Backdoor.win32.agent.ich infection [en cours]
alacta
Messages postés
26
Statut
Membre
-
denisp5964 -
denisp5964 -
Bonjour à toute la communauté,
Alors, j'ai xp sp2,
Antivirus/malware: mcaffee + spybot + a²
Je surfe sur une url pourrite : je me choppe la "security centre alert" boîte :
backdoor.win32.agent.ich
Qui installe un soft que je vire illico,
Je lance a² > j'élimine le trojan
Je Redémarre > raté :(
le système tente de désinstaller mcaffee sans succès mais réussit à le désactiver
je lance mbam > qui ne se lance pas, mais le gestionnaire des tache me dit qu'il est lancé.
J'ai essayé la restauration système jusqu'à la manip: /i mshtml puis erreur oxc ou ocx puis j'ai tenté de remettre avec sysrestorecalendar.zip >> rien.
Bref, je me dis OK battu sur la brèche ^^
Je lance un hijackthis
et là bim! > "l'administrateur système a configuré la politique de votre système pour interdire cette installation".
bon je relance un a² en mode rusé et je poste ici depuis l'autre PC voire qui aura une solution des fois que...
Merci pour votre aide
Alors, j'ai xp sp2,
Antivirus/malware: mcaffee + spybot + a²
Je surfe sur une url pourrite : je me choppe la "security centre alert" boîte :
backdoor.win32.agent.ich
Qui installe un soft que je vire illico,
Je lance a² > j'élimine le trojan
Je Redémarre > raté :(
le système tente de désinstaller mcaffee sans succès mais réussit à le désactiver
je lance mbam > qui ne se lance pas, mais le gestionnaire des tache me dit qu'il est lancé.
J'ai essayé la restauration système jusqu'à la manip: /i mshtml puis erreur oxc ou ocx puis j'ai tenté de remettre avec sysrestorecalendar.zip >> rien.
Bref, je me dis OK battu sur la brèche ^^
Je lance un hijackthis
et là bim! > "l'administrateur système a configuré la politique de votre système pour interdire cette installation".
bon je relance un a² en mode rusé et je poste ici depuis l'autre PC voire qui aura une solution des fois que...
Merci pour votre aide
43 réponses
Salut,
Stoppe l'analyse avec a² ( qui est vraiment bof ) et fais ceci :
-+-+-+-> ZHPDiag <-+-+-+-
[x] Télécharge ZHPDiag ( de Nicolas coolman ).
[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau
[x] Clique sur l'icône en forme de loupe ( en haut à gauche ), puis laisse l'outil scanner.
[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
[x] Rend toi sur Cijoint
[x] Clique sur " Parcourir "
[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
[x] Clique ensuite sur " Cliquez ici pour déposer le fichier " puis copie/colle le lien qui est apparudans ton prochain message
Stoppe l'analyse avec a² ( qui est vraiment bof ) et fais ceci :
-+-+-+-> ZHPDiag <-+-+-+-
[x] Télécharge ZHPDiag ( de Nicolas coolman ).
[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau
[x] Clique sur l'icône en forme de loupe ( en haut à gauche ), puis laisse l'outil scanner.
[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
[x] Rend toi sur Cijoint
[x] Clique sur " Parcourir "
[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
[x] Clique ensuite sur " Cliquez ici pour déposer le fichier " puis copie/colle le lien qui est apparudans ton prochain message
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il faut que tu me donnes le lien cijoint.
Il a cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200912/cijE6Wo0pA.txt
Il a cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200912/cijE6Wo0pA.txt
Ok.. on a du vundo.
Fais ceci :
-+-+-+-> SuperAntiSpyware <-+-+-+-
[x] Télécharge SuperAntiSpyware.
[x] Installe le avec les paramètres par défaut.
[x] A la fin de l'installation, il se lancera et te demandera de choisir la langue du programme, choisis français.
[x] Le programme te proposera ensuite de le mettre à jour, fait le.
[x] Un assistant de configuration s'ouvrira, fais suivant en laissant les paramètres par défaut
[x] SuperAntiSpyware s'ouvrira. Clique sur " Scanner votre ordinateur ".
[x] Coche " Executer scan complet " et clique sur " Suivant ".
[x] Laisse le scan s'opérer.
[x] A la fin du scan, vérifie que tout est coché puis clique sur " Suivant "
[x] Clique ensuite sur terminer, puis clique sur " Préférences ".
[x] Va à l'onglet " Statistiques/Journaux de bord " , séléctionne celui en date d'aujourd'hui puis clique sur " Voir le journal de bord "
[x] Copie/Colle son contenu dans ton prochain message.
[x] Note : tu peux vider la quarantaine ( " La gestion de la quarantaine " au menu principal )
Fais ceci :
-+-+-+-> SuperAntiSpyware <-+-+-+-
[x] Télécharge SuperAntiSpyware.
[x] Installe le avec les paramètres par défaut.
[x] A la fin de l'installation, il se lancera et te demandera de choisir la langue du programme, choisis français.
[x] Le programme te proposera ensuite de le mettre à jour, fait le.
[x] Un assistant de configuration s'ouvrira, fais suivant en laissant les paramètres par défaut
[x] SuperAntiSpyware s'ouvrira. Clique sur " Scanner votre ordinateur ".
[x] Coche " Executer scan complet " et clique sur " Suivant ".
[x] Laisse le scan s'opérer.
[x] A la fin du scan, vérifie que tout est coché puis clique sur " Suivant "
[x] Clique ensuite sur terminer, puis clique sur " Préférences ".
[x] Va à l'onglet " Statistiques/Journaux de bord " , séléctionne celui en date d'aujourd'hui puis clique sur " Voir le journal de bord "
[x] Copie/Colle son contenu dans ton prochain message.
[x] Note : tu peux vider la quarantaine ( " La gestion de la quarantaine " au menu principal )
pour la mise à jour, il faut que je sois connecté au net non ?
j'ai débranché le câble réseau et j'ai redémarré sans prise en compte du réseau... même branché je n'ai pas accès au net normalement
j'ai débranché le câble réseau et j'ai redémarré sans prise en compte du réseau... même branché je n'ai pas accès au net normalement
Je ne peux pas l'installer : SuperAntiSpyware a rencontré un problème et doit fermer..
tu veux le rapport d'erreur ?
tu veux le rapport d'erreur ?
Essaie ceci :
-+-+-+-> AD-Remover <-+-+-+-
[x] Télécharge Ad-remover (de C_XX) sur ton bureau.
▶ Déconnecte toi et ferme toutes applications en cours !
[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))
[x] A la fenêtre qui s'affiche clique sur " oui "
[x] Séléctionne l'option L
[x] Laisse l'outil travailler.
[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre
[x] Copie/colle le dans ton prochain post
-+-+-+-> AD-Remover <-+-+-+-
[x] Télécharge Ad-remover (de C_XX) sur ton bureau.
▶ Déconnecte toi et ferme toutes applications en cours !
[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))
[x] A la fenêtre qui s'affiche clique sur " oui "
[x] Séléctionne l'option L
[x] Laisse l'outil travailler.
[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre
[x] Copie/colle le dans ton prochain post
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 19.12.2009 à 18:14
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:22:58, 19/12/2009 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: NES | Utilisateur actuel: Administrateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
C:\Program Files\Viewpoint
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint
(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{4D25F926-B9FE-4682-BF72-8AB8210D6D75}
HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\software\MetaStream
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\software\microsoft\windows\currentversion\uninstall\ViewpointMediaPlayer
HKLM\software\Viewpoint
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 7.0.5730.11 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Use Search Asst: no
Use Custom Search URL: 00000000
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main\Start Page
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
2416 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
0 Fichier(s) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
0 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
50 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 20:00:01 | 19/12/2009 - CLEAN[1]
.
============== E.O.F ==============
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 19.12.2009 à 18:14
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:22:58, 19/12/2009 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: NES | Utilisateur actuel: Administrateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
C:\Program Files\Viewpoint
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint
(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{4D25F926-B9FE-4682-BF72-8AB8210D6D75}
HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\software\MetaStream
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\software\microsoft\windows\currentversion\uninstall\ViewpointMediaPlayer
HKLM\software\Viewpoint
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 7.0.5730.11 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Use Search Asst: no
Use Custom Search URL: 00000000
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main\Start Page
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
2416 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
0 Fichier(s) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
0 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
50 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 20:00:01 | 19/12/2009 - CLEAN[1]
.
============== E.O.F ==============
.
Renomme l'installateur de superantispyware en ' firefox.exe ' puis installe le. Passe ensuite un scan
en fait ça ne se lance pas et j'ai ce message : "l'administrateur système a configuré la politique de votre système pour interdire cette installation "
on voit bien que l'installer est stoppé. y'a msieexec.exe qui tourne aussi.
on voit bien que l'installer est stoppé. y'a msieexec.exe qui tourne aussi.
Allo HOUSTON...? On a un problème ?
Une autre question :
Est-ce que je pourrais tenter un restore via l'invite de commande...?
J'en ai une potable du 14.12
Tiens, je viens de me rappeler qu'au début du problème (quand la boîte "security centre alert" s'est ouverte), y'a adobe pdf qui s'est lancé... Si ça peut aider...
Entre temps, je me suis demandé : "Quoi, ce serait moi qui aie bloqué windows installer ?"
Ce serait étonnant, j'ai réussi à installer d'autres softs sans problème la veille du problème..
Une autre question :
Est-ce que je pourrais tenter un restore via l'invite de commande...?
J'en ai une potable du 14.12
Tiens, je viens de me rappeler qu'au début du problème (quand la boîte "security centre alert" s'est ouverte), y'a adobe pdf qui s'est lancé... Si ça peut aider...
Entre temps, je me suis demandé : "Quoi, ce serait moi qui aie bloqué windows installer ?"
Ce serait étonnant, j'ai réussi à installer d'autres softs sans problème la veille du problème..
Hello.
Une restauration.. faut voir. En général, les malwares se cachent dedans. Mais si tu as possibilité d'en faire une, fais le. Poste moi ensuite un nouveau rapport ZHPDiag histoire de vérifier qu'il n'y a rien d'autre.
Une restauration.. faut voir. En général, les malwares se cachent dedans. Mais si tu as possibilité d'en faire une, fais le. Poste moi ensuite un nouveau rapport ZHPDiag histoire de vérifier qu'il n'y a rien d'autre.
je fais juste un scanreg/restore
ou il faut que je le lance de C:/WINDOWS/??/restore
et est-ce que je me log en admin ou ma session ?
ou il faut que je le lance de C:/WINDOWS/??/restore
et est-ce que je me log en admin ou ma session ?
scanreg/restore ? Je connais pas.
Pour restaurer via l'invite de commande :
-> Démarrer, executer. Tu tapes '' cmd ''
-> Dans l'invite de commande, tu saisis : %windir%\system32\restore\rstrui.exe
-> Tu valides par ' entrée ' , et tu suis les indications données.
Pour restaurer via l'invite de commande :
-> Démarrer, executer. Tu tapes '' cmd ''
-> Dans l'invite de commande, tu saisis : %windir%\system32\restore\rstrui.exe
-> Tu valides par ' entrée ' , et tu suis les indications données.
ha parce que j'ai lancé le démarrage en invite de commande directement, je crois que je ne vais pas tomber sur le bureau normalement.
en fait je pensais lancer le restore avec ça :
Sauvegarde et Restauration par le MS-DOS
Redémarrez en MS-DOS, puis, une fois au prompt, tapez la commande :
scanreg/restore
Un écran bleu apparaît et nous demande de sélectionner la sauvegarde, précédemment effectuer à restaurer. Normalement, on doit avoir 5 sauvegardes classées par ordre chronologiques. On sélectionne la dernière en date.
Pour infos une petite liste des options de la commande SCANREG :
* /backup: sauve la base sans message utilisateur
* /restore: affiche la liste des sauvegardes disponibles
* /fix: la répare
* /autoscan : scanne la base à chaque lancement mais ne la sauvegarde qu'une fois par jour (utilisé comme commande dans autoexec.bat).
* /scanonly : scanne la base de registre et retourne les erreurs éventuelles mais ne fait pas de backup.
* /opt : défragmente la base de registre et optimise celle-ci.
en fait je pensais lancer le restore avec ça :
Sauvegarde et Restauration par le MS-DOS
Redémarrez en MS-DOS, puis, une fois au prompt, tapez la commande :
scanreg/restore
Un écran bleu apparaît et nous demande de sélectionner la sauvegarde, précédemment effectuer à restaurer. Normalement, on doit avoir 5 sauvegardes classées par ordre chronologiques. On sélectionne la dernière en date.
Pour infos une petite liste des options de la commande SCANREG :
* /backup: sauve la base sans message utilisateur
* /restore: affiche la liste des sauvegardes disponibles
* /fix: la répare
* /autoscan : scanne la base à chaque lancement mais ne la sauvegarde qu'une fois par jour (utilisé comme commande dans autoexec.bat).
* /scanonly : scanne la base de registre et retourne les erreurs éventuelles mais ne fait pas de backup.
* /opt : défragmente la base de registre et optimise celle-ci.
