Infection trojan-bnk.win32.keylogger.gen / faux Vista antivirus 2012

[Pied d'arbre]

Alors je me suis absenté quelques minutes et je n'ai pas vu si le pc a redémarré tout seul mais en tout cas j'ai le rapport. On m'a demandé d'envoyer un fichier .zip sur un site mais je ne l'ai pas fait. Mon disque dur externe et mon lecteur mp3 sont toujours branchés et sous secteur.

 

############################## | UsbFix 7.057 | [suppression]

 

Utilisateur: Francois (Administrateur) # PC-DE-FRANCOIS [TOSHIBA Satellite A350]

Mis à jour le 21/08/2011 par El Desaparecido

Lancé à 16:30:29 | 22/08/2011

Site Web: http://www.teamxscript.org

Submit your sample: http://www.teamxscript.org/Upload.php

Contact: TeamXscript.ElDesaparecido@gmail.com

 

CPU: Intel® Core2 Duo CPU P7350 @ 2.00GHz

CPU 2: Intel® Core2 Duo CPU P7350 @ 2.00GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1

Internet Explorer 8.0.6001.19088

 

Pare-feu Windows: Désactivé /!\

RAM -> 3066 Mo

C:\ (%systemdrive%) -> Disque fixe # 149 Go (25 Go libre(s) - 17%) [Vista] # NTFS

D:\ -> Disque fixe # 279 Go (32 Go libre(s) - 12%) [] # NTFS

E:\ -> Disque fixe # 148 Go (46 Go libre(s) - 31%) [Data] # NTFS

F:\ -> CD-ROM

 

################## | Éléments infectieux |

 

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3534682563-2882259935-1812037030-1000

Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2016795476-2635867553-3538775733-1004

Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3079802889-1010105818-1491998892-1006

Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3534682563-2882259935-1812037030-1000

Supprimé! D:\Recycler\S-1-5-21-1060284298-117609710-682003330-1004

Supprimé! D:\Recycler\S-1-5-21-1390067357-839522115-682003330-1005

Supprimé! D:\Recycler\S-1-5-21-1614895754-343818398-725345543-1003

Supprimé! D:\Recycler\S-1-5-21-1801674531-790525478-725345543-1004

Supprimé! D:\Recycler\S-1-5-21-1935655697-1390067357-725345543-1003

Supprimé! D:\Recycler\S-1-5-21-1935655697-1390067357-725345543-1005

Supprimé! D:\Recycler\S-1-5-21-2807539451-122036387-769283691-1007

Supprimé! D:\Recycler\S-1-5-21-3769659101-3547595829-107168543-1006

Supprimé! E:\$RECYCLE.BIN\S-1-5-21-3534682563-2882259935-1812037030-1000

 

################## | Registre |

 

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

 

################## | Mountpoints2 |

 

 

################## | Listing |

 

[22/08/2011 - 16:45:49 | SHD ] C:\$RECYCLE.BIN

[09/05/2011 - 22:18:43 | N | 3391] C:\Ad-Report-CLEAN[1].txt

[09/05/2011 - 22:14:01 | N | 3183] C:\Ad-Report-SCAN[1].txt

[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat

[19/11/2008 - 13:30:53 | D ] C:\Boot

[21/01/2008 - 04:24:42 | N | 333203] C:\bootmgr

[19/11/2008 - 13:30:54 | N | 8192] C:\BOOTSECT.BAK

[18/09/2006 - 23:43:37 | N | 10] C:\config.sys

[02/11/2006 - 15:02:03 | D ] C:\Documents and Settings

[22/08/2011 - 11:01:51 | ASH | 3215867904] C:\hiberfil.sys

[19/11/2008 - 14:43:25 | D ] C:\Intel

[04/09/2008 - 02:11:24 | N | 54600] C:\npbittorrent.dll

[22/08/2011 - 11:01:51 | ASH | 3529461760] C:\pagefile.sys

[21/01/2008 - 04:32:31 | D ] C:\PerfLogs

[21/08/2011 - 23:20:51 | N | 512] C:\PhysicalDisk0_MBR.bin

[22/08/2011 - 00:00:40 | D ] C:\Program Files

[22/08/2011 - 01:01:39 | D ] C:\ProgramData

[19/11/2008 - 14:48:46 | N | 646] C:\RHDSetup.log

[21/08/2011 - 19:21:37 | N | 417] C:\rkill.log

[30/01/2009 - 19:00:13 | N | 123] C:\SWSTAMP.TXT

[22/08/2011 - 13:09:37 | SHD ] C:\System Volume Information

[04/05/2009 - 16:14:44 | D ] C:\Toshiba

[22/08/2011 - 16:46:20 | D ] C:\UsbFix

[22/08/2011 - 16:30:30 | A | 3322] C:\UsbFix.txt

[04/05/2009 - 16:07:54 | D ] C:\Users

[22/08/2011 - 00:46:16 | D ] C:\Windows

[19/11/2008 - 15:31:38 | D ] C:\Works

[22/08/2011 - 01:01:40 | D ] C:\ZHP

[09/05/2011 - 21:14:28 | N | 818] C:\ZHPExportRegistry-09-05-2011-21-14-28.txt

[22/08/2011 - 16:45:50 | SHD ] D:\$RECYCLE.BIN

[24/05/2011 - 11:52:54 | D ] D:\dd

[28/07/2011 - 22:47:52 | D ] D:\films

[19/02/2011 - 20:24:20 | D ] D:\Pierre

[22/08/2011 - 16:45:48 | SHD ] D:\RECYCLER

[12/09/2006 - 17:48:04 | SHD ] D:\System Volume Information

[22/08/2011 - 16:45:50 | SHD ] E:\$RECYCLE.BIN

[24/05/2011 - 11:51:34 | D ] E:\bede

[21/08/2011 - 23:59:33 | D ] E:\films

[05/05/2009 - 00:46:38 | D ] E:\HDDRecovery

[21/01/2010 - 22:25:15 | D ] E:\MSOCache

[11/02/2009 - 01:16:12 | N | 11] E:\R10738FR.tag

[04/05/2009 - 15:49:44 | SHD ] E:\System Volume Information

[02/08/2011 - 23:40:25 | D ] E:\zizique

 

################## | Vaccin |

 

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

 

################## | Upload |

 

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-FRANCOIS.zip

http://www.teamxscript.org/Upload.php

Merci de votre contribution.

 

################## | E.O.F |

[tomtom95]

Ok tu peux débrancher tes supports externe.

 

Fait la procédure de DelFix post #28

http://forum.zebulon.fr/infection-trojan-bnkwin32keyloggergen-faux-vista-antivirus-2-t187391.html&st=20

Post les rapports stp.

Supprime tes anciens points de restauration,comme indiqué

Vide la quarantaine de MBAM,là c'est plus facile

 

Ensuite je te donne les mises a jour que tu dois faire

 

A+

[Pied d'arbre]

Voici le premier rapport :

 

# DelFix v8.3 - Rapport créé le 22/08/2011 à 17:23

# Mis à jour le 04/08/11 à 11h par Xplode

# Système d'exploitation : Windows Vista Home Premium (32 bits) [version 6.0.6001] Service Pack 1

# Nom d'utilisateur : Francois - PC-DE-FRANCOIS (Administrateur)

# Exécuté depuis : C:\Users\Francois\Desktop\delfix0.exe

# Option [Recherche]

 

 

~~~~~~ Dossier(s) ~~~~~~

 

Présent : C:\USBFix

Présent : C:\ZHP

Présent : C:\Program Files\Ad-Remover

Présent : C:\Program Files\ZHPDiag

Présent : C:\Users\Francois\Desktop\RK_Quarantine

Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

 

~~~~~~ Fichier(s) ~~~~~~

 

Présent : C:\Ad-Report-CLEAN[1].txt

Présent : C:\Ad-Report-SCAN[1].txt

Présent : C:\PhysicalDisk0_MBR.bin

Présent : C:\rkill.log

Présent : C:\UsbFix.txt

Présent : C:\UsbFix_Upload_Me_PC-DE-FRANCOIS.zip

Présent : C:\ZHPExportRegistry-09-05-2011-21-14-28.txt

Présent : C:\Users\Francois\Desktop\AD-R.lnk

Présent : C:\Users\Francois\Desktop\rkill.exe

Présent : C:\Users\Francois\Desktop\RKreport[1].txt

Présent : C:\Users\Francois\Desktop\RKreport[2].txt

Présent : C:\Users\Francois\Desktop\RKreport[3].txt

Présent : C:\Users\Francois\Desktop\RogueKiller.exe

Présent : C:\Users\Francois\Desktop\TFC.exe

Présent : C:\Users\Francois\Desktop\UsbFix.exe

Présent : C:\Users\Francois\Desktop\ZHPDiag.txt

Présent : C:\Users\Francois\Desktop\ZHPDiag2.exe

Présent : C:\Users\Francois\Desktop\ZHPFixReport.txt

Présent : C:\Users\Public\Desktop\MBRCheck.lnk

Présent : C:\Users\Public\Desktop\ZHPDiag.lnk

Présent : C:\Users\Public\Desktop\ZHPFix.lnk

Présent : C:\Users\Public\Desktop\MBRCheck.lnk

Présent : C:\Users\Public\Desktop\ZHPDiag.lnk

Présent : C:\Users\Public\Desktop\ZHPFix.lnk

 

~~~~~~ Registre ~~~~~~

 

Clé Présente : HKCU\SOFTWARE\Ad-Remover

Clé Présente : HKCU\SOFTWARE\USBFix

Clé Présente : HKLM\Software\OldTimer Tools

Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover

Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

 

~~~~~~ Autre ~~~~~~

 

 

########## EOF - "C:\DelFixSearch.txt" - [2275 octets] ##########

 

le second :

 

# DelFix v8.3 - Rapport créé le 22/08/2011 à 17:24

# Mis à jour le 04/08/11 à 11h par Xplode

# Système d'exploitation : Windows Vista Home Premium (32 bits) [version 6.0.6001] Service Pack 1

# Nom d'utilisateur : Francois - PC-DE-FRANCOIS (Administrateur)

# Exécuté depuis : C:\Users\Francois\Desktop\delfix0.exe

# Option [suppression]

 

 

~~~~~~ Dossier(s) ~~~~~~

 

Supprimé : C:\USBFix

Supprimé : C:\ZHP

Supprimé : C:\Program Files\Ad-Remover

Supprimé : C:\Program Files\ZHPDiag

Supprimé : C:\Users\Francois\Desktop\RK_Quarantine

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\Ad-Report-CLEAN[1].txt

Supprimé : C:\Ad-Report-SCAN[1].txt

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\rkill.log

Supprimé : C:\UsbFix.txt

Supprimé : C:\UsbFix_Upload_Me_PC-DE-FRANCOIS.zip

Supprimé : C:\ZHPExportRegistry-09-05-2011-21-14-28.txt

Supprimé : C:\Users\Francois\Desktop\AD-R.lnk

Supprimé : C:\Users\Francois\Desktop\rkill.exe

Supprimé : C:\Users\Francois\Desktop\RKreport[1].txt

Supprimé : C:\Users\Francois\Desktop\RKreport[2].txt

Supprimé : C:\Users\Francois\Desktop\RKreport[3].txt

Supprimé : C:\Users\Francois\Desktop\RogueKiller.exe

Supprimé : C:\Users\Francois\Desktop\TFC.exe

Supprimé : C:\Users\Francois\Desktop\UsbFix.exe

Supprimé : C:\Users\Francois\Desktop\ZHPDiag.txt

Supprimé : C:\Users\Francois\Desktop\ZHPDiag2.exe

Supprimé : C:\Users\Francois\Desktop\ZHPFixReport.txt

Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk

Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover

Clé Supprimée : HKCU\SOFTWARE\USBFix

Clé Supprimée : HKLM\Software\OldTimer Tools

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

 

~~~~~~ Autre ~~~~~~

 

-> Prefetch vidé

 

########## EOF - "C:\DelFixSuppr.txt" - [2187 octets] ##########

 

Comment réactiver l'uac de vista steuplé ? Je ne l'avais pas désactivé d'ailleurs.

[tomtom95]

OK

c'est bon pour les points de restauration ? et la quarantaine de MBAM ?

 

• Fait un CHKDSK
  Clique démarrer >> ordinateur >> clique droit sur ton lecteur C:\
  Propriété >> onglet outils >> clique sur vérifier maintenant.
  Coche la case réparer automatiquement les erreurs...puis clique sur démarrer.
  Un message d'avertissement clique sur planifier la vérification du disque.
  Puis redémarre le pc qui va faire son scanne au redémarrage.
  Tu n'auras pas de rapport ,mais s'il trouve des erreurs sur ton pc il seront réparer.

 

• Tu as plusieurs mise a jour a faire:
  Pour des raisons de sécurité pour ton pc
   
  
• Mettre a jour ton pc télécharge Edition Familliale service Pack 2 pour vista
  Si ce n'est pas présent sur la mise a jour windows update du pc
   
  LIRE CECI http://windows.microsoft.com/fr-FR/windows-vista/Learn-how-to-install-Windows-Vista-Service-Pack-2-SP2
   
  Téléchargement service sp2 vista
  http://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/46736.html
  conseils d'installation sp2 vista
  http://forum.pcastuces.com/vista_sp2__conseils_installation___aide___bugs-f28s14801.htm
   
  ***********************************************
  
• Adobe Acrobat version 10.1
  http://get.adobe.com/fr/reader/otherversions/
  Sur la page clique sur ton systéme exploitation et installe la derniére version
   
   
  Flash player
  http://get.adobe.com/fr/flashplayer/
  ************************************************
  
• Sun java Runtime
  http://www.java.com/fr/download/windows_ie.jsp?locale=fr&host=www.java.com:80
   
   
  Mozilla Firefox version 6
  http://www.mozilla-europe.org/fr/
  Tu peux pour sécurisé Firefox ,installé comme module de protection :
  NoScript https://addons.mozilla.org/fr/firefox/addon/noscript/?src=hp-dl-featured
  Adblock Plus https://addons.mozilla.org/fr/firefox/addon/adblock-plus/
   
   
  Activer l'UAC
  
• Démarrer
  
• Panneau de configuration
  
• Comptes et protection utilisateurs
  
• Comptes dutilisateurs
  
• Clique sur activer le contrôle des comptes d'utilisateurs
  
• Coche la case utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur clique sur OK
  redémarre ton pc pour prendre en compte cette modification.

 

• Pour améliorer la sécurité de ton PC prend quelques instants pour lire
  

Les risques du peer-to-peer Merci ogun
Pourquoi éviter le P2P ? Point législatif & dangers. Merci Gof
Les toolbars c'est pas obligatoire! Merci Malekal_morte

 

Si tu as des questions ?

 

A+

Modifié le 22 août 2011 par tomtom95

[Pied d'arbre]

C'est bon pour le nouveau point de restauration et la quarantaine de MBAM.

 

Je regarde le reste et je te réponds.

[Pied d'arbre]

Voilà j'ai fait l'essentiel.

- Pour java, faudra que je vérifie à l'usage si mon installation a été parfaite car y'a peut-être eu un petit problème.

- Pour noscript at adblockplus : C'est téléchargé mais pas encore installé. Je crois que je n'ai pas le bon décompresseur pour le moment.

 

 

Par rapport à ton post 31 et les programmes bloqués au démarrage, j'ai encore un petit soucis car j'ai toujours l'infobulle qui m'indique des programmes bloqués au démarrage.

 

J'ai décoché Adobe Acrobat, Adobe Updater, OpenOffice, Google Eula Launcher, Windows Live Messenger et ceux là ne semblent plus se lancer.

 

Y'a quelque chose à faire ?

[tomtom95]

Pour tester java >> http://www.java.com/fr/download/testjava.jsp

 

Pour NoScript,et Adblock Plus télécharge directement avec FireFox pour les installer

Ouvre ton navigateur ,clique dans la barre de menu sur outils

Et sur modules complémentaire,enfin sur catalogue >> a droit onglet voir tous.

Ce va ouvrir la page des modules ,dans sécurité et vie privé tu va trouver ok.

 

l'infobulle qui m'indique des programmes bloqués au démarrage

Je ne vois pas ce qui est bloquer au démarrage ??

Tu n'as pas une indication précise de ce bloquage ?

[Pied d'arbre]

Merci, on est proche du but !

 

 

Pour les histoires d'infobulle et de programmes bloqués au démarrage, j'ai fait des captures d'écran.

 

Premier message de l'infobulle :

 

Quand je clique droit sur l'icône correspondante (en faisant apparaître tous les choix) :

Je choisis "Afficher ou supprimer les programmes de démarrage bloqués".

 

Et donc y'a la liste de tous les programmes :

J'ai fait un classement par date et on voit donc les quelques programmes dont on a parlé en tête de liste (Adobe Acrobat, Adobe Updater, OpenOffice, Google Eula Launcher, Windows Live Messenger).

 

 

 

 

[tomtom95]

Vu ta deuxième capture on voit que cela concerne Malwarebytes, clique sur Exécuter les programmes bloqués.

 

Si tu as encore l’erreur, fait cette manip:

 

Démarrer >> Exécuter >> tape dans la fenêtre Msconfig valide avec OK.

Sur la premier page (Général) dans sélection du mode de démarrage

Coche Démarrage Normal >> puis clique sur appliquer , et OK

Tu auras un message d'avertissement pour redémarrer le pc, Fait le pour valider le changement.

 

Au redémarrage si tu as un message d'avertissement coche la case ne plus m'avertir >> et ok.

 

A+

[Pied d'arbre]

Ok, ça marche. Un IMMENSE merci à toi !

 

Sinon, j'ai une toute dernière question à laquelle je t'invite à répondre que si vraiment ça ne te demande pas de temps. Sais-tu l'origine précise du virus qui m'a empêché de me connecter à explorer ? Le P2P, un site cochon, windows live messenger, un manque de mises à jours ?