trojan\win32-agent.daq Résolu

Question

Salut à tous,

Voila le problème. Depuis hier le cheval de troie 'trojan\win32-agent.daq' se manifeste sur mon ordinateur lors du lancement du jeu Everest poker.
Malwarebites ne m'a rien détecté et kapersky détecte uniquement quand je tente de lancé le jeu.
J'ai téléchargé Ccleaner et réalisé un nettoyage mais toujours pas de mieux.

Du coup j'espère pouvoir trouver ici quelqu'un qui pourra m'aider.

Voici de rapport HijackThis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:59:02, on 02/10/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32	askhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\PLFSetL.exe
C:\Windows\PLFSetI.exe
C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Program Files\CyberLink\Shared Files\brs.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\StoufPolo\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD9\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques d'Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\scieplgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nv(
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0CA24E7-1E53-4238-98BC-402144BE560E}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{A0CA24E7-1E53-4238-98BC-402144BE560E}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{A0CA24E7-1E53-4238-98BC-402144BE560E}: NameServer = 192.168.1.1
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\system32\drivers\pclepci.sys
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

-- 
End of file - 9300 bytes


Merci d'avance et bonne journée

Utilisateur anonyme · Answer

bonjour,
tu es sous seven !
passe plutôt ceci :

* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

polo-05 · Answer

bonjour electricien69,

et merci pour ta reponse rapide.

Oui, je suis bien sous seven.

voila le rapport zhpdiag

http://www.cijoint.fr/cjlink.php?file=cj201010/cij5O3cS5h.txt.

Merci encore

Utilisateur anonyme · Answer

bonjour,
le fichier est inacessible !

réessaie à nouveau de l'héberger  :-)

@++

polo-05 · Answer

salut electricien 69

nouvelle tentative, voici le rapport 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijBTmrxVG.txt

merci a+

Utilisateur anonyme · Answer

je l'ai ton trojan, mais je te demande juste de faire cette manip avant de le virer :



Rends-toi à cette adresse : 

https://www.bleepingcomputer.com/submit-malware.php?channel=12 

Remplis le formulaire ainsi : 

Link to topic where this file was requested: 
=> Copie-colle l'adresse de cette discussion : 

https://forums.commentcamarche.net/forum/affich-19362481-trojan-win32-agent-daq

Browse to the file you want to submit: 
=> Sélectionne ce fichier : 

C:\Windows\system32\sshnas21.dll 


Leave any comments, further information about this file, or contact information: 
=> Copie-colle ceci : 
De la part de Electricien69 pour Infection FakeAlert (Trojan.Downloader). Merci

polo-05 · Answer

gros probleme, 

le fichier  C:\Windows\system32\sshnas21.dll est pas la. 

Aurait il pu disparaitre apres l'utilisation de Cleaner ou quelque chose comme ca?

Utilisateur anonyme · Answer

Ccleaner ne supprime pas ce genre de fichiers ! ! 


je vois que tu as déjà utilisé ADRemover, relance le, puis clique sur désinstaller 

mais on va vérifier : 


* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)  
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
Copie/colle les lignes suivantes en gras et place les dans ZHPFix :  

----------------------------------------------------------  

[HKCU\Software\LdShih]   
O53 - SMSR:HKLM\...\startupreg\Halo2  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\Windows\system32\sshnas21.dll   

----------------------------------------------------------  

- Clique sur « Tous », puis sur « Nettoyer »  
- Copie/colle la totalité du rapport dans ta prochaine réponse 
Tuto : 
http://www.premiumorange.com/zeb-help-process/zhpfix.html 





O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

polo-05 · Answer

voici le rapport

Rapport de ZHPFix 1.12.3205 par Nicolas Coolman, Update du 29/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-03-10-2010-11-57-54.txt
Run by StoufPolo at 03/10/2010 11:57:54
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\LdShih  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Halo2 [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\Windows\system32\sshnas21.dll  => Clé supprimée avec succès

========== Fichier(s) ==========
c:\windows\system32\sshnas21.dll ()   => Fichier absent


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Fichier(s)


End of the scan

Utilisateur anonyme · Answer

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

ou ici : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

polo-05 · Answer

j ai Mbam,

je vais faire les mises a jour et lancé le scan.

Utilisateur anonyme · Answer

regarde bien que tu disposes de la version 1.46, puis la base de données 4733 ou superieur, ça fait gagner du temps  ;-)

polo-05 · Answer

c'était long,

ca a pris 2h30 mais a y est

j 'ai supprimé 2 fichiers infectés. voila le rapport:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4735

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

03/10/2010 14:38:55
mbam-log-2010-10-03 (14-38-55).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 369785
Temps écoulé: 2 heure(s), 26 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Sources\Nero8\Nero 8 Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\Sources\Nero8\Ubehage\Nero 8 Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

polo-05 · Answer

Penses tu que c'est ok maintenant?

Utilisateur anonyme · Answer

relance MBAM, vide sa quarantaine seulement,

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »

.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner



*	pour supprimer les outils de désinfection :
Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*lance le en option 2 et poste son rapport sur ton prochain message
**pour le désinstaller, il suffit de le supprimer manuellement

*	Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

Pour Windows 7 :
 
http://www.jenyburn.com/home/comment-desactiver-la-restauration-du-systeme-sous-windows-7

fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat  ;-)

polo-05 · Answer

je viens de faire tout ce que tu m'as expliqué,

je lance le scan.

par contre, faut il que je reactive la restauration système dans le sens inverse de ce que j'ai fait pour reactiver???

Le scan dés qu'il arrive.

polo-05 · Answer

pour delfi aussi, je n'ai pas reussi a le lancer en option2, je n'ai pas trouvé cette option, 'est grave???

je te mets deja ce rapport:

Rapport DelFix v5.1 - 03/10/2010 à 19:56,48
Mis à jour le 03/10/10 à 11h par Xplode
Système d'exploitation : Windows 7 Professional (32 bits) [version 6.1.7600] 
Navigateur : Google Chrome  [Navigateur par défaut]
Processeur : Intel(R) Core(TM)2 Duo CPU     T5250  @ 1.50GHz
Mémoire vive totale : 1,99 Go
Nom d'utilisateur : StoufPolo - PC-STOUFPOLO (Administrateur)
Exécuté depuis : C:\Users\StoufPolo\Downloads\DelFix.exe


~~~~~~ Dossiers ~~~~~~

Présent: C:\RSIT
Présent: C:\Program Files\ZHPDiag

~~~~~~ Fichiers ~~~~~~

Présent: C:\Ad-Report-CLEAN[1].txt
Présent: C:\Users\StoufPolo\Desktop\ZHPDiag.Txt
Présent: C:\Users\StoufPolo\Desktop\ZHPFixReport.txt
Présent: C:\Users\Public\Desktop\ZHPDiag.lnk
Présent: C:\Users\Public\Desktop\ZHPFix.lnk
Présent: C:\Users\Public\Desktop\MBRCheck.lnk
Présent: C:\Users\StoufPolo\Downloads\RSIT.exe
Présent: C:\Users\StoufPolo\Downloads\HiJackThis.exe
Présent: C:\Users\StoufPolo\Downloads\hijackthis.log
Présent: C:\Users\StoufPolo\Downloads\ZHPDiag.exe

~~~~~~ Registre ~~~~~~

Clé Présente: HKLM\Software\TrendMicro
Clé Présente: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1


########## EOF - "C:\DelFixSearch.txt" - [1292 octets] ##########

Utilisateur anonyme · Answer

tu désactives, puis valider, puis réactive la restauration système, ceci permet de tout purger, regrade la fin de ce poste, il y a un tuto :

https://forums.commentcamarche.net/forum/affich-19362481-trojan-win32-agent-daq#15

polo-05 · Answer

sur le tuto, il n'y a que la desactivation,
j'en ait déduis que la réactivation se faisait de la même manière,
c'est bon je pense?

polo-05 · Answer

gros probleme, pendant le scan par kapersky, l'ordi a planté une premiere fois, j'ai redamarré puis seconde fois planté pendant la deuxieme analyse.
Après l'ordi ne redemarrait plus, il bloquait au début.

Un conseil???

Utilisateur anonyme · Answer

redemarre ton pc en mode sans echec avec la prise en charge du réseau, regrade dans la quarantaine de kaspersky, il a du viré un fichier légitime, restaure le fichier,
ça va redemarer

j'aime pas kaspersky pour ça !!!

polo-05 · Answer

j'ai redémarré mais je ne suis pas en mode sans echec.

en quarantaine il n'y a que ces2 dossiers :

-En quarantaine cheval de Troie Trojan-Proxy.Win32.Agent.daq	
C:\program files\everest poker.fr\gvmain.exe	03/10/2010 09:26:26
-En quarantaine cheval de Troie Trojan-Proxy.Win32.Agent.daq	
C:\program files\everest poker.fr\casino.exe	03/10/2010 09:25:52

j'ai fait un eam rapide avec mbam, rien de detecté.

J'ai donc refait un mise a jour de kapersky et je viens de lancer un nouveau scan omplet.

On verra bien

polo-05 · Answer

Voila, 

j'ai fait 2 scan complets

le premier avec kaspersky, mais je ne trouve pas de rapport,

le second avec MBAM, je te poste le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4735

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

04/10/2010 13:14:15
mbam-log-2010-10-04 (13-14-15).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 368757
Temps écoulé: 5 heure(s), 28 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

merci

Utilisateur anonyme · Answer

bonjour,
que dit le scan nde kaspersky ?

polo-05 · Answer

Salut Electricien 69 et encore meri de ta patience.

Le scan de kapersky n'a rien detecté mais il a mis plus de 7 heure au total.

Je ne sais pas si il y a un rapport du scan, en tout cas je ne le trouve pas.

Mais voila ce que je trouve:

Voici ce que j'ai dans la catégorie 'menaces en quarantaine':

- En quarantaine cheval de Troie Trojan-Proxy.Win32.Agent.daq    C:\program files\everest poker.fr\gvmain.exe    03/10/2010 09:26:26
- En quarantaine cheval de Troie Trojan-Proxy.Win32.Agent.daq    C:\program files\everest poker.fr\casino.exe    03/10/2010 09:25:52


Ce que j'ai en dossier sauvegardé:

- Supprimés cheval de Troie Trojan-Proxy.Win32.Agent.daq	C:\Program Files\Everest Poker.fr\casino.exe	03/10/2010 09:30:19
- Supprimés cheval de Troie Trojan-Proxy.Win32.Agent.daq	C:\Program Files\Everest Poker.fr\gvmain.exe	03/10/2010 09:30:11


Aucune menaces actives

C'est écrit que l'ordinateur est protégé.

A++

Utilisateur anonyme · Answer

si kaspersky n'a rien trouvé, crée un nouveau point de restauration système, ça peut servire  ;-)

si tu n'as plus d'autres soucis, il ne me este plus qu'à te souhaiter un bon surf et une bonne soirée  ;-)

polo-05 · Answer

une petite derniere pour la fin 

qu'est ce que tu veux dire par une restauration système?

et faut-il que je supprime les menaces en quarantaine sur kapersky?

Utilisateur anonyme · Answer

qu'est ce que tu veux dire par une restauration système?  

*Regarde ici 

et faut-il que je supprime les menaces en quarantaine sur kapersky? 

**oui, mais avant de créer un point de restauration système  :-) 



O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Trojan\win32-agent.daq - Page 2

Discussions similaires

Newsletters