Troyan Spy.Agent.btf
Fermé
nicolsman
Messages postés
248
Date d'inscription
mardi 6 octobre 2009
Statut
Membre
Dernière intervention
16 juillet 2017
-
4 mai 2010 à 15:47
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 13 mai 2010 à 23:54
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 13 mai 2010 à 23:54
A voir également:
- Troyan Spy.Agent.btf
- Troyan remover - Télécharger - Antivirus & Antimalwares
11 réponses
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
4 mai 2010 à 15:48
4 mai 2010 à 15:48
Salut nicolsman
Poste ton rapport d'Antivir
On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse
Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/
- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint
- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.
Et fais la même chose avec l'autre rapport C:\rsit\info.txt
@++ :)
Poste ton rapport d'Antivir
On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse
Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/
- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint
- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.
Et fais la même chose avec l'autre rapport C:\rsit\info.txt
@++ :)
nicolsman
Messages postés
248
Date d'inscription
mardi 6 octobre 2009
Statut
Membre
Dernière intervention
16 juillet 2017
16
4 mai 2010 à 15:55
4 mai 2010 à 15:55
J'ai lancé RSIT et un scan est apparu. Voici l'adresse : https://www.cjoint.com/?fep2HnBoiH
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
4 mai 2010 à 16:06
4 mai 2010 à 16:06
Salut nicolsman
Faire un scan de ce fichier atmafmon.dll ici :
https://www.virustotal.com/gui/
Clique sur Parcourir et copie/colle ceci :
C:\WINDOWS\system32\atmafmon.dll
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.
Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.
Poste le résultat au complet
Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
@++ :)
Faire un scan de ce fichier atmafmon.dll ici :
https://www.virustotal.com/gui/
Clique sur Parcourir et copie/colle ceci :
C:\WINDOWS\system32\atmafmon.dll
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.
Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.
Poste le résultat au complet
Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
@++ :)
nicolsman
Messages postés
248
Date d'inscription
mardi 6 octobre 2009
Statut
Membre
Dernière intervention
16 juillet 2017
16
4 mai 2010 à 16:12
4 mai 2010 à 16:12
Voici le nouveau rapport :
http://www.virustotal.com/fr/analisis/3463143d339b242b46e12c740bd97971c506c83ec41d650b1c11c94217dc0440-1272982234
http://www.virustotal.com/fr/analisis/3463143d339b242b46e12c740bd97971c506c83ec41d650b1c11c94217dc0440-1272982234
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
4 mai 2010 à 16:28
4 mai 2010 à 16:28
Salut nicolsman
Télécharge OTM (de Old_Timer) sur le bureau :
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
Double-clique sur OTM.exe sur le bureau
- Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved
:services
IomegaAccess
gAGP440p
:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Instant Access]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"regsvcdll"=-
:files
C:\WINDOWS\atmafmon.dll
C:\WINDOWS\system32\atmafmon.dll
C:\WINDOWS\system32\regsvcdll.exe
:commands
[emptytemp]
- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM
Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.
Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.
-----
Télécharge et installe UsbFix par El Desaparecido , C_XX & Chimay8
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.
* Double clic sur le raccourci UsbFix présent sur ton bureau .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
* Laisse travailler l'outil.
* Ensuite poste le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note2 : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
@++ :)
Télécharge OTM (de Old_Timer) sur le bureau :
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
Double-clique sur OTM.exe sur le bureau
- Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved
:services
IomegaAccess
gAGP440p
:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Instant Access]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"regsvcdll"=-
:files
C:\WINDOWS\atmafmon.dll
C:\WINDOWS\system32\atmafmon.dll
C:\WINDOWS\system32\regsvcdll.exe
:commands
[emptytemp]
- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM
Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.
Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.
-----
Télécharge et installe UsbFix par El Desaparecido , C_XX & Chimay8
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.
* Double clic sur le raccourci UsbFix présent sur ton bureau .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
* Laisse travailler l'outil.
* Ensuite poste le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note2 : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
@++ :)
nicolsman
Messages postés
248
Date d'inscription
mardi 6 octobre 2009
Statut
Membre
Dernière intervention
16 juillet 2017
16
4 mai 2010 à 16:43
4 mai 2010 à 16:43
comment je fais? Je lance OTM et tout de suite après je ferme OTM?? Car mon ordi il beugue en faisant ça.
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
4 mai 2010 à 16:52
4 mai 2010 à 16:52
Salut nicolsman
Désactive Antivir :
Clique droit sur l'icône a coté de l'horloge -> clique sur "AntivirGuard enable" pour décocher, le parapluie, dans la zone de notification, doit être fermé.
Tu lances OTM en double cliquant dessus et tu entre le script donner en gras dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved et clique sur MoveIt! pour lancer la suppression.
@++ :)
Désactive Antivir :
Clique droit sur l'icône a coté de l'horloge -> clique sur "AntivirGuard enable" pour décocher, le parapluie, dans la zone de notification, doit être fermé.
Tu lances OTM en double cliquant dessus et tu entre le script donner en gras dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved et clique sur MoveIt! pour lancer la suppression.
@++ :)
nicolsman
Messages postés
248
Date d'inscription
mardi 6 octobre 2009
Statut
Membre
Dernière intervention
16 juillet 2017
16
4 mai 2010 à 16:54
4 mai 2010 à 16:54
Après de nombreux essais l'ordi s'est éteins. A voir il n'y a plus ce msg d'alerte. Merci bcp de ton aide
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
4 mai 2010 à 17:11
4 mai 2010 à 17:11
Salut nicolsman
OK, fais le scan avec UsbFix maintenant et poste le rapport
@++ :)
OK, fais le scan avec UsbFix maintenant et poste le rapport
@++ :)
nicolsman
Messages postés
248
Date d'inscription
mardi 6 octobre 2009
Statut
Membre
Dernière intervention
16 juillet 2017
16
Modifié par nicolsman le 12/05/2010 à 18:40
Modifié par nicolsman le 12/05/2010 à 18:40
C'est important si je me suis arrêté à OTM?
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
13 mai 2010 à 23:54
13 mai 2010 à 23:54
Salut nicolsman
Bien faut faire la suite avec UsbFix, ton périphérique D:\ est probablement infecté.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
shell\AutoRun\command - D:\Info.exe folder.htt 480 480
@++ :)
Bien faut faire la suite avec UsbFix, ton périphérique D:\ est probablement infecté.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
shell\AutoRun\command - D:\Info.exe folder.htt 480 480
@++ :)