Cheval de troie

Résolu
vertebre -  
 vertebre -
Bonjour,
j'aimerais savoir comment retirer ce cheval de troie Agent 2.BZFQ qui apparait à chaque démarage de mon pc(windows7).Mon AVG anti virus me lance une fenetre disant: menace dans :C\program files\installer\networker.exe cheval de troie Agent2.BZFQ.
Je le met en quarantaine mais dès le prochain démarage il réapparait.
merci de votre aide
A voir également:

5 réponses

Réponse 1 / 5
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
Bonjour,

Tu as été infecté par un adware qui s'appelle Installpedia.

--------------------------------------------------

Désinstalle via le panneau de configuration le programme qui s'appelle Installer.

--------------------------------------------

Puis

Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante. 

 netsvcs 
Drivers32
msconfig  
activex
/md5start   
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT


* Enfin, clique sur le bouton Analyse rapide.

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.

A+
1
vertebre
 
voici les liens
http://www.cijoint.fr/cjlink.php?file=cj201101/cij1BBXx7u.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijBU5zphZ.txt
0
Réponse 2 / 5
vertebre
 
merci voilà les deux liens
http://www.cijoint.fr/cjlink.php?file=cj201101/cijBU5zphZ.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cij1BBXx7u.txt
0
Réponse 3 / 5
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
Re,

Une question :
Je remarque que tu as installé Malwarebytes dernièrement.
As-tu lancé un examen complet du PC ?

Si oui, peux-tu poster le rapport obtenu ?
Il se trouve dans l'onglet rapports/logs.

----------------------------------------------

Relance OTL.exe.

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant : 

:OTL
SRV - [2010/12/16 17:03:08 | 000,008,192 | ---- | M] () [Auto | Running] -- C:\Windows\BackupIP\service.exe -- (sdmBackupIP)
O4 - HKLM..\Run: [installer] C:\Program Files (x86)\Installer\lnetworker.exe File not found
[2010/12/25 10:51:27 | 000,000,000 | ---D | C] -- C:\Users\raphael\AppData\Local\networker
[2010/12/25 10:51:21 | 000,000,000 | ---D | C] -- C:\Users\raphael\AppData\Local\assembly
[2010/12/25 09:22:05 | 000,000,000 | ---D | C] -- C:\Program Files\Installer
[2010/12/25 09:18:15 | 000,000,000 | ---D | C] -- C:\Windows\BackupIP
[2010/12/25 09:18:10 | 000,197,632 | ---- | C] (Dino Chiesa) -- C:\Windows\SysWow64\Ionic.Zip.Reduced.dll

:Commands
[EMPTYTEMP]
[EMPTYFLASH]


* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

A+
0
vertebre
 
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5477

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07/01/2011 19:08:22
mbam-log-2011-01-07 (19-08-22).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 153591
Temps écoulé: 1 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
vertebre
 
voilà le rapport:
All processes killed
========== OTL ==========
Service sdmBackupIP stopped successfully!
Service sdmBackupIP deleted successfully!
C:\Windows\BackupIP\service.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\installer deleted successfully.
C:\Users\raphael\AppData\Local\networker\Domain_2_Url_n0qra2lepgk5mnhfohfos0msv3fvos5h\1.0.0.0 folder moved successfully.
C:\Users\raphael\AppData\Local\networker\Domain_2_Url_n0qra2lepgk5mnhfohfos0msv3fvos5h folder moved successfully.
C:\Users\raphael\AppData\Local\networker folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\tmp folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\59a8e657\00c6edba_3a9dcb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\59a8e657 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\f8dd52b3_b5aacb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\efb585a4_81a4cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\cd49209b_35a5cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\9ae0fc1a_94aacb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\926c9f40_eda5cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\8f62ef35_21a4cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\83a6513e_6ca4cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\7b1a5d02_c7a9cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\62fb37c8_1ea4cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\588ff970_4ba7cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\4cff1b47_b3a5cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\369171a2_18a4cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\2530f17c_84abcb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\20bd77f3_76a6cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\17b273af_0fabcb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc\0e9928e1_fca4cb01 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356\096993dc folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ\PYJYDA01.356 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3\YM2L4WH7.EGZ folder moved successfully.
C:\Users\raphael\AppData\Local\assembly\dl3 folder moved successfully.
C:\Users\raphael\AppData\Local\assembly folder moved successfully.
C:\Program Files\Installer folder moved successfully.
C:\Windows\BackupIP folder moved successfully.
C:\Windows\SysWOW64\Ionic.Zip.Reduced.dll moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: raphael
->Temp folder emptied: 172310677 bytes
->Temporary Internet Files folder emptied: 62556528 bytes
->Java cache emptied: 2023 bytes
->Flash cache emptied: 27876 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 17797014 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50406 bytes
RecycleBin emptied: 7900566 bytes

Total Files Cleaned = 249,00 mb


[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: raphael
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01082011_111957

Files\Folders moved on Reboot...
C:\Users\raphael\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\raphael\AppData\Local\Temp\~DF2A99A5CE0A5C0D4D.TMP not found!
File\Folder C:\Users\raphael\AppData\Local\Temp\~DF41186439811A59C3.TMP not found!
File\Folder C:\Users\raphael\AppData\Local\Temp\~DF59D3C0C7700DC7CB.TMP not found!
File\Folder C:\Users\raphael\AppData\Local\Temp\~DF6689E980C5DBB65B.TMP not found!
File\Folder C:\Users\raphael\AppData\Local\Temp\~DFDE7A0C5E374C02F3.TMP not found!
File\Folder C:\Users\raphael\AppData\Local\Temp\~DFE0BBBC1A6C1F3F2C.TMP not found!
C:\Users\raphael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YWPPYU9U\ads[1].htm moved successfully.
C:\Users\raphael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RW6HFWNZ\affich-20449901-cheval-de-troie[1].htm moved successfully.
C:\Users\raphael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\HIHNCQ9N\ads[1].htm moved successfully.
C:\Users\raphael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
C:\Users\raphael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

Registry entries deleted on Reboot...
0
Réponse 4 / 5
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
vertebre,

C'est tout bon.

fais un scan en ligne avec ESET et poste le rapport :
tuto : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Il y aura quelques recommandations ensuite , si le scan en ligne ne trouve rien, on terminera alors.

A+
0
vertebre
 
je viens de finir le scan avec ESET et aucune menaces n'a été détecté
0
vertebre
 
quelle est l'etape suivante?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
verni29 Messages postés 6699 Date d'inscription   Statut Contributeur sécurité Dernière intervention   180
 
Re,

On termine alors.

--------------------------------------

mets à jour ton PC.
Essentiel pour ne pas avoir d'infections en surfant sur le net.

1/ Désinstalle la version actuelle d'Adobe reader et mets à jour le reader :
Adobe reader X ( plus sécurisé ) :
https://get2.adobe.com/fr/reader/otherversions/

2/ Idem pour java.
mise à jour ( version 64 bits ) : https://www.java.com/fr/download/help/java_win64bit.html
Tu pourras ensuite supprimer les versions antérieures

Si tu as des questions sur ces manips, n'hésite pas.

--------------------------------------

On enlève les outils .

Ouvre OTL et clique sur Purge Outils.
Cela redémarrera le PC.

-----------------------------------------

Crée un point de restauration.

Idem, si tu as des questions.

---------------------------------------

Une lecture intéressante : projet antimalwares : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

-----------------------------------------

En te souhaitant bonne lecture et bon surf.

Salut.
0
vertebre
 
merci pour tout
A+
0

Discussions similaires

expressions francaises
bifaka -
lanonyme -

4 réponses
Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses
comment se debarasser d un cheval de troie
jennyfer1 -
MrMaDGaME -

66 réponses