Infection trojan-bnk.win32.keylogger.gen / faux Vista antivirus 2012

[Pied d'arbre]

Bonjour,

 

J'emprunte un autre ordi car le mien (un portable) est infecté par un virus qui m'empêche de me connecter à Internet Explorer (ça se ferme dès que je lance IE).

 

J'ai plein de fenêtres et infobulles en anglais Vista Antivirus 2012 qui m'indiquent plein de failles et virus (dont trojan-bnk.win32.keylogger.gen) trouvés sur mon ordi. Et ça me propose d'activer vista antivirus (ce que je n'ai pas fait).

 

J'ai fait une mise à jour de malwarebytes car j'ai vu sur un forum américain que ça pourrait servir mais ça s'arrête là. J'ai aussi coupé l'accès wifi sur l'ordi pour ne pas qu'on récupère mes données.

 

Je ne peux donc pas poster de rapport Hijackthis. J'ai pensé utiliser une clé USB pour transférer des programmes d'un ordi à l'autre mais je ne voudrais pas infecter l'ordi qu'on m'a prêté dans la manœuvre si je dois le faire plusieurs fois (je n'y connais pas grand chose en informatique).

 

Je suis sous Vista service pack 1 (voir ma config dans mon profil) et j'ai mcafee (que je paye plusieurs dizaines d'euros par an) et qui ne détecte aucun virus après analyse complète du système.

 

Merci de votre aide. J'avoue que c'est assez urgent car j'ai besoin de mon ordi pour mon travail.

[tomtom95]

bonjour Pied d'arbre bienvenue sur Zeb

 

Télécharge sur ta clé USB,et applique sur ton pc infecté dans cette ordre les outils:

 

 

• Télécharge rkill de Grinler
   
  Utilise les autres lien si aucunes reussite avec le premier
  

Rkill
Rkill
Rkill
 
Enregistrer le fichier sur le Bureau.
Désactiver le module résident de l'antivirus et celui de l'antispyware
Faire un double clique sur le fichier rkill téléchargé pour lancer l'outil.
 
NOTE : Pour Vista et seven
faire un clique droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
 
Une fenêtre à fond noir va apparaître brièvement
puis disparaître ce qui indiquera que tout s'est bien déroulé.
Poste le rapport C:\Windows\rkill.log

Note : Ne redémarre pas le pc aprés utilisation de rkill

sinon il faudra recommencer la procédure

Si tu as un message qui signale que Rkill est un indésirable

ignore le et lance de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

 

 

Télécharge RogueKiller (par tigzy). sur le bureau

• IMPORTANT:Quitte tous tes programmes en cours
  
• Lance RogueKiller.exe.Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  
  Lorsque demandé
  
• tape 1 recherche et valide
  
• Un rapport (RKreport.txt) sera créer à côté de l'exécutable
  colle son contenu dans la réponse
   
  
• Si le programme a été bloqué
  ne pas hésiter a essayer à l'exécuter de nouveau .
   
  NOTE: Aprés avoir posté le premier rapport pour que je l'analyse
   
  
• Si infection présente Il faudras Relancer Roguekiller
  et taper 2 suppression
  Un rapport (RKreport.txt) sera créer à côté de l'exécutable
  colle son contenu dans la réponse en fin de procédure.

**********************************

Aprés avoir fait passer les outils Rkill,et roguekiller et supprimer ce qu'il trouve

Tu dois pouvoir te connecté avec ton pc.ce qui évite de passer sur l'autre pc.

 

Télécharge la dernier version MalwareByte's sur ton Bureau.

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  Une fois l'installation et la mise à jour effectuées :
  
• Exécute maintenant MalwareByte's Anti-Malware.Clique droit sur l'icône et "Exécuter en tant qu'administrateur"
  sélectionne "Exécuter un examen complet".
  
• Coche toutes les cases des lecteurs
  
• Afin de lancer la recherche clique sur"Rechercher".
  
• Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
  
• Si des infections sont présentes
  clique sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
  
• poste le rapport dans ta prochaine réponse.
   
  REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok.
   
  *****************************************
  Télécharge ZHPDiag de Nicolas Coolman sur ton Bureau
   
  
• Lance l'outil : double-clique sur ZHPDiag pour XP
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  Clique sur le Tournevis a droit en haut
  
  Coche toutes les cases .
  
• Puis Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
  
• L'analyse peut durer une dizaine de minutes.
  
• Le rapport généré par l'outil se nomme ZHPDiag.txt
  
• Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
  
• Dans ta prochaine réponse
  
• héberger le fichier contenant le rapport ici
  http://cjoint.com/'>http://cjoint.com/
  
• Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport pour que je puisse le télécharger et l'analyser.

 

Post les rapports via http://cjoint.com/

RKreport.txt

Mbam.log

ZHPDiag.txt

 

A+

[Apollo]

Bonsoir,

 

Si on me donnait McAfee, je le refuserais, alors payer pour cette passoire, jamais!

 

Si tu veux une bonne protection pour ton Vista et à condition d'avoir assez bien de mémoire vive (ram), pense plutôt à Kaspersky Internet Security, Trend, ou DRWeb.

 

Tu peux les évaluer chacun pendant un mois et comme ça, t'en faire une opinion (bonne ou moins bonne).

Avec KIS sur mes ordi depuis plus de 5 ans, je n'ai jamais été infecté mais bien sûr, je ne joue pas aux cracks ou P2P sinon aucune protection n'est valable.

 

Dr.Web Antivirus / Télécharger

Versions d'évaluation

Trend Micro - Comparez les fonctionnalités des produits Titanium™

 

-------------------------------

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

Envoie une copie du rapport RKreport[1].txt.

Si les raccourcis ont disparu, relance l'outil en mode 6.

Envoie une copie du rapport RKreport[2].txt.

 

++

[Pied d'arbre]

Merci messieurs !

 

Alors il me semblait avoir installé Roguekiller y'a quelques mois mais je ne retrouvais plus l'icône. J'ai donc fait une recherche sur mon ordi et en voulant ouvrir le dossier j'ai en fait lancé le logiciel qui m'a détecté vista antivirus il me semble. Mais comme je me suis souvenu qu'il fallait l'ouvrir en tant qu'administrateur j'ai fermé et relancer deux fois (je me suis un peu affolé).

 

Donc j'ai un rapport roguekiller mais c'est uniquement celui de mon dernier lancement du logiciel. Je précise que j'écris ce message depuis mon ordinateur (celui avec lequel je ne pouvais pas me connecter à IE).

 

Voilà donc ce rapport :

RogueKiller V4.3.8 par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/32)

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Francois [Droits d'admin]

Mode: Suppression -- Date : 21/08/2011 18:22:45

 

Processus malicieux: 0

 

Entrees de registre: 3

[ROGUE ST] HKCU\[...]\Run : 4270837719 (C:\Users\Francois\AppData\Local\jph.exe) -> DELETED

[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Francois\AppData\Local\jph.exe" -a "%1" %*) -> REPLACED : ("%1" %*)

[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Francois\AppData\Local\jph.exe" -a "%1" %*) -> REPLACED : ("%1" %*)

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

[Pied d'arbre]

Je précise que j'ai aussi tapé 2 pour suppression dans roguekiller.

[tomtom95]

Nous avons posté en même temps avec Apollo

En accord avec Apollo je continu la prise en charge.

 

Pied d'arbre

Tu peux faire le reste des procédures stp

[Pied d'arbre]

Ok j'ai vu que vous aviez posté en même temps alors j'ai fait ce que vous aviez en commun.

 

Donc maintenant j'ai fait marcher rkill. Ca a fini par ouvrir une fenêtre du blocnotes que je pense être le rapport mais je n'ai plus d'icônes sur le bureau.

 

Du coup je réécris depuis le pc qu'on m'a prêté et je retape manuellement le rapport.

 

Voici :

This log file is located at C:Wrkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

 

Rkill was run on 21/08/2011 at 19:21:30

Operating System: Windows Vista Home Premium

 

Processes terminated by Rkill or while it was running:

 

C:WUsersWFrançoisWProgram FilesWDNAWbtdna.exe

 

 

Rkill completed on 21/08/2011 at 19:21:37

[tomtom95]

btdna.exe Processus lié à Bittorrent

Tu as fait le reste ? MBAM puis le rapport ZHPDiag

[Pied d'arbre]

Non car je n'ai plus ni barre de taches ni icônes sur le bureau. Et il ne se passe rien quand je clique droit.

 

Il faut que j'appuie sur le gros bouton que j'utilise pour démarrer le pc quand il est éteint ?

 

 

PS : J'ai aussi emule.

[tomtom95]

• Redémarrer ton ordinateur en mode sans échec
  Au démarrage/ ou au redémarrage du pc
  après le chargement du bios
  appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir.
  Une fois arrivé à ce stade
  sélectionne à l'aide du clavier Mode sans Echec.
  Une fois sur ton bureau
  
• Exécute maintenant MalwareByte's Anti-Malware
  sélectionne "Exécuter un examen complet".
  
• Coche toutes les cases des lecteurs
  
• Afin de lancer la recherche clique sur"Rechercher".
  
• Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
  
• Si des infections sont présentes
  clique sur "Afficher les résultats" puis sur "Supprimer la sélection".
  Enregistre le rapport sur ton Bureau.
  
• poste le rapport dans ta prochaine réponse.

 

A+

Modifié le 21 août 2011 par tomtom95