Les Allergies
Alimentaires
Posez votre question Signaler

Trojan Win32.bnk keylogger

nuky13 2Messages postés 11 janvier 2012Date d'inscription 11 janvier 2012Dernière intervention - Dernière réponse le 11 janv. 2012 à 16:59
Bonjour,
Je n'arrivais plus à ouvrir un seul fichuer exe ni internet, cette satanée page qui s'affichait m'invitant à acheter un prog pour désinfecter mon ordi. J'ai un peu regardé sur le net et ai tenté d'installer roguekiller.
J'ai pu lancer une recherche et j'ai eu ce premier rapport:
RogueKiller V6.2.3 [09/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Lili [Droits d'admin]
Mode: Recherche -- Date : 11/01/2012 15:44:38
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 10 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : WahOO ("C:\Users\Lili\AppData\Local\WahOO\WahOO.exe" silent) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-504860533-3912140453-2207478336-1000[...]\Run : WahOO ("C:\Users\Lili\AppData\Local\WahOO\WahOO.exe" silent) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\.exe : (50c) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 514d73a24434542d55cbb9e6894750bd
[BSP] ec2371f15c3022fa1e6141d58c23c748 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 149916 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 292806656 | Size: 10120 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 7adf875e47f4368c4c946b8b62dbba14
[BSP] 2c56e585dfdaac93ca20882fda178490 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT16 [VISIBLE] Offset (sectors): 32 | Size: 2076 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Lors de la suppression, j'ai reçu ce 2eme rapport:
RogueKiller V6.2.3 [09/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Lili [Droits d'admin]
Mode: Suppression -- Date : 11/01/2012 15:45:32
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 8 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : WahOO ("C:\Users\Lili\AppData\Local\WahOO\WahOO.exe" silent) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[FILEASSO] HKCR\[...].exe : (50c) -> REPLACED (exefile)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe")
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Lili\AppData\Local\ixp.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files\internet explorer\iexplore.exe")
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 514d73a24434542d55cbb9e6894750bd
[BSP] ec2371f15c3022fa1e6141d58c23c748 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 149916 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 292806656 | Size: 10120 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 7adf875e47f4368c4c946b8b62dbba14
[BSP] 2c56e585dfdaac93ca20882fda178490 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT16 [VISIBLE] Offset (sectors): 32 | Size: 2076 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Je ne sais pas si j'dois faire les points 3, 4, 5, 6. Visiblement mon ordi va mieux mais j'aimerais l'avis d'experts pour etre sur que mon ordi est bien désinfecté..
Depuis que mon ordi est l'air plus gentil ;-) mon antivirus qui est avira antivir personal, me met une alerte régulièrement me disant que des fichiers dangereux tentent d'avoir accès à mon ordinateur. Comment ravoir un ordinateur tout beau tout frais?
Merci d'avance pour vos réponses
nuky13
Lire la suite 

Trojan Win32.bnk keylogger »

3 réponses
Réponse
+0
moins plus
g3n-h@ckm@n 11269Messages postés 13 novembre 2011Date d'inscription 31 mai 2012Dernière intervention 11 janv. 2012 à 16:09
salut des precisions sur les alertes avira ?

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
nuky13 2Messages postés 11 janvier 2012Date d'inscription 11 janvier 2012Dernière intervention 11 janv. 2012 à 16:29
Salut g3n-h@ckm@n,

Alors des fichiers du style:

TR/Proxy.sefbov.E.12
TR/Fake.Rean.6211
de nouveau TR/Proxy.sefbov.E.12
BDS/Backdoor.Gen5
TR/Agent.422223

A chaque alerte je choisissais "remove"...


Merci de prendre le temps de m'aider

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
g3n-h@ckm@n 11269Messages postés 13 novembre 2011Date d'inscription 31 mai 2012Dernière intervention 11 janv. 2012 à 16:59
telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

Ajouter un commentaire - Site web
Ajouter un commentaire
Posez votre question
Ce document intitulé « Trojan Win32.bnk keylogger » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?