Se connecter / S'enregistrer
Votre question

Trojan bnk win 32 saloperie

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Février 2011 00:30:32

Bonjour
j'ai choppé ce virus aujourd'hui je vais pas faire un paté
voici le rapport de rogue killer (je suis la procedure décrite sur le lien http://forums.cnetfrance.fr/topic/182341-trojan-bnk-win... )
je posterais le rapport de OTL dès qu'il sera prêt ; par contre j'ai oublie de dire que je navigue de façon assez étrange car en fait internet est bloque par le trojan mais il ne résussit pas à bloquer les fenêtres de pub or sur ces fenêtres on peut naviguer donc ça sert les pubs intempestives ; sauf que en naviguant comme ça je n'arrive à plus rien copier mais j'arrive à coller donc je poste ici le protocole qu'il fallait copier que j'ai écrit à la main :( au cas où erreur)
%SYSTEMDRIVE%*.*
%systemroot%\*./mp /s
%systemroot%\System32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.dll /lockedfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
Update\Results\Install|LastSuccessTime /rs
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
iexplore.exe
wuauclt.exe
/md5stop


on se rend ainsi compte que tous les stressés qui ont un virus n'essaient même pas de comprendre ce qu'ils font lol :sweat: 

RAPPORT DE ROGUE KILLER :RogueKiller V3.10.2 by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...

Operating System: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Started in : Normal mode
User: Milad RASOL 1 [Admin rights]
Mode: Scan -- Time : 19/02/2011 23:47:17

Bad processes:
Killed c:\users\milad rasol 1\appdata\local\gyk.exe

Found:
HKCU\...\.exe\open\command:"C:\Users\Milad RASOL 1\AppData\Local\gyk.exe" -a "%1" %*
HKCR\...\.exe\open\command:"C:\Users\Milad RASOL 1\AppData\Local\gyk.exe" -a "%1" %*

HOSTS File:
127.0.0.1 localhost


Finished




RogueKiller V3.10.2 by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...

Operating System: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Started in : Normal mode
User:**** It's me [Admin rights]
Mode: Scan -- Time : 19/02/2011 23:50:11


Merci de m'aider
(fianelement le paté)

Autres pages sur : trojan bnk win saloperie

a c 267 8 Sécurité
20 Février 2011 01:35:25

Bonjour,

  • Télécharge Ad-Remover (de C_XX) sur ton Bureau.
  • Ferme toutes les applications en cours y compris le navigateur.
  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
  • Choisis Nettoyer puis valide.
  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    Contenus similaires
    20 Février 2011 15:10:45

    Re ,
    l'ordi a malheuresement rendu l'âme au moment où j'ai redemarré après le scan de ad-r il ne veut ni ouvrir en mode normal ni en mode sans échec , mais de tte façon le processeur était mal en point
    20 Février 2011 15:12:15

    je tiens à dire que c'est surtout due à la surchauffe ultime survenant au redemarrage
    21 Février 2011 19:59:24

    Je relance le sujet parc que l'odi revit !
    VOICI le rapport de AD-Remover :
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 16/02/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 19:19:10 le 21/02/2011, Mode normal

    Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
    Milad RASOL 1@PC-DE-MILAD (Hewlett-Packard HP Pavilion dv6700 Notebook PC)

    ============== ACTION(S) ==============



    (!) -- Fichiers temporaires supprimés.




    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6 (fr)] ****

    Plugins\npDivxPlayerPlugin.dll (DivX, Inc)
    HKLM_MozillaPlugins\@veoh.com/VeohTVPlugin (x)
    HKLM_MozillaPlugins\@veoh.com/VeohWebPlayer (x)
    HKLM_MozillaPlugins\@viewpoint.com/VMP (x)

    -- C:\Users\Milad RASOL 1\AppData\Roaming\Mozilla\FireFox\Profiles\jasc0hq7.default --
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2

    ========================================

    **** Internet Explorer Version [8.0.6001.19019] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{5A8C9C71-CEF4-4027-AD24-D7949383E62F} - "Flickr" (hxxp://www.flickr.com/search/?q={searchTerms})
    HKCU_SearchScopes\{CF61ED20-D64F-402A-9418-7F07B1C6BA04} - "eBay" (hxxp://rover.ebay.com/rover/1/709-71121-23097-1/4?satitle={searchTerms})
    HKLM_SearchScopes\{217DA05C-CAA0-479A-9887-A9D772AFBC3D} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
    HKCU_Toolbar\WebBrowser|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll)
    HKLM_Toolbar|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll)
    HKLM_Toolbar|{0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} (C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll)
    HKLM_Toolbar|{52836EB0-631A-47B1-94A6-61F9D9112DAE} (C:\Program Files\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll)
    HKLM_Toolbar|{EF99BD32-C1FB-11D2-892F-0090271D4F88} (C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (x)
    HKLM_ElevationPolicy\{ADADAEE2-457A-4984-A57C-E01C3A2BA612} - c:\program files\aol\aol toolbar 5.0\AolTbServer.exe (AOL LLC)
    HKLM_ElevationPolicy\{EFC0651C-B6D7-49CD-A6E0-B1CE9AB5FE46} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ytbb.exe (Yahoo! Inc.)
    HKLM_Extensions\{3369AF0D-62E9-4bda-8103-B4C75499B578} - "AOL Toolbar" (c:\program files\aol\aol toolbar 5.0\resources\fr-fr\aoltbres.dll,11)
    HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
    BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} - "&Yahoo! Toolbar Helper" (C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - "AOL Toolbar Launcher" (C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll)
    BHO\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - "SingleInstance Class" (C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 71 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 30 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 20/02/2011 02:14:04 (9356 Octet(s))
    C:\Ad-Report-CLEAN[2].txt - 21/02/2011 19:19:16 (501 Octet(s))

    Fin à: 19:21:07, 21/02/2011

    ============== E.O.F ==============
    21 Février 2011 20:30:04

    okay juste une question comme j'ai choisit pour me sortir de l'écran noir "derniere configuration connue etc.." je n 'ai plus de pubs intempestives donc je peux plus aller sur internet normalement donc je vais faire ce que tu demandes en MSE avec prise en charge réseau , ca marchera ?
    21 Février 2011 20:37:54

    le virus s'est propage dans le MSE mtn !!
    a c 267 8 Sécurité
    21 Février 2011 21:28:28

    Pourquoi ne pas faire la procédure en mode normal ?
    21 Février 2011 21:48:21

    ben parce que je peux pas surfer lol (je suis sur un autre ordi là ) cf mon 1er message

    bon je vais essayer de télécharger ce qu'il faut sur une clé usb ou micro sd et les transferer sur l'autre ordi par contre dans ce cas je suis pas sûr d'avoir tous les fichiers mais j'essaye quand même (en mode normal)
    21 Février 2011 21:49:19

    j'ai executé malwarebytes en tant qu'administrateur sinon il voulait pas s'ouvrir
    22 Février 2011 00:40:09

    Ok voilà le rapport si necessaire de malware bytes :
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5832

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.19019

    22/02/2011 00:19:35
    mbam-log-2011-02-22 (00-19-35).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 470740
    Temps écoulé: 2 heure(s), 11 minute(s), 19 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    c:\Users\milad rasol 1\AppData\Local\gyk.exe (Trojan.FakeAlert) -> 1596 -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\Milad RASOL 1\AppData\Local\gyk.exe" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\milad rasol 1\AppData\Local\gyk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Windows\System32\rk_quarantine\gyk.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    22 Février 2011 11:17:31

    D'acord,mmmh,oh pire,j'ai une idée

    Tu rédemarres ton ordinateur,démarrer -> touts les programmes -> accesoires -> outils systèmes --> restauration du système,après tu enlèves ton mot de passe et t'en remets un autre ensuite tu met une nouvelle date pour que ton mobile soit opérationnel après tu re-redémarres l'ordinateur et normalement ton virus doit partir
    a c 267 8 Sécurité
    22 Février 2011 12:28:15

    Le PC va mieux ?
    22 Février 2011 22:05:15

    Oui merci beaucoup de ton aide le pc remarche comme avant ..
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS