XP Security Cleaner et Trojan-BNK.Win32.Keylogger.gen
Résolu
Meihua
Messages postés
45
Date d'inscription
Statut
Membre
Dernière intervention
-
Meihua Messages postés 45 Date d'inscription Statut Membre Dernière intervention -
Meihua Messages postés 45 Date d'inscription Statut Membre Dernière intervention -
Bonjour à tous, un virus s'est infiltré dans l'ordinateur d'un ami, il a windows xp et le virus est apparemment un trojan. Ca lui met pleins d'alerte virus noté Trojan-BNK.Win32.Keylogger.gen.
Si vous pouviez m'aider à éliminer son virus ce serait vraiment gentil.
Si vous pouviez m'aider à éliminer son virus ce serait vraiment gentil.
A voir également:
- XP Security Cleaner et Trojan-BNK.Win32.Keylogger.gen
- Hd cleaner - Télécharger - Optimisation
- Adw cleaner - Télécharger - Antivirus & Antimalwares
- Windows memory cleaner - Télécharger - Optimisation
- Cle windows xp - Guide
- Telecharger c cleaner - Télécharger - Nettoyage
23 réponses
Salut,
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Je ne peux pas me connecter sur internet, je redémarre l'ordi en mode sans échec ?
ok merci voici le rapport :
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Administrateur [Droits d'admin]
Mode : Suppression -- Date : 16/04/2013 15:06:40
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD12 00BEVS-07LAT0 SCSI Disk Device +++++
--- User ---
[MBR] ed6cac8c38533e66f97a8582dd221676
[BSP] d703c109c3024410232a1d1fe16f3769 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114470 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: WDC WD12 00BEVS-07LAT0 SCSI Disk Device +++++
--- User ---
[MBR] 1e557cb11f32dec8144028cf0616c25d
[BSP] 230677aaf69888d6a7150ce2fc8fa4f0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[3]_D_16042013_150640.txt >>
RKreport[1]_S_16042013_150404.txt ; RKreport[2]_D_16042013_150507.txt ; RKreport[3]_D_16042013_150640.txt
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Administrateur [Droits d'admin]
Mode : Suppression -- Date : 16/04/2013 15:06:40
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD12 00BEVS-07LAT0 SCSI Disk Device +++++
--- User ---
[MBR] ed6cac8c38533e66f97a8582dd221676
[BSP] d703c109c3024410232a1d1fe16f3769 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114470 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: WDC WD12 00BEVS-07LAT0 SCSI Disk Device +++++
--- User ---
[MBR] 1e557cb11f32dec8144028cf0616c25d
[BSP] 230677aaf69888d6a7150ce2fc8fa4f0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[3]_D_16042013_150640.txt >>
RKreport[1]_S_16042013_150404.txt ; RKreport[2]_D_16042013_150507.txt ; RKreport[3]_D_16042013_150640.txt
Comment ça se fait que tu n'aies pas internet ?
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
pius :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
pius :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
aucun rapport ne s'est ouvert, c'est écrit qu'il faut redémarrer l'ordinateur pour avoir le rapport, ce que j'ai fais mais ça ne fonctionne pas, toujours pas de rapport...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Oui effectivement, autant pour moi donc le rapport de adwcleaner :
# AdwCleaner v2.200 - Rapport créé le 16/04/2013 à 15:24:44
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Administrateur - NOM-601C7F22535
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Google Chrome v26.0.1410.64
Fichier : C:\Documents and Settings\SYAL27\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
Fichier : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [434 octets] - [16/04/2013 15:21:59]
AdwCleaner[S2].txt - [1831 octets] - [16/04/2013 15:22:14]
AdwCleaner[S3].txt - [1180 octets] - [16/04/2013 15:24:44]
########## EOF - C:\AdwCleaner[S3].txt - [1240 octets] ##########
# AdwCleaner v2.200 - Rapport créé le 16/04/2013 à 15:24:44
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Administrateur - NOM-601C7F22535
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Google Chrome v26.0.1410.64
Fichier : C:\Documents and Settings\SYAL27\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
Fichier : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [434 octets] - [16/04/2013 15:21:59]
AdwCleaner[S2].txt - [1831 octets] - [16/04/2013 15:22:14]
AdwCleaner[S3].txt - [1180 octets] - [16/04/2013 15:24:44]
########## EOF - C:\AdwCleaner[S3].txt - [1240 octets] ##########
rapport OTL :
https://pjjoint.malekal.com/files.php?id=20130416_e9g14x8f12y10
rapport extras :
https://pjjoint.malekal.com/files.php?id=20130416_d14c12w11l11x11
https://pjjoint.malekal.com/files.php?id=20130416_e9g14x8f12y10
rapport extras :
https://pjjoint.malekal.com/files.php?id=20130416_d14c12w11l11x11
petite précision car je dois bientôt aller travailler, si j'éteins l'ordi il faudra refaire tout ce que je viens d'exécuter ou on pourra reprendre où on s'est arrêté ?
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/04/16 15:27:52 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2013/04/16 15:27:52 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis
[2009/03/18 14:40:42 | 000,019,153 | ---- | M] () (No name found) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis\{20a82645-c095-46ed-80e3-08825760534b}\MicrosoftDotNetFrameworkAssistant.xpi
[2013/04/16 14:46:07 | 000,013,500 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\6o4v7yr6ikfw18072u
* redemarre le pc sous windows et poste le rapport ici
En ce qui concerne Trojan-BNK.Win32.Keylogger.gen - si tu as encore des alertes, faut donner plus d'informations.
Quel programme donne les alertes
Quel est le fichier infecté.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/04/16 15:27:52 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2013/04/16 15:27:52 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis
[2009/03/18 14:40:42 | 000,019,153 | ---- | M] () (No name found) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis\{20a82645-c095-46ed-80e3-08825760534b}\MicrosoftDotNetFrameworkAssistant.xpi
[2013/04/16 14:46:07 | 000,013,500 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\6o4v7yr6ikfw18072u
* redemarre le pc sous windows et poste le rapport ici
En ce qui concerne Trojan-BNK.Win32.Keylogger.gen - si tu as encore des alertes, faut donner plus d'informations.
Quel programme donne les alertes
Quel est le fichier infecté.
========== OTL ==========
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} folder moved successfully.
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis\{20a82645-c095-46ed-80e3-08825760534b} folder moved successfully.
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis folder moved successfully.
File C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis\{20a82645-c095-46ed-80e3-08825760534b}\MicrosoftDotNetFrameworkAssistant.xpi not found.
C:\Documents and Settings\All Users\Application Data\6o4v7yr6ikfw18072u moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 04162013_161812
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} folder moved successfully.
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis\{20a82645-c095-46ed-80e3-08825760534b} folder moved successfully.
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis folder moved successfully.
File C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\extensions\staged-xpis\{20a82645-c095-46ed-80e3-08825760534b}\MicrosoftDotNetFrameworkAssistant.xpi not found.
C:\Documents and Settings\All Users\Application Data\6o4v7yr6ikfw18072u moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 04162013_161812
Et donc, possibilité de continuer demain et reprendre où on s'est arrêté ou on devra tout reprendre ?
oui bien sûr, mais les manips sont finis, faut répondre aux questions maintenant :
En ce qui concerne Trojan-BNK.Win32.Keylogger.gen - si tu as encore des alertes, faut donner plus d'informations.
Quel programme donne les alertes
Quel est le fichier infecté.
En ce qui concerne Trojan-BNK.Win32.Keylogger.gen - si tu as encore des alertes, faut donner plus d'informations.
Quel programme donne les alertes
Quel est le fichier infecté.
Okay.
Alors oui toujours des alertes, le programme qui les donnent est XP security Cleaner Pro Firewall Alert.
Ca ouvre plein d'alertes me disant que tel et tel ficher est infecté.
Alors oui toujours des alertes, le programme qui les donnent est XP security Cleaner Pro Firewall Alert.
Ca ouvre plein d'alertes me disant que tel et tel ficher est infecté.
OK c'est bien ce que je pensais.
XP Security est un faux antivirus qui donne de fausse alerte pour que tu l'achètes
=> https://forum.malekal.com/viewtopic.php?t=589&start=
et je pense que tu as fait les manips sur la mauvaise session : https://forums.commentcamarche.net/forum/affich-27603514-xp-security-cleaner-et-trojan-bnk-win32-keylogger-gen#4
Du coup ça n'a la pas viré.
Utilisateur : Administrateur [Droits d'admin]
Faut aller sur la session infectée comme cela était demandé et passer RogueKiller.
S'il est bloqué : affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
XP Security est un faux antivirus qui donne de fausse alerte pour que tu l'achètes
=> https://forum.malekal.com/viewtopic.php?t=589&start=
et je pense que tu as fait les manips sur la mauvaise session : https://forums.commentcamarche.net/forum/affich-27603514-xp-security-cleaner-et-trojan-bnk-win32-keylogger-gen#4
Du coup ça n'a la pas viré.
Utilisateur : Administrateur [Droits d'admin]
Faut aller sur la session infectée comme cela était demandé et passer RogueKiller.
S'il est bloqué : affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Merci, pourtant je l'ai bien fait en tant qu'administrateur sur la session infectée. Je vais refaire alors j'ai du faire une fausse manip quelques part
J'avais effectivement du me tromper de session, je refais toutes les étapes, voici mon 1er rapport de roguekiller :
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : SYAL27 [Droits d'admin]
Mode : Suppression -- Date : 18/04/2013 19:07:43
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] iae.exe -- C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe [-] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 5 ¤¤¤
[SHELLSPWN] HKCU\[...]\command : ("C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe" -a "%1" %*) -> REMPLACÉ ("%1" %*)
[FILEASSO] HKCR\[...].exe : (RNy) -> REMPLACÉ (exefile)
[FILEASSO] HKLM\[...]\command : ("C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") [-] -> REMPLACÉ ("C:\Program Files\Mozilla Firefox\firefox.exe")
[FILEASSO] HKLM\[...]\command : ("C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) [-] -> REMPLACÉ ("C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode)
[FILEASSO] HKLM\[...]\command : ("C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") [-] -> REMPLACÉ ("C:\Program Files\Internet Explorer\iexplore.exe")
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD12 00BEVS-07LAT0 SCSI Disk Device +++++
--- User ---
[MBR] ed6cac8c38533e66f97a8582dd221676
[BSP] d703c109c3024410232a1d1fe16f3769 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114470 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: WDC WD12 00BEVS-07LAT0 SCSI Disk Device +++++
--- User ---
[MBR] 1e557cb11f32dec8144028cf0616c25d
[BSP] 230677aaf69888d6a7150ce2fc8fa4f0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2]_D_18042013_190743.txt >>
RKreport[1]_S_18042013_190650.txt ; RKreport[2]_D_18042013_190743.txt
Merci de ton aide
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : SYAL27 [Droits d'admin]
Mode : Suppression -- Date : 18/04/2013 19:07:43
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] iae.exe -- C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe [-] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 5 ¤¤¤
[SHELLSPWN] HKCU\[...]\command : ("C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe" -a "%1" %*) -> REMPLACÉ ("%1" %*)
[FILEASSO] HKCR\[...].exe : (RNy) -> REMPLACÉ (exefile)
[FILEASSO] HKLM\[...]\command : ("C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") [-] -> REMPLACÉ ("C:\Program Files\Mozilla Firefox\firefox.exe")
[FILEASSO] HKLM\[...]\command : ("C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) [-] -> REMPLACÉ ("C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode)
[FILEASSO] HKLM\[...]\command : ("C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") [-] -> REMPLACÉ ("C:\Program Files\Internet Explorer\iexplore.exe")
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD12 00BEVS-07LAT0 SCSI Disk Device +++++
--- User ---
[MBR] ed6cac8c38533e66f97a8582dd221676
[BSP] d703c109c3024410232a1d1fe16f3769 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114470 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: WDC WD12 00BEVS-07LAT0 SCSI Disk Device +++++
--- User ---
[MBR] 1e557cb11f32dec8144028cf0616c25d
[BSP] 230677aaf69888d6a7150ce2fc8fa4f0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 114463 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2]_D_18042013_190743.txt >>
RKreport[1]_S_18042013_190650.txt ; RKreport[2]_D_18042013_190743.txt
Merci de ton aide
Rapport de Adwcleaner :
AdwCleaner v2.200 - Rapport créé le 18/04/2013 à 19:15:28
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : SYAL27 - NOM-601C7F22535
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Documents and Settings\SYAL27\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v3.5.10 (fr)
Fichier : C:\Documents and Settings\SYAL27\Application Data\Mozilla\Firefox\Profiles\m2xpf6rv.default\prefs.js
C:\Documents and Settings\SYAL27\Application Data\Mozilla\Firefox\Profiles\m2xpf6rv.default\user.js ... Supprimé !
[OK] Le fichier ne contient aucune entrée illégitime.
Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
-\\ Google Chrome v26.0.1410.64
Fichier : C:\Documents and Settings\SYAL27\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
Fichier : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [434 octets] - [16/04/2013 15:21:59]
AdwCleaner[S2].txt - [1831 octets] - [16/04/2013 15:22:14]
AdwCleaner[S3].txt - [1309 octets] - [16/04/2013 15:24:44]
AdwCleaner[S4].txt - [2192 octets] - [18/04/2013 19:15:29]
########## EOF - C:\AdwCleaner[S4].txt - [2252 octets] ##########
AdwCleaner v2.200 - Rapport créé le 18/04/2013 à 19:15:28
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : SYAL27 - NOM-601C7F22535
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Documents and Settings\SYAL27\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v3.5.10 (fr)
Fichier : C:\Documents and Settings\SYAL27\Application Data\Mozilla\Firefox\Profiles\m2xpf6rv.default\prefs.js
C:\Documents and Settings\SYAL27\Application Data\Mozilla\Firefox\Profiles\m2xpf6rv.default\user.js ... Supprimé !
[OK] Le fichier ne contient aucune entrée illégitime.
Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ig4063xd.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
-\\ Google Chrome v26.0.1410.64
Fichier : C:\Documents and Settings\SYAL27\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
Fichier : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [434 octets] - [16/04/2013 15:21:59]
AdwCleaner[S2].txt - [1831 octets] - [16/04/2013 15:22:14]
AdwCleaner[S3].txt - [1309 octets] - [16/04/2013 15:24:44]
AdwCleaner[S4].txt - [2192 octets] - [18/04/2013 19:15:29]
########## EOF - C:\AdwCleaner[S4].txt - [2252 octets] ##########
Avec le même script que tu m'as donné mardi ?
voici le rapport OTL en correction
Error: Unable to interpret <netsvcs > in the current context!
Error: Unable to interpret <msconfig > in the current context!
Error: Unable to interpret <safebootminimal > in the current context!
Error: Unable to interpret <safebootnetwork > in the current context!
Error: Unable to interpret <activex > in the current context!
Error: Unable to interpret <drivers32 > in the current context!
Error: Unable to interpret <%ALLUSERSPROFILE%\Application Data\*. > in the current context!
Error: Unable to interpret <%ALLUSERSPROFILE%\Application Data\*.exe /s > in the current context!
Error: Unable to interpret <%APPDATA%\*. > in the current context!
Error: Unable to interpret <%APPDATA%\*.exe /s > in the current context!
Error: Unable to interpret <%temp%\.exe /s > in the current context!
Error: Unable to interpret <%SYSTEMDRIVE%\*.exe > in the current context!
Error: Unable to interpret <%systemroot%\*. /mp /s > in the current context!
Error: Unable to interpret <%systemroot%\system32\consrv.dll > in the current context!
Error: Unable to interpret <%systemroot%\system32\*.dll /lockedfiles > in the current context!
Error: Unable to interpret <%systemroot%\Tasks\*.job /lockedfiles > in the current context!
Error: Unable to interpret <%systemroot%\system32\drivers\*.sys /lockedfiles > in the current context!
Error: Unable to interpret <%systemroot%\System32\config\*.sav > in the current context!
Error: Unable to interpret </md5start > in the current context!
Error: Unable to interpret <explorer.exe > in the current context!
Error: Unable to interpret <winlogon.exe > in the current context!
Error: Unable to interpret <wininit.exe > in the current context!
Error: Unable to interpret </md5stop > in the current context!
Error: Unable to interpret <HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s > in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s > in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s > in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s > in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s > in the current context!
Error: Unable to interpret <CREATERESTOREPOINT > in the current context!
Error: Unable to interpret <nslookup www.google.fr /c > in the current context!
Error: Unable to interpret <SAVEMBR:0 > in the current context!
Error: Unable to interpret <hklm\software\clients\startmenuinternet|command /rs > in the current context!
Error: Unable to interpret <hklm\software\clients\startmenuinternet|command /64 /rs > in the current context!
OTL by OldTimer - Version 3.2.69.0 log created on 04182013_194255
Error: Unable to interpret <netsvcs > in the current context!
Error: Unable to interpret <msconfig > in the current context!
Error: Unable to interpret <safebootminimal > in the current context!
Error: Unable to interpret <safebootnetwork > in the current context!
Error: Unable to interpret <activex > in the current context!
Error: Unable to interpret <drivers32 > in the current context!
Error: Unable to interpret <%ALLUSERSPROFILE%\Application Data\*. > in the current context!
Error: Unable to interpret <%ALLUSERSPROFILE%\Application Data\*.exe /s > in the current context!
Error: Unable to interpret <%APPDATA%\*. > in the current context!
Error: Unable to interpret <%APPDATA%\*.exe /s > in the current context!
Error: Unable to interpret <%temp%\.exe /s > in the current context!
Error: Unable to interpret <%SYSTEMDRIVE%\*.exe > in the current context!
Error: Unable to interpret <%systemroot%\*. /mp /s > in the current context!
Error: Unable to interpret <%systemroot%\system32\consrv.dll > in the current context!
Error: Unable to interpret <%systemroot%\system32\*.dll /lockedfiles > in the current context!
Error: Unable to interpret <%systemroot%\Tasks\*.job /lockedfiles > in the current context!
Error: Unable to interpret <%systemroot%\system32\drivers\*.sys /lockedfiles > in the current context!
Error: Unable to interpret <%systemroot%\System32\config\*.sav > in the current context!
Error: Unable to interpret </md5start > in the current context!
Error: Unable to interpret <explorer.exe > in the current context!
Error: Unable to interpret <winlogon.exe > in the current context!
Error: Unable to interpret <wininit.exe > in the current context!
Error: Unable to interpret </md5stop > in the current context!
Error: Unable to interpret <HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s > in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s > in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s > in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s > in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s > in the current context!
Error: Unable to interpret <CREATERESTOREPOINT > in the current context!
Error: Unable to interpret <nslookup www.google.fr /c > in the current context!
Error: Unable to interpret <SAVEMBR:0 > in the current context!
Error: Unable to interpret <hklm\software\clients\startmenuinternet|command /rs > in the current context!
Error: Unable to interpret <hklm\software\clients\startmenuinternet|command /64 /rs > in the current context!
OTL by OldTimer - Version 3.2.69.0 log created on 04182013_194255
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/04/16 16:21:36 | 000,013,512 | -HS- | C] () -- C:\Documents and Settings\All Users\Application Data\6o4v7yr6ikfw18072u
[2013/04/14 22:49:25 | 000,013,512 | -HS- | C] () -- C:\Documents and Settings\SYAL27\Local Settings\Application Data\6o4v7yr6ikfw18072u
[2013/04/14 22:49:20 | 000,239,104 | ---- | C] () -- C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/04/16 16:21:36 | 000,013,512 | -HS- | C] () -- C:\Documents and Settings\All Users\Application Data\6o4v7yr6ikfw18072u
[2013/04/14 22:49:25 | 000,013,512 | -HS- | C] () -- C:\Documents and Settings\SYAL27\Local Settings\Application Data\6o4v7yr6ikfw18072u
[2013/04/14 22:49:20 | 000,239,104 | ---- | C] () -- C:\Documents and Settings\SYAL27\Local Settings\Application Data\iae.exe
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left