pas très calée

iorana10 · Answer

je te remercie mais je sais pas faire. j'ai juste un fichier sur le bureau qui s'appelle RK Quarantine, est ce cela que je dois copier sur la cle ?

iorana10 · Answer

Bonjour Voici le rapport de Roguekiller que j'ai enfin réussi à faire, mais toujours pas I nternet ni accès à mon anti virus. Merci de me donner la marche à suivre RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Monique [Droits restreints] Mode : Suppression -- Date : 16/04/2013 15:51:34 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [HOSTS] HKLM\[...]\Parameters : DataBasePath () -> NON SUPPRIMÉ, UTILISER HOSTS RAZ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ Termine : << RKreport[8]_D_16042013_155134.txt >> RKreport[1]_S_16042013_154455.txt ; RKreport[2]_D_16042013_154621.txt ; RKreport[3]_S_16042013_154717.txt ; RKreport[4]_D_16042013_154806.txt ; RKreport[5]_D_16042013_154856.txt ; RKreport[6]_S_16042013_154951.txt ; RKreport[7]_D_16042013_155024.txt ; RKreport[8]_D_16042013_155134.txt

iorana10 · Answer

Oui j'ai des fenetres sans arret qui s'ouvrent des que je clique sur ATF CLEANER ou AVIRA, par contre par BAL OUTLOOK a toujours fonctionné

iorana10 · Answer

Comment je peux savoir ce qui est infecté, car quand je clique sur CCleaner XP SECURITE me dit que l'infection est là, quand je clique sur AVIRA XP me dit que c'est AVIRA etc........

Et je sais pas ce qu'est OTL

iorana10 · Answer

oui j'ai bien compris que c'est une arnaque mais que dois je faire alors ? Expliquez moi ce qu'est OTL SVP

iorana10 · Answer

j'ai fait le scan OTL mais ne trouve pas les 2 fichiers TXT que je dois vous envoyer, j'ai fais tout ça avec une clé USB, je suis pas douée...... je sais

Je sais pas si je serais encore là ce soir, mon fils trépigne pour son ordi

Merci

iorana10 · Answer

Bonjour

Désolé de ne pas m être connecté depuis 3 jours je crois que j'ai réussi à générer le rapport OTL voici les liens 
https://pjjoint.malekal.com/files.php?id=20130420_y10b6i12e12b9
   https://pjjoint.malekal.com/files.php?id=20130420_j6s5r7u8b13


 Merci de me dire si c'est cela qu'il fallait vous envoyer

Malekal_morte- · Answer

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O2 - BHO: (DefaultTab Browser Helper) - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Documents and Settings\Monique\Application Data\DefaultTab\DefaultTab\DefaultTabBHO.dll (Search Results LLC.) 
O37 - HKU\S-1-5-21-1547161642-725345543-839522115-1005\...exe [@ = j06] -- C:\Documents and Settings\Monique\Local Settings\Application Data\lri.exe -a %1 %* ()
[2013/04/20 15:14:56 | 000,009,008 | -HS- | M] () -- C:\Documents and Settings\Monique\Local Settings\Application Data\6o4v7yr6ikfw18072u 
[2013/04/20 15:14:56 | 000,009,008 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\6o4v7yr6ikfw18072u
[2013/02/16 19:18:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon
:reg
[-HKEY_USERS\S-1-5-21-1547161642-725345543-839522115-1005\SOFTWARE\Classes\.exe] 

* redemarre le pc sous windows et poste le rapport ici

iorana10 · Answer

Merci beaucoup, je viens de m'apercevoir que j'ai à nouveau la connextion internet et à priori tout fonctionne comme avant. Faut il tout de même que je  relance OTL comme vous me le dites ?

iorana10 · Answer

voici le rapport

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F6AFBF1-E065-4627-A2FD-810366367D01}\ deleted successfully.
C:\Documents and Settings\Monique\Application Data\DefaultTab\DefaultTab\DefaultTabBHO.dll moved successfully.
Registry key HKEY_USERS\S-1-5-21-1547161642-725345543-839522115-1005_Classes\.exe\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1547161642-725345543-839522115-1005_Classes\j06\ deleted successfully.
HKEY_LOCAL_MACHINE\Software\Classes\.exe\|exefile /E : value set successfully!
C:\Documents and Settings\Monique\Local Settings\Application Data\6o4v7yr6ikfw18072u moved successfully.
C:\Documents and Settings\All Users\Application Data\6o4v7yr6ikfw18072u moved successfully.
C:\Documents and Settings\All Users\Application Data\Babylon folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_USERS\S-1-5-21-1547161642-725345543-839522115-1005\SOFTWARE\Classes\.exe\ not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04202013_211410

Malekal_morte- · Answer

plus de prb?

iorana10 · Answer

à priori plus de problème, je te remercie de ta disponibilité et ton professionalisme.

Pourrais tu m'indiquer un forume ou je pourrais exposer le problème de l'ordi de mon fils quand à une réinstallation de drivers pour une talbe de mixage ( NUMARK ) avec code erreur TIMEOUT 0x0005, je n'ai trouvé sur votre site qu'une discussion à ce sujet et pas de solution, et autres discussions toute en anglais 

Encore tous mes remerciements

Malekal_morte- · Answer

Dans la section matériel, je pense : https://forums.commentcamarche.net/forum/materiel-informatique-2


~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

XP Security Cleaner : trojan.BNK.win32

20 réponses

Discussions similaires

Newsletters