Aller au contenu
Askell

Infecté par Trojan-BNK.Win32.Keylogger.gen

Messages recommandés

Bonsoir/Bonjour a tous

je me suis inscris ici pour trouver de l'aide. Le pc a ma copine vient d'être infecté par le "Trojan-BNK.Win32.Keylogger.gen" , ce qui est problématique car elle en a besoin pour ses cours et ce virus lui bloque pratiquemment tout... Je me suis un peu renseigné sur le net a propos de ce virus, j'ai bien compris que c'était une belle saloperie (pardonnez moi l'expression) crée dans le but d'escroquer les gens en leur vendant un sois-disant remède.

J'ai trouvé le même cas sur ce site où la solution pour enlever ce virus était expliquée, mais comme les techniciens demandaient a chaque fois les rapports du pc de la personne infectée après l'utilisation de plusieurs logiciels, je me suis dis que la solution devait être spéciale en fonction du pc et de ses rapports.

Et donc me voila pour vous demander de m'aider à enlever ce virus du pc s'il vou plait, car j'avoue être pratiquemment sur de ne pas pouvoir y arriver par moi même étant novice en informatique :P

 

Cordialement

 

Askell

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir,

 

Un keylogger est dangereux et il faudra pourvoir à remplacer et mettre en sécurité les mots de passe, après désinfection totale.

 

Kspersky a développé un outil parfait pour la sécurité des mdp= Kaspersky Password Manager Versions d'évaluation On peut le tester un mois gratuitement et une licence ne coûte que 20€, licence qui est à vie et ne doit donc pas être renouvelée.

 

1) Nous devons d'abord désactiver des processus nuisibles sur ton système.

 

Télécharge TheKiller sur le Bureau.

 

TheKiller.exe http://www.osvemu.com/thekiller/v02/TheKiller.exe

ou

TheKiller.scr http://www.osvemu.com/thekiller/v02/TheKiller.scr

ou

explorer.exe http://www.osvemu.com/thekiller/v02/explorer.exe

 

Note que TheKiller a peut-être été renommé explorer.exe.

Lance-le par un double clic sous XP, (sous Windows Vista ou Windows 7, fais un clic droit et choisis "Exécuter en tant qu'Administrateur").

Clique sur le bouton OK à la fin de l'exécution du programme.

Ne fais pas redémarrer l'ordinateur après cette étape.

NOTE: Si un nuisible empêche l'exécution de TheKiller, essaye de le relancer plusieurs fois.

 

-----------------

2) Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

 

Si les raccourcis ont disparu, relance l'outil en mode 6.

Poste le rapport RKreport[2].txt.

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Tout d'abord merci pour la réponse aussi rapide ! ;)

 

voici le rapport de RogueKiller :

 

 

 

RogueKiller V6.2.3 [09/01/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/42)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: La Perché [Droits d'admin]

Mode: Suppression -- Date : 10/01/2012 23:47:20

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 3 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\La Perché\AppData\Local\dey.exe" -a "%1" %*) -> REPLACED ("%1" %*)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

 

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 36590eed32b72ff4da9c0ef5be4ca9f8

[bSP] 627b6df89428f7129f843c42ac1e913c : Windows XP MBR Code

Partition table:

0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 10485 Mo

1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 20482048 | Size: 309584 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3].txt >>

RKreport[2].txt ; RKreport[3].txt

 

Et désolé si j'ai mis du temps a répondre j'avais commencé avec la réponse a tomtom95, mais du coup je vais continuer a suivre Apollo assiduement !

Partager ce message


Lien à poster
Partager sur d’autres sites

Ouaip, pour une fois tomtom n'a pas été assez rapide :D

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

sshot-1-2dabd4e.jpg

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

object2scan-2d7aef9.jpg

 

Et coche les 2 options supplémentaires:

 

addoptions-2d7af1d.jpg

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

2663-2-eng-2f88df2.png

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

++

Partager ce message


Lien à poster
Partager sur d’autres sites

Inutile s'il n'a vraiment rien trouvé ;)

 

Conserve cet outil, il se met à jour quand tu le lances et si la version est dépassée. (mets-le de côté, où tu le retrouveras facilement).

 

1) Télécharger ATF Cleaner par Atribune.

  • Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
     
|MG| ATF Cleaner 3.0.0.2 Download
Prends ATF et rien d'autre, ce site n'étant pas très clair pour celui qui n'y est pas habitué. ;)
 
Double-clique ATF-Cleaner.exe afin de lancer le programme.
--> Sous Vista/7: Clic droit/exécuter en temps qu'administrateur.
 
Sous l'onglet Main, choisis : Select All
Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

------------------

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

 

Refuse la version d'essai si tu ne veux pas être embêté sur toutes les url jugées dangereuses pr MBAM, mais tu fais comme tu veux bien sûr.

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour, l'analyse a duré toute la nuit, voici le rapport :

 

Malwarebytes Anti-Malware 1.60.0.1800

www.malwarebytes.org

 

Version de la base de données: v2012.01.10.06

 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 8.0.6001.19170

La Perché :: PC-DE-LAPERCHÉ [administrateur]

 

11/01/2012 00:25:45

mbam-log-2012-01-11 (00-25-45).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 318749

Temps écoulé: 1 heure(s), 8 minute(s), 57 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 33

HKCR\CLSID\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\TypeLib\{F244A744-534D-4A46-855F-C0C7E9F27DAA} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\Interface\{030C9927-10FC-4169-97A2-55BECD5D88D8} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.RprtCtrl.1 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.RprtCtrl (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\CLSID\{3E2DFD6A-4E20-4D4C-AA8B-E1F9DBEF3C80} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.IEButton.1 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.IEButton (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\CLSID\{714E0876-FCEE-49CE-A429-B9AD8AEFCB56} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.IEButtonA.1 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.IEButtonA (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\CLSID\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.HbInfoBand.1 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.HbInfoBand (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\CLSID\{DD15BCC0-5FE9-4690-A957-99FA60ED9D26} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.HbAx.1 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.HbAx (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB38E21A-0133-419D-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DB38E21A-0133-419D-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2 (Adware.HotBar.SR2) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\fcn (Rogue.Residue) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICORSOFT_WINDOWS_SERVICE (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 3

C:\Program Files\ShoppingReport2 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files\ShoppingReport2\Bin (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files\ShoppingReport2\Bin\2.7.12 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

 

Fichier(s) détecté(s): 3

C:\Program Files\ShoppingReport2\Uninst.exe (Adware.HotBar.SR2) -> Mis en quarantaine et supprimé avec succès.

C:\Users\La Perché\AppData\Local\dey.exe (Spyware.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\Users\La Perché\Desktop\Angry_Birds-2011\AppUpWrapper.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Les nuits sont courtes chez toi; tu vis au Pôle Sud? :lol:

 

Temps écoulé: 1 heure(s), 8 minute(s), 57 seconde(s)

 

MBAM voit du Ramnit, c'est à souhaiter qu'il se goure sinon c'est très mauvais signe.

 

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis. tourneviszhpdiag.jpg

[*]Clique sur la loupe loupe_10.jpg pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Ah je n'avais pas vu le temps écoulé, je me suis couché 10 minutes avant que cela ne finisse... ^^

Je file au boulot, je ne pourrais faire cette manip' que ce soir.

Petite question, tu parles de "ramnit" , késako ? Et pourquoi est-ce mauvais signe ?

Bonne journée

Partager ce message


Lien à poster
Partager sur d’autres sites

Ramnit est, comme Virut ou Sality, un virus créé pour détruire.

 

Il est souvent nécessaire de formater car ces merdes infectent les exécutables et se reproduisent comme des lapins.

 

Mais il faut toujours tenter de le neutraliser avec des antivirus plus sérieux qu'avast, norton ou antivir; c'est difficile mais pas impossible.

 

++

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×