Les Allergies
Alimentaires
Posez votre question Signaler

Infectée par trojan bnk.win32.keylogger.gen

Ngolo - Dernière réponse le 15 déc. 2011 à 13:39
Bonjour,
j'ai lu différents posts concernant ce rogue qui m'a complètement bloquée depuis hier, plus d'accès à internet, uniquement cette fenêtre m'incitant à acheter un antivirus et m'indiquant des infections graves: trojan bnk.win32.keylogger.gen et j'espère pouvoir être aidée ici car je ne sais pas comment continuer..
J'ai lancé d'abord depuis une clef usb:
- rkill.exe
- roguekiller.exe
=> accès à Internet récupéré. Puis ensuite
- malwarebytes (170 fichiers infectés > suppression (certains n'ont pas été supprimés selon le rapport) > redemarrage de mon pc portable)
- ZHPdiag
- j'obtiens ce fichier txt: http://cjoint.com/?0LgxJwutZMv
Et me voilà bloquée dans mes démarches, comment procéder maintenant?
Merci infiniement d'avance pour votre aide..
Lire la suite 

Infectée par trojan bnk.win32.keylogger.gen »

19 réponses
Réponse
+1
moins plus
Smart91 24992Messages postés 15 juillet 2007Date d'inscription 31 mai 2012Dernière intervention 7 déc. 2011 à 00:13
bonjour,

Tu vas faire ceci:

- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

Smart

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Ngolo 7 déc. 2011 à 00:19
Merci d'avoir répondu aussi vite!

voici le rapport que je viens de refaire:


RogueKiller V6.1.12 [12/02/2011] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Started in : Normal mode
User: claire [Admin rights]
Mode: Scan -- Date : 12/07/2011 00:16:40

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 0 ¤¤¤

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]


Finished : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Smart91 24992Messages postés 15 juillet 2007Date d'inscription 31 mai 2012Dernière intervention 7 déc. 2011 à 00:28
Je souhaiterais voir vois les rapports suivants;
RKreport[1].txt
RKreport[2].txt
RKreport[3].txt

Smart

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Ngolo 7 déc. 2011 à 00:34
Les voici:

RKreport[1].txt : http://cjoint.com/?0LhaFF8TBPl
RKreport[2].txt : http://cjoint.com/?ALhaGUDoZGQ
RKreport[3].txt : http://cjoint.com/?ALhaHpmSXMD

je sais plus pourquoi j'avais lancé cela plusieurs fois, j'y connais pas grand chose..

 Ajouter un commentaire
Ngolo - 7 déc. 2011 à 00:44
les liens ne fonctionnent pas on dirait (?) alors nouvelle tentative :
pour le [1] (21h16): http://pjjoint.malekal.com/files.php?id=20111207_t14u10v15v10q11
pour le [2] (21h21): http://pjjoint.malekal.com/files.php?id=20111207_i12u13r13s8m6
pour le [3] (21h22): http://pjjoint.malekal.com/files.php?id=20111207_t13b10e14n5v12
Ajouter un commentaire
Réponse
+0
moins plus
Smart91 24992Messages postés 15 juillet 2007Date d'inscription 31 mai 2012Dernière intervention 7 déc. 2011 à 00:47
Je n'arrive pas à accéder aux liens donnés.

Utilise ce site:

http://up.sur-la-toile.com/heberger

Smart

Ajouter un commentaire
Ngolo - 7 déc. 2011 à 00:53
désolée j'espère que maintenant c'est bon!
[url=http://up.sur-la-toile.com/iWtQ]RKreport[1].txt/url
[url=http://up.sur-la-toile.com/iWtR]RKreport[2].txt/url
[url=http://up.sur-la-toile.com/iWtS]RKreport[3].txt/url
Ajouter un commentaire
Réponse
+0
moins plus
Smart91 24992Messages postés 15 juillet 2007Date d'inscription 31 mai 2012Dernière intervention 7 déc. 2011 à 01:25
Tous les rapports datent du mois d juin 2011, et comme je n'ai pas accés aux autres rapports je pense que c'est pour la même raison. Ils ont été supprimés du site d'hébergement après un mois.

Tu vas faire ceci:

Rlance ZHPDiag, clique sur la flèche verte pour installer la mise à jour.
Ensuite fais un scan en cliquant sur la loupe et non pas sur le personnage à la loupe.

Et poste le rapport dans ta réponse.


Smart

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Ngolo 7 déc. 2011 à 01:48
Hello Smart,

j'ai fait ce que tu m'as dit:

http://up.sur-la-toile.com/iWtZ
[url=http://up.sur-la-toile.com/iWtZ]ZHPDiag_resultatduscan.txt/url

En fait je n'ai plus de souci dans le sens où internet refonctionne bien et les message de fausse alerte semblent avoir disparu.

Par contre je sais pas si il reste des bouts du virus sur mon PC..j'ai un peu peur de faire une transaction bancaire là par exemple!..j'aimerais 'nettoyer' le PC puis ensuite investir dans un antivirus.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Smart91 24992Messages postés 15 juillet 2007Date d'inscription 31 mai 2012Dernière intervention 8 déc. 2011 à 10:40
Tu as des logiciel PUP (Potentially Unwanted program)

Lis le dossier ci-dessous, pour ton information:
http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/

Désinstalle spybot qui est dépassé aujourd'hui et ne fait que ralentir ton PC ==>
http://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6
Lis également cet Article de malekal sur l'inutilité Spybot superAntispyware et Adaware:
http://www.malekal.com/2011/10/07/superantispyware-et-spybot-vs-malwarebyte/

Tu as également des infections par USB (par supports amovibles

Ensuite tu vas faire ceci pour t'en débarrasser:

- Télécharge sur ton bureau AdwCleaner de Xplode
- Choisis "Suppression" et poste le rapport

Puis ceci:

Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Cela fait deux rapports à poster, tu peux le faire directement dans ta réponse:

Smart

Ajouter un commentaire
Ngolo - 9 déc. 2011 à 01:32
Hello,

merci beaucoup pour toute ton aide et ces infos!!

voici les 2 rapports (désolée mon système est en allemand..)

_____________________________________________

# AdwCleaner v1.401 - Bericht hergestellt am 09/12/2011 um 00:55:35
# Update am 06/12/11 um 19h bei Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
# Benutzername : claire - PC-CLAIRE (Administrator)
# Ausgeführt von : C:\Users\claire\Desktop\adwcleaner.exe
# Option [Löschen]


***** [Dienste] *****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Users\claire\AppData\Roaming\FissaSearch
Ordner Gelöscht : C:\Users\claire\AppData\Roaming\OfferBox
Ordner Gelöscht : C:\Users\claire\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Ordner Gelöscht : C:\Users\claire\AppData\LocalLow\FunWebProducts
Ordner Gelöscht : C:\Users\claire\AppData\LocalLow\MyWebSearch
Ordner Gelöscht : C:\Program Files\OfferBox
Dateien Gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Dateien Gelöscht : C:\Program Files\Mozilla Firefox\.autoreg
Dateien Gelöscht : C:\Users\claire\AppData\Roaming\Mozilla\Firefox\Profiles\jeq8t0su.default\searchplugins\Fissa.xml
Dateien Gelöscht : C:\Users\claire\AppData\Roaming\Mozilla\Firefox\Profiles\jeq8t0su.default\searchplugins\mywebsearch.xml

***** [Registry] *****

[*] Schlüssel Gelöschte : HKLM\SOFTWARE\Classes\CT4_CTM
[*] Schlüssel Gelöschte : HKLM\SOFTWARE\Classes\CT4_CTS
[*] Schlüssel Gelöschte : HKLM\SOFTWARE\Classes\CT4_PAK
Schlüssel Gelöschte : HKCU\Software\FissaSearch
Schlüssel Gelöschte : HKCU\Software\Offerbox
Schlüssel Gelöschte : HKCU\Software\AppDataLow\Software\Fun Web Products
Schlüssel Gelöschte : HKCU\Software\AppDataLow\Software\FunWebProducts
Schlüssel Gelöschte : HKCU\Software\AppDataLow\Software\MyWebSearch
Schlüssel Gelöschte : HKLM\SOFTWARE\Offerbox
Schlüssel Gelöschte : HKLM\SOFTWARE\Classes\OfferBox.OfferBoxServer
Schlüssel Gelöschte : HKLM\SOFTWARE\Classes\OfferBox.OfferBoxServer.1
Schlüssel Gelöschte : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Schlüssel Gelöschte : HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search
Schlüssel Gelöschte : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}
Wert Gelöschte : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [offerboxffx at offerbox.com]

***** [Browser] *****

-\\ Internet Explorer v7.0.6001.18000

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.fissa.com/fr/?s=h&c=10101910308&suid=Ekv7ECvzD&d=6&pid= --> hxxp://www.google.fr

-\\ Mozilla Firefox v3.6.24 (de)

Profil : jeq8t0su.default
Dateien : C:\Users\claire\AppData\Roaming\Mozilla\Firefox\Profiles\jeq8t0su.default\prefs.js

C:\Users\claire\AppData\Roaming\Mozilla\Firefox\Profiles\jeq8t0su.default\user.js ... Gelöscht !

Gelöschte : user_pref("extensions.Fissa.lastRunTime", "Wed, 20 Oct 2010 16:58:09 GMT");
Gelöschte : user_pref("extensions.mywebsearch.openSearchURL", "hxxp://search.mywebsearch.com/mywebsearch/opensea[...]
Gelöschte : user_pref("extensions.mywebsearch.prevKwdEnabled", true);
Gelöschte : user_pref("extensions.mywebsearch.prevKwdURL", "chrome://browser-region/locale/region.properties");
Gelöschte : user_pref("keyword.URL", "hxxp://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=GRfox000&fl=0&ptb=HFzCD0p[...]

-\\ Google Chrome v0.0.0.0

Dateien : C:\Users\claire\AppData\Local\Google\Chrome\User Data\Default\Preferences

Gelöschte : "name": "My Web Search Plugin Stub",
Gelöschte : "name": "My Web Search Plugin Stub"

*************************

AdwCleaner[S1].txt - [3540 octets] - [09/12/2011 00:55:35]

*************************

Temporäre Ordner : : 98 ordner)et 10 gelöschte dateien

########## EOF - C:\AdwCleaner[S1].txt - [3756 octets] ##########
Ajouter un commentaire
Réponse
+0
moins plus
Ngolo 9 déc. 2011 à 01:33
et le second:



############################## | UsbFix V 7.072 | [Research]

User: claire (Administrator) # PC-CLAIRE
Updated 04/12/2011 by El Desaparecido
Started at 01:09:21 | 09/12/2011

Website: http://eldesaparecido.com
Suspicious file ? : http://eldesaparecido.com/support.php
Contact: contact'at'eldesaparecido.com

PC: Dell Inc. (Studio 1555) (X86-based PC) # Notebook
CPU: Intel(R) Core(TM)2 Duo CPU T6400 @ 2.00GHz (2000)
RAM -> [ Total : 3066 | Free : 1758 ]
BIOS: Ver 1.00 BIOS A06 PARTTBL"
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Home Premium (6.0.6001 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 7.0.6001.18000

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AS: Windows Defender [ Enabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Fixed drive # 283 Gb (65 Mb free - 23%) [OS] # NTFS
D:\ -> Fixed drive # 15 Gb (6 Mb free - 38%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> Removable drive # 4 Gb (3 Mb free - 77%) [SANSA CLIPP] # FAT32
H:\ -> Fixed drive # 466 Gb (461 Mb free - 99%) [ClairesDrive] # NTFS
I:\ -> Removable drive # 4 Gb (4 Mb free - 97%) [MOVIN KEY] # FAT32

################## | Active Processes |

C:\Windows\system32\csrss.exe (544)
C:\Windows\system32\wininit.exe (608)
C:\Windows\system32\csrss.exe (620)
C:\Windows\system32\services.exe (652)
C:\Windows\system32\lsass.exe (664)
C:\Windows\system32\lsm.exe (672)
C:\Windows\system32\winlogon.exe (824)
C:\Windows\system32\svchost.exe (852)
C:\Windows\system32\svchost.exe (916)
C:\Windows\System32\svchost.exe (964)
C:\Windows\system32\Ati2evxx.exe (1048)
C:\Windows\System32\svchost.exe (1064)
C:\Windows\System32\svchost.exe (1108)
C:\Windows\system32\svchost.exe (1160)
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\STacSV.exe (1204)
C:\Windows\system32\SLsvc.exe (1316)
C:\Windows\system32\svchost.exe (1340)
C:\Program Files\Dell\DellDock\DockLogin.exe (1444)
C:\Windows\system32\Ati2evxx.exe (1464)
C:\Windows\system32\svchost.exe (1588)
C:\Windows\System32\spoolsv.exe (1812)
C:\Windows\system32\svchost.exe (1836)
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe (2004)
C:\Program Files\Bonjour\mDNSResponder.exe (2024)
C:\Windows\system32\svchost.exe (320)
C:\Windows\System32\svchost.exe (352)
C:\Windows\System32\svchost.exe (724)
C:\Windows\system32\svchost.exe (760)
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (1256)
C:\Windows\system32\svchost.exe (1608)
C:\Windows\System32\svchost.exe (1920)
C:\Windows\system32\SearchIndexer.exe (2064)
C:\Windows\system32\taskeng.exe (2588)
C:\Windows\system32\Dwm.exe (2628)
C:\Windows\system32\taskeng.exe (2668)
C:\Windows\Explorer.EXE (2700)
C:\Program Files\Windows Defender\MSASCui.exe (2932)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2940)
C:\Program Files\IDT\WDM\sttray.exe (2948)
C:\Program Files\Dell\QuickSet\quickset.exe (2964)
C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe (3016)
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe (3028)
C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe (3068)
C:\Program Files\Dell Support Center\bin\sprtcmd.exe (3156)
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe (3268)
C:\Program Files\Winamp\winampa.exe (3372)
C:\Program Files\Windows Sidebar\sidebar.exe (3400)
C:\Windows\ehome\ehtray.exe (3408)
C:\Program Files\Dell Video Chat\DellVideoChat.exe (3420)
C:\Program Files\Skype\Phone\Skype.exe (3428)
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (3448)
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (3480)
C:\Program Files\Windows Media Player\wmpnscfg.exe (3692)
C:\Program Files\Windows Media Player\wmpnetwk.exe (3804)
C:\Windows\ehome\ehmsas.exe (3888)
C:\Windows\system32\wbem\wmiprvse.exe (4076)
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (2716)
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe (1520)
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe (3664)
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (4152)
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (4160)
C:\Program Files\Dell Support Center\bin\sprtsvc.exe (5008)
C:\Program Files\Mozilla Firefox\firefox.exe (5580)
C:\Program Files\HP\Digital Imaging\smart web printing\hpswp_clipbook.exe (5688)
C:\Program Files\Mozilla Firefox\plugin-container.exe (5792)
C:\Windows\system32\wuauclt.exe (3048)
C:\Windows\system32\WUDFHost.exe (5520)
C:\UsbFix\UsbFix.exe (4664)
C:\Windows\system32\wbem\wmiprvse.exe (4936)
\\?\C:\Windows\system32\wbem\WMIADAP.EXE (4892)
C:\Windows\system32\vssvc.exe (5964)
C:\Windows\System32\svchost.exe (3996)
C:\Windows\system32\rundll32.exe (4984)

################## | Files # Infected Folders |


################## | Registry |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{39c32413-20a7-11e0-be50-002219f4fa31}
Shell\AutoRun\Command = F:\MobileLaunch.exe
Shell\mobile\Command = F:\MobileLaunch.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{9ed92b18-bd03-11df-8f35-d8e44247303d}
Shell\AutoRun\Command = F:\Menu.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{cdc85ed2-433f-11e0-89f9-002219f4fa31}
Shell\AutoRun\Command = F:\Menu.exe



################## | Vaccin |

(!) This computer is not vaccinated!

################## | E.O.F |

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Smart91 24992Messages postés 15 juillet 2007Date d'inscription 31 mai 2012Dernière intervention 9 déc. 2011 à 10:07
OH Oui, comme tu dis c'est en allemand, et je ne sais pas lire l'allemand, il faut que tu traduise ces mots:

- Ordner Gelöscht
- Dateien Gelöscht
- Schlüssel Gelöschte
- Wert Gelöschte
- Ersetzt
- Gelöschte

Ensuite, on va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Smart

Ajouter un commentaire
Ngolo - 9 déc. 2011 à 13:00
- Ordner Gelöscht = classeurs supprimés
- Dateien Gelöscht = fichiers supprimés
- Schlüssel Gelöschte = clefs supprimées (Keys?)
- Wert Gelöschte = valeurs supprimées
- Ersetzt = remplacé
- Gelöschte = supprimé

(pour pouvoir poster le rapport hier soir j'ai dû enlever le signe arobaz après offerbox, je l'ai remplacé par at)

pour le nettoyage il faut que le le refasse?
Ajouter un commentaire
Réponse
+0
moins plus
Smart91 24992Messages postés 15 juillet 2007Date d'inscription 31 mai 2012Dernière intervention 9 déc. 2011 à 13:05
Merci pour la traduction

Non tu n'as pas besoin de refaire le nettoyage.
En revanche il faut que tu fasses la deuxième partie avec USBFix, soit la vaccination et le nettoyage.

Si tu l'as déjà fait poste simplement le rapport

Smart

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
ngolo 10 déc. 2011 à 14:37
Bonjour Smart,
voici le rapport de suppression après avoir branché mes source externes:



############################## | UsbFix V 7.072 | [Deletion]

User: claire (Administrator) # PC-CLAIRE
Updated 04/12/2011 by El Desaparecido
Started at 14:26:54 | 10/12/2011

Website: http://eldesaparecido.com
Suspicious file ? : http://eldesaparecido.com/support.php
Contact: contact'at'eldesaparecido.com

PC: Dell Inc. (Studio 1555) (X86-based PC) # Notebook
CPU: Intel(R) Core(TM)2 Duo CPU T6400 @ 2.00GHz (2000)
RAM -> [ Total : 3066 | Free : 1809 ]
BIOS: Ver 1.00 BIOS A06 PARTTBL"
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Home Premium (6.0.6001 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 7.0.6001.18000

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AS: Windows Defender [ Enabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Fixed drive # 283 Gb (65 Mb free - 23%) [OS] # NTFS
D:\ -> Fixed drive # 15 Gb (6 Mb free - 38%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> Removable drive # 4 Gb (3 Mb free - 77%) [SANSA CLIPP] # FAT32
H:\ -> Fixed drive # 466 Gb (459 Mb free - 99%) [ClairesDrive] # NTFS
I:\ -> Removable drive # 4 Gb (4 Mb free - 97%) [MOVIN KEY] # FAT32

################## | Active Processes |

C:\Windows\system32\csrss.exe (544)
C:\Windows\system32\wininit.exe (608)
C:\Windows\system32\csrss.exe (620)
C:\Windows\system32\services.exe (652)
C:\Windows\system32\lsass.exe (664)
C:\Windows\system32\lsm.exe (672)
C:\Windows\system32\winlogon.exe (824)
C:\Windows\system32\svchost.exe (852)
C:\Windows\system32\svchost.exe (912)
C:\Windows\System32\svchost.exe (956)
C:\Windows\system32\Ati2evxx.exe (1044)
C:\Windows\System32\svchost.exe (1072)
C:\Windows\System32\svchost.exe (1124)
C:\Windows\system32\svchost.exe (1168)
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\STacSV.exe (1196)
C:\Windows\system32\SLsvc.exe (1304)
C:\Windows\system32\svchost.exe (1356)
C:\Program Files\Dell\DellDock\DockLogin.exe (1432)
C:\Windows\system32\svchost.exe (1500)
C:\Windows\system32\Ati2evxx.exe (1612)
C:\Windows\System32\spoolsv.exe (1760)
C:\Windows\system32\svchost.exe (1784)
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe (228)
C:\Program Files\Bonjour\mDNSResponder.exe (312)
C:\Windows\system32\svchost.exe (428)
C:\Windows\System32\svchost.exe (860)
C:\Windows\System32\svchost.exe (1244)
C:\Windows\system32\svchost.exe (1460)
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (1560)
C:\Windows\system32\svchost.exe (1908)
C:\Windows\System32\svchost.exe (2136)
C:\Windows\system32\SearchIndexer.exe (2184)
C:\Windows\system32\WUDFHost.exe (2396)
C:\Windows\system32\taskeng.exe (2696)
C:\Windows\system32\taskeng.exe (3528)
C:\Windows\system32\Dwm.exe (3584)
C:\Windows\Explorer.EXE (3672)
C:\Program Files\Windows Defender\MSASCui.exe (3964)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (3976)
C:\Program Files\IDT\WDM\sttray.exe (3984)
C:\Program Files\Dell\QuickSet\quickset.exe (3992)
C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe (4036)
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe (4044)
C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe (4052)
C:\Program Files\Dell Support Center\bin\sprtcmd.exe (4068)
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe (4076)
C:\Program Files\Winamp\winampa.exe (4084)
C:\Program Files\Windows Sidebar\sidebar.exe (360)
C:\Windows\ehome\ehtray.exe (2224)
C:\Program Files\Dell Video Chat\DellVideoChat.exe (1676)
C:\Program Files\Skype\Phone\Skype.exe (2500)
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (1528)
C:\Program Files\Windows Media Player\wmpnscfg.exe (2080)
C:\Program Files\Windows Media Player\wmpnetwk.exe (2164)
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (2956)
C:\Windows\ehome\ehmsas.exe (2116)
C:\Windows\system32\wbem\wmiprvse.exe (2800)
C:\Program Files\Dell Support Center\bin\sprtsvc.exe (3772)
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (2296)
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe (1952)
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe (3956)
C:\Windows\system32\wbem\wmiprvse.exe (2848)
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (4244)
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (4808)
C:\Program Files\Mozilla Firefox\firefox.exe (5332)
C:\Program Files\HP\Digital Imaging\smart web printing\hpswp_clipbook.exe (5468)
C:\Program Files\Mozilla Firefox\plugin-container.exe (5864)
C:\Windows\servicing\TrustedInstaller.exe (5992)
C:\Windows\system32\wuauclt.exe (5568)
C:\Windows\system32\taskeng.exe (3052)
C:\Windows\System32\wscript.exe (364)
C:\Windows\system32\SearchProtocolHost.exe (4528)
\\?\C:\Windows\system32\wbem\WMIADAP.EXE (3580)
C:\Windows\system32\SearchFilterHost.exe (836)
C:\UsbFix\UsbFix.exe (3100)

################## | Stopped processes |

Stopped! C:\Windows\system32\Ati2evxx.exe (1044)
Stopped! C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\STacSV.exe (1196)
Stopped! C:\Windows\system32\SLsvc.exe (1304)
Stopped! C:\Program Files\Dell\DellDock\DockLogin.exe (1432)
Stopped! C:\Windows\system32\Ati2evxx.exe (1612)
Stopped! C:\Windows\System32\spoolsv.exe (1760)
Stopped! C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe (228)
Stopped! C:\Program Files\Bonjour\mDNSResponder.exe (312)
Stopped! C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (1560)
Stopped! C:\Windows\system32\SearchIndexer.exe (2184)
Stopped! C:\Windows\system32\WUDFHost.exe (2396)
Stopped! C:\Windows\system32\taskeng.exe (2696)
Stopped! C:\Windows\system32\taskeng.exe (3528)
Stopped! C:\Program Files\Windows Defender\MSASCui.exe (3964)
Stopped! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (3976)
Stopped! C:\Program Files\IDT\WDM\sttray.exe (3984)
Stopped! C:\Program Files\Dell\QuickSet\quickset.exe (3992)
Stopped! C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe (4036)
Stopped! C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe (4044)
Stopped! C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe (4052)
Stopped! C:\Program Files\Dell Support Center\bin\sprtcmd.exe (4068)
Stopped! C:\Program Files\HP\HP Software Update\hpwuSchd2.exe (4076)
Stopped! C:\Program Files\Winamp\winampa.exe (4084)
Stopped! C:\Program Files\Windows Sidebar\sidebar.exe (360)
Stopped! C:\Windows\ehome\ehtray.exe (2224)
Stopped! C:\Program Files\Dell Video Chat\DellVideoChat.exe (1676)
Stopped! C:\Program Files\Skype\Phone\Skype.exe (2500)
Stopped! C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (1528)
Stopped! C:\Program Files\Windows Media Player\wmpnscfg.exe (2080)
Stopped! C:\Program Files\Windows Media Player\wmpnetwk.exe (2164)
Stopped! C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (2956)
Stopped! C:\Windows\ehome\ehmsas.exe (2116)
Stopped! C:\Program Files\Dell Support Center\bin\sprtsvc.exe (3772)
Stopped! C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (2296)
Stopped! C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe (1952)
Stopped! C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe (3956)
Stopped! C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (4244)
Stopped! C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (4808)
Stopped! C:\Program Files\Mozilla Firefox\firefox.exe (5332)
Stopped! C:\Program Files\HP\Digital Imaging\smart web printing\hpswp_clipbook.exe (5468)
Stopped! C:\Program Files\Mozilla Firefox\plugin-container.exe (5864)
Stopped! C:\Windows\servicing\TrustedInstaller.exe (5992)
Stopped! C:\Windows\system32\wuauclt.exe (5568)
Stopped! C:\Windows\system32\taskeng.exe (3052)
Stopped! C:\Windows\System32\wscript.exe (364)
Stopped! \\?\C:\Windows\system32\wbem\WMIADAP.EXE (3580)

################## | Files # Infected Folders |

Deleted ! H:\SEERemovableStorageAccessUtility.exe
Deleted ! C:\$RECYCLE.BIN\S-1-5-21-477294284-3778585951-3378011858-1000
Deleted ! C:\$RECYCLE.BIN\S-1-5-21-477294284-3778585951-3378011858-500
Deleted ! D:\$RECYCLE.BIN\S-1-5-21-477294284-3778585951-3378011858-1000
Deleted ! D:\$RECYCLE.BIN\S-1-5-21-477294284-3778585951-3378011858-500
Deleted ! H:\$RECYCLE.BIN\S-1-5-21-1420576377-3981001180-3779371972-1000
Deleted ! H:\$RECYCLE.BIN\S-1-5-21-477294284-3778585951-3378011858-1000
Deleted ! H:\Recycler\S-1-5-21-623934179-3945141002-3493989168-4147
Deleted ! H:\AutoRun.inf

(!) Temporary files deleted.

################## | Registry |


################## | Mountpoints2 |

Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{39c32413-20a7-11e0-be50-002219f4fa31}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{9ed92b18-bd03-11df-8f35-d8e44247303d}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{cdc85ed2-433f-11e0-89f9-002219f4fa31}

################## | Listing |

[10/12/2011 - 14:28:59 | SHD ] C:\$Recycle.Bin
[09/12/2011 - 00:55:48 | N | 3757] C:\AdwCleaner[S1].txt
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[28/04/2009 - 13:37:28 | D ] C:\boot
[21/01/2008 - 03:24:42 | RASH | 333203] C:\bootmgr
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[22/08/2009 - 16:20:36 | D ] C:\DELL
[27/06/2009 - 10:09:44 | N | 3573] C:\dell.sdr
[08/08/2009 - 14:48:01 | D ] C:\Dokumente und Einstellungen
[04/06/2009 - 11:22:42 | D ] C:\Drivers
[04/06/2009 - 10:30:16 | D ] C:\EFI
[10/12/2011 - 14:13:18 | ASH | 3215835136] C:\hiberfil.sys
[07/12/2011 - 22:51:19 | N | 0] C:\IO.SYS
[07/12/2011 - 22:51:19 | N | 0] C:\MSDOS.SYS
[27/06/2009 - 08:04:55 | RHD ] C:\MSOCache
[10/12/2011 - 14:13:17 | ASH | 3529449472] C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] C:\PerfLogs
[07/12/2011 - 01:38:46 | N | 512] C:\PhysicalDisk0_MBR.bin
[09/12/2011 - 00:55:45 | D ] C:\Program Files
[09/12/2011 - 00:47:22 | HD ] C:\ProgramData
[08/08/2009 - 14:48:01 | D ] C:\Programme
[06/12/2011 - 21:12:39 | N | 475] C:\rkill.log
[10/12/2011 - 14:19:29 | SHD ] C:\System Volume Information
[20/03/2011 - 22:16:43 | D ] C:\Temp
[10/12/2011 - 14:28:59 | D ] C:\UsbFix
[10/12/2011 - 14:27:10 | A | 10124] C:\UsbFix.txt
[08/08/2009 - 14:49:07 | D ] C:\Users
[07/12/2011 - 18:42:22 | D ] C:\Windows
[07/12/2011 - 01:38:14 | D ] C:\ZHP
[10/12/2011 - 14:28:59 | SHD ] D:\$RECYCLE.BIN
[27/06/2009 - 02:25:24 | D ] D:\DELL
[27/06/2009 - 02:25:22 | D ] D:\Program Files
[19/01/2008 - 09:45:30 | HD ] D:\ProgramData
[29/01/2008 - 18:53:24 | D ] D:\sources
[27/06/2009 - 02:12:49 | SHD ] D:\System Volume Information
[27/06/2009 - 02:51:28 | D ] D:\Tools
[19/01/2008 - 09:45:30 | D ] D:\Users
[27/06/2009 - 02:24:30 | D ] D:\Windows
[01/01/1980 - 00:00:00 | D ] F:\MUSIC
[01/01/1980 - 00:00:00 | N | 320] F:\SYS_CONF.SYS
[01/01/1980 - 00:00:00 | D ] F:\RECORD
[01/01/1980 - 00:00:00 | D ] F:\AUDIBLE
[01/01/1980 - 00:00:00 | D ] F:\PODCASTS
[01/01/1980 - 00:00:00 | D ] F:\AUDIOBOOKS
[01/01/1980 - 00:00:00 | N | 84] F:\version.sdk
[01/01/1980 - 00:00:00 | N | 51237] F:\RES_INFO.SYS
[01/01/1980 - 00:00:00 | N | 114] F:\DID.bin
[01/01/1980 - 00:00:00 | N | 1862468] F:\MTABLE.SYS
[10/12/2011 - 14:28:59 | SHD ] H:\$RECYCLE.BIN
[05/08/2011 - 14:29:57 | D ] H:\2011-08-04 Montpellier
[09/11/2011 - 18:34:42 | D ] H:\2011-11-09
[25/03/2011 - 11:25:06 | N | 200897219] H:\CST TOULOUSE V1 ENG.wmv
[16/07/2011 - 17:44:07 | D ] H:\dfgf
[09/12/2011 - 17:40:12 | D ] H:\Favoris
[07/07/2011 - 07:26:48 | D ] H:\Filme
[07/07/2011 - 07:26:33 | D ] H:\iSource Training ShSD nov2010
[09/12/2011 - 16:52:54 | D ] H:\Mac Access Utility
[09/12/2011 - 16:52:53 | N | 92854] H:\Platform.ico
[09/12/2011 - 17:42:12 | SHD ] H:\RECYCLER
[09/12/2011 - 17:49:54 | D ] H:\STUDEMUNDaufD
[09/11/2011 - 18:34:42 | SHD ] H:\System Volume Information
[07/07/2011 - 07:25:02 | D ] H:\TUC sponsoring N1 2012
[26/11/2011 - 16:42:54 | N | 4096] I:\._.Trashes
[26/11/2011 - 16:42:54 | D ] I:\.Trashes
[26/11/2011 - 16:42:54 | D ] I:\.Spotlight-V100
[26/11/2011 - 16:42:54 | D ] I:\.fseventsd
[11/11/2011 - 23:42:46 | D ] I:\boulot
[12/11/2011 - 00:14:06 | N | 113547] I:\Licence Microsoft.pdf
[12/11/2011 - 17:50:26 | D ] I:\céramique 2006
[12/11/2011 - 17:51:12 | D ] I:\pendules 2011
[17/11/2011 - 16:07:04 | D ] I:\Sourcing
[30/11/2011 - 12:46:00 | N | 273490] I:\cornerdefensif.jpg
[16/01/2011 - 11:04:42 | N | 4111450] I:\debutdematch_TUC_ASVEL.jpg
[31/01/2011 - 19:49:36 | N | 91940] I:\TUC_groupe_2011.jpg

################## | Vaccin |

C:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)
H:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)
I:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)

################## | Upload |

Please send the file: C:\UsbFix_Upload_Me_PC-CLAIRE.zip
http://eldesaparecido.com/upload.html
Thank you for your contribution.

################## | Reboot |

(!) The computer was restarted.

################## | E.O.F |

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Smart91 24992Messages postés 15 juillet 2007Date d'inscription 31 mai 2012Dernière intervention 13 déc. 2011 à 15:30
Realnce ZHPDiag, clique sur la flèche verte pour installer la mise à jour. Refais un scan et poste le rapport via
http://up.sur-la-toile.com/heberger

Smart

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
eli613 69Messages postés 28 juillet 2010Date d'inscription 27 avril 2012Dernière intervention 14 déc. 2011 à 21:20
Je trouve dommage de recommender systematiquement ces rapports avec toute une panoplie de logiciels (bien que je sais comme etant efficaces) parce que quand on a un rogue ou autre laideur, on veut du concret, autrement dit "comment on vire c'te m**** proprement", pas un cours d'informatique en profondeur, genre dechiffrer les rapports, etc...
Ca ne sert pas grand chose, si ce n'est que ca fait perdre du temps: si on est a Marseille, on peut aussi passez par Tokyo pour aller à Paris, mais le plus court serait un aller Marseille-Paris direct, si vous voyez ce que je veux dire '-_-
Bon, 'me reste plus qu'a trouver un tuto pour virer cette crotte de rogue.

 Ajouter un commentaire - Site web
Smart91- 15 déc. 2011 à 13:39
Je ne demande pas des rapport ou fais passer des outils par plaisir.
Si je le fais cela veut dire que le PC a plusieurs infections, qu'il faut éradiquer.
De plus si l'internaute reste en conctact jusqu'au bout je lui proposerais toute une procédure pour que son PC soit propre comme au moment de l'achatt, et ceci, sans formater
Ajouter un commentaire
Posez votre question
Ce document intitulé « infectée par trojan bnk.win32.keylogger.gen » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?