Virus infection XP HOme security 2012 Alert

faire un scan disc avec avast!!!!

Salut,

Avant de commencer la procédure, peux-tu faire ceci.
Le but étant de récupérer les dernières adresses visitées pour trouver l'adresse WEB source de ton infection pour la transmettre aux éditeurs d'antivirus : http://www3.malekal.com/malwares/

Pour cela, télécharge IE ou Mozilla History View selon si tu penses avoir été infecté par Internet Explorer ou Firefox : http://forum.malekal.com/mozilla-history-view-history-view-t33301.html
Lance le et trie les adresses par date de visite (cliquer sur la colonne : Last visit ou Modifier)
Sélectionne les adresses Web du jour et clic sur la disquette en icone dans la barre d'icone.
Enregistre le fichier url.txt sur ton bureau.
Pour le transmettre :
* Soit copier/coller ici si ça te gène pas.
* Soit en message privé.
* Soit Envoie url.txt sur http://upload.malekal.com

puis :

Télécharge ça : http://www.sur-la-toile.com/RogueKiller/
Lances en option 2 (nettoyage).
Poste le rapport ici.

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : http://www.commentcamarche.net/faq/825-afficher-les-extensions-et-les-fichiers-caches-sous-windows
Renomme RogueKiller.exe en RogueKiller.com

j'avais déjà lancé un scan avast mais sans résultat.

Le problème c'est que dès que je lance RogueKiller ou même IE History View, rien ne se lance et une fenêtre XP Home Security 2012 has blocked a program form accessing the internet.
RogueKiller.exe is infected with Trojan-BNK.Win32.Keylogger.gen
Private data can be stolen by third parties, including credit cart détails and passwords.

dois-je lancer mon pc en mode sans échec pour lancer RogueKiller ?

Voici le rapport roguekiller
RogueKiller V5.2.4 [23/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Aurélie [Droits d'admin]
Mode: Suppression -- Date : 23/06/2011 10:26:29

Processus malicieux: 3
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
[SUSP PATH] hii.exe -- c:\documents and settings\aurélie\local settings\application data\hii.exe -> KILLED
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED

Entrees de registre: 7
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

et ensuite le rapport ie historyview

RogueKiller V5.2.4 [23/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Aurélie [Droits d'admin]
Mode: Suppression -- Date : 23/06/2011 10:26:29

Processus malicieux: 3
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
[SUSP PATH] hii.exe -- c:\documents and settings\aurélie\local settings\application data\hii.exe -> KILLED
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED

Entrees de registre: 7
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

Depuis que j'ai fait RogueKiller, cela va mieux je peux ouvrir internet explorer ainsi que les programmes...
Est-ce finis??

Merci d'avance

reçu merci :)


Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

dis j'ai une question :
hxtp://jowusytuhowa.com/buy.html XP Home Security 2012 2 22.06.2011 22:59:33 18.07.2011 22:59:34 Aur%C3%A9lie No

hxtp://jowusytuhowa.com/1006000113425546174202700275172743470d720a700a741675 1 22.06.2011 22:59:22 18.07.2011 22:59:24 Aur%C3%A9lie No

https://www.facebook.com/home.php XP Home Security 2012 ALERT 411 22.06.2011 22:59:07 18.07.2011 22:59:08 Aur%C3%A9lie No

Apparemment, c'est vraiment depuis facebook, que tu as eu l'infection.
Mais j'ai pas le lien, donc je peux pas retrouver la page...

De mémoire, tu sais comment c'est venu, genre tu étais sur facebook et y avait un commentaire et tu as cliqué dessus et pouf l'infection est arrivée.
Si oui ça parlait de quoi le lien ? photo ?
Si tu as la page ça m'interresserait.

Hello,
voici le lien pour le fichier extras.txt
http://pjjoint.malekal.com/files.php?id=794ac98cb6697

le lien pour le fichier OTL.txt
http://pjjoint.malekal.com/files.php?id=75f243c22d101011

Sinon je dois dire que je me souviens plus trop sur quoi je naviguais au moment de l'intrusion du virus. Ce n'était en tout pas des photos, je regarde essentiellement l'actualité de mes amis sur la page d'accueil et je tchate en même temps.

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
[2011.06.23 10:23:57 | 000,013,596 | -HS- | M] () -- C:\Documents and Settings\Aurélie\Local Settings\Application Data\30g26gy4agap850k
[2011.06.23 10:23:57 | 000,013,596 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\30g26gy4agap850k
[2011.06.22 22:56:38 | 000,335,872 | ---- | M] () -- C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe

* redemarre le pc sous windows et poste le rapport ici

voici le rapport OTL

========== OTL ==========
C:\Documents and Settings\Aurélie\Local Settings\Application Data\30g26gy4agap850k moved successfully.
C:\Documents and Settings\All Users\Application Data\30g26gy4agap850k moved successfully.
C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe moved successfully.

OTL by OldTimer - Version 3.2.24.1 log created on 06242011_115124

Surf un peu voir ce que cela donne.
Je te filerai des conseils par la suite :)