Cheval de troie Agent2 BFZQ

Résolu
Sckotch Messages postés 8 Statut Membre -  
 Camille739 -
Bonjour,
Tout comme ces deux sujets : https://forums.commentcamarche.net/forum/affich-20449901-cheval-de-troie et https://forums.commentcamarche.net/forum/affich-20430735-cheval-de-troie-agent-2-bzfq

Je suis infecté par un virus cheval de troie Agent2 BFZQ qui est détecté par mon antivirus AVG et placé en quarantaine.

Le problème est qu'il revient à chaque démarrage...

Je possède windows 7 home premium 64 bits.

Ce serait très très très gentil de m'aider à me débarrasser de cet crasse tout comme les deux sujets du dessus !

Je sais que Lyonnais92 à l'air de s'y connaitre alors, sil vous plait, A L'AIDE :)

Merci d'avance.

Skotch.

14 réponses

  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonjour,

    As-tu le nom du fichier détecté ?

    Fais ceci :

    -+-+-+-+-> ZHPDiag <-+-+-+-+-

    [x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

    [x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

    [x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

    [x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

    [x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

    [x] Rend toi sur cjoint puis clique sur " Parcourir ".

    [x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

    [x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
    0
  2. Sckotch Messages postés 8 Statut Membre
     
    Salut merci de ton aide mais désolé j'ai déja suivit la marche a suivre de lyonnais 92 à savoir :

    "Tu as été infecté par un adware qui s'appelle Installpedia.

    --------------------------------------------------

    Désinstalle via le panneau de configuration le programme qui s'appelle Installer.

    --------------------------------------------

    Puis

    Télécharge OTL (de OldTimer) sur ton Bureau.
    http://oldtimer.geekstogo.com/OTL.scr

    Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

    * Double-clique sur OTL.scr pour le lancer.
    Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
    * Sélectionne l'option tous les utilisateurs.
    * Dans la partie Personnalisation, copie/colle la liste suivante.

    netsvcs
    Drivers32
    msconfig
    activex
    /md5start
    winlogon.exe
    explorer.exe
    wininit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %appdata%\*.exe /s
    %APPDATA%\*.
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    CREATERESTOREPOINT

    * Enfin, clique sur le bouton Analyse rapide.

    * Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise un site comme http://cijoint.fr pour les déposer.
    indique ensuite les deux liens crées.

    A+"

    Je suis en train de faire l'analyse rapide et ensuite je déposerai les résultats je suppose sur cijoint.fr et je communiquerai les resultats

    Est ce que tu sera m'aider à partir de la? :)

    Merci beaucoup
    0
    1. Camille739
       
      Excusez-moi, j'ai le même cheval à la con, j'ai fait l'analyse avec OTL, j'ai les 2 fenêtres ouvertes, Extras.txt et OTL.txt, par contre pour les mettre sur ci-joint, je fais comment? il faut que je les mettent en pièce jointe ds un mail ou je sais pas comment faire. Dsl je m'y connais pas des masses en informatique, je fais ce que je peux. Ce n'est pas mon ordinateur, je pars ce soir et j'aimerai bien l'éradiquer avant de partir car c'est en téléchargeant zip7 que le bouurin est arrivé. Merci de me faire part de vos lumières si c'est possible.
      0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Re,

    Ok, pas de problèmes. J'attends donc tes deux rapports OTL ( extras.txt et OTL.txt ) préalablement hébergés sur cijoint.

    @+
    0
  4. Sckotch Messages postés 8 Statut Membre
     
    Voila pour Extras: http://www.cijoint.fr/cjlink.php?file=cj201101/cijL5b1RAV.txt
    et pour OTL : http://www.cijoint.fr/cjlink.php?file=cj201101/cij5X3Kvzw.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Re,

    Effectivement, ton PC est infecté par l'adware InstallPedia qui s'attrape via des codecs piégés ( ou via un faux plugin VLC )

    -> Voir ici pour plus d'informations.

    Afin de le supprimer, suis ces instructions :

    -+-+-+-+-> AD-Remover <-+-+-+-+-

    [x] Télécharge AD-Remover ( de C_XX ).

    [x] Lance AD-Remover puis choisis l'option " Nettoyer ".

    Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

    [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

    [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

    ==================================================================================================================

    Une fois la suppression d'Ad-Remover effectuée, refais un nouveau rapport OTL et héberge le sur cjoint ( le fichier OTL.txt uniquement ) , poste moi ensuite le lien.

    J'attends donc :

    - Le rapport Ad-Remover
    - Le rapport OTL.txt après passage d'Ad-Remover

    @+
    0
  7. Sckotch Messages postés 8 Statut Membre
     
    Le rapport Ad-Remover:

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 09/01/11 à 12:30
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:26:05 le 09/01/2011, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X64)
    Maxmatt@MAXMATT-HP (Hewlett-Packard HP Pavilion dv6 Notebook PC)

    ============== ACTION(S) ==============

    Service: "sdmBackupIP" Stoppé et supprimé

    Fichier supprimé: C:\Windows\SysWOW64\Utils.dll
    Dossier supprimé: C:\Windows\BackupIP
    Dossier supprimé: C:\Program Files (x86)\Conduit
    Dossier supprimé: C:\Users\Maxmatt\AppData\Local\networker

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2645238
    Clé supprimée: HKLM\Software\Install Pedia Limited
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKCU\Software\Conduit
    Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|installer

    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 7 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 09/01/2011 (2591 Octet(s))

    Fin à: 16:27:12, 09/01/2011

    ============== E.O.F ==============

    POur le rapport OTL, je ne sais pas sil fallait remettre la longue liste dans personnalisation ou pas et si il fallait mettre touts les utilisateurs....

    Voici celui avec la longue liste dans personnalisation ET l'option touts les utilisateurs:

    OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201101/cij7Nr5dpl.txt

    !!!!!!!!!!!!!!!!!!! je n'ai pas encore supprimé Ad remover, ce n'est pas grave?

    Remerci !
    0
  8. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Re,

    Ok. Ad-Remover a bien supprimé l'infection mais il a laissé un dossier infectieux.

    Relance OTL puis copie/colle le texte suivant sous la partie [Personnalisation] :

    :OTL
    
    O18:[b]64bit:[/b] - Protocol\Handler\avgsecuritytoolbar {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - Reg Error: Key error. File not found
    O18:[b]64bit:[/b] - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Reg Error: Key error. File not found
    
    :Files
    
    C:\Program Files\Installer 
    
    :Commands
    
    [emptytemp]
    [emptyflash]


    Clique sur [Correction] et poste moi le rapport qui s'ouvrira à l'écran.
    0
  9. Sckotch Messages postés 8 Statut Membre
     
    voici le rapport:

    All processes killed
    ========== OTL ==========
    ========== FILES ==========
    C:\Program Files\Installer folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Maxmatt
    ->Temp folder emptied: 288028834 bytes
    ->Temporary Internet Files folder emptied: 110311796 bytes
    ->Java cache emptied: 0 bytes
    ->Google Chrome cache emptied: 31382661 bytes
    ->Flash cache emptied: 3753 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 135574 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 410,00 mb

    [EMPTYFLASH]

    User: All Users

    User: Default

    User: Default User

    User: Maxmatt
    ->Flash cache emptied: 0 bytes

    User: Public

    Total Flash Files Cleaned = 0,00 mb

    OTL by OldTimer - Version 3.2.20.1 log created on 01092011_170456

    Files\Folders moved on Reboot...
    C:\Users\Maxmatt\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

    Registry entries deleted on Reboot...
    0
  10. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok. Comment se porte le PC ?

    -+-+-+-+-> DelFix <-+-+-+-+-

    [x] Télécharge DelFix sur ton bureau.

    [x] Lance le et appuie sur [Suppression]

    [x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

    Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

    [x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].

    -+-+-+-+-> Purger la restauration système <-+-+-+-+-

    [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

    [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

    [x] Tutoriels :

    - Windows XP
    - Windows Vista
    - Windows 7

    -+-+-+-+-> Liens utiles <-+-+-+-+-

    Ces liens sont en rapport direct avec la sécurité de ton PC.
    Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

    - Les dangers du P2P
    - La sécurité de son PC, c'est quoi?
    - Sécuriser son ordinateur
    - Pourquoi maintenir son navigateur à jour?
    - Les toolbars c'est pas obligatoire
    0
  11. Sckotch Messages postés 8 Statut Membre
     
    Voici le rapport:

    ########## DelFix - Nettoyeur d'outils de désinfection ##########
    #
    # DelFix v7.0 - Rapport créé le 09/01/2011 à 17:13
    # Mis à jour le 08/01/11 à 17h par Xplode
    # Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]
    # Nom d'utilisateur : Maxmatt - MAXMATT-HP (Administrateur)
    # Exécuté depuis : C:\Users\Maxmatt\Downloads\DelFix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\_OTL
    Supprimé : C:\Program Files (x86)\Ad-Remover

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\Ad-Report-CLEAN[1].txt
    Supprimé : C:\Users\Maxmatt\Desktop\OTL.scr
    Supprimé : C:\Users\Maxmatt\Desktop\OTL.Txt
    Supprimé : C:\Users\Maxmatt\Desktop\Extras.Txt
    Supprimé : C:\Users\Maxmatt\Desktop\AD-R.lnk
    Supprimé : C:\Users\Maxmatt\Downloads\OTL.scr

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
    Clé Supprimée : HKLM\Software\OldTimer Tools
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover

    ~~~~~~ Autre ~~~~~~

    ########## EOF - "C:\DelFixSuppr.txt" - [1125 octets] ##########
    0
  12. Sckotch Messages postés 8 Statut Membre
     
    Voila, le systeme est purgé et si j'ai bien compris mnt je dois le réactiver c'est ca?

    Je suppose que l'action que je viens de faire à savoir purger la restauration du système n'affecte pas mes disques de réinstallation?

    Encore quelques questions...

    Je ne vois plus aucun icone de OTL ni de l'autre ni des fichiers .txt

    Ont ils tous étés supprimés ?

    Dois je faire un scan en ligne pour vérifier qu'il n'y a plus aucune infection?

    Le rapport est il positif? :)

    un GRAND merci pour ton aide !
    0
  13. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Re,

    Oui, il faut réactiver la restauration système ( ça te crééera d'ailleurs un point de restauration clean en date d'aujourd'hui )

    Restauration système n'a rien à voir avec les disques de réinstallation, pas de problème donc ;-)

    DelFix s'est occupé de supprimer tout les outils de désinfections utilisés ( exécutables et rapports )

    Pas besoin de faire un scan en ligne, le PC est clean :-)

    Je mets ce sujet en résolu. N'hésite pas si tu as d'autres question à me les poser ici.

    @+
    0
  14. Sckotch Messages postés 8 Statut Membre
     
    Ok merci beaucoup !

    Juste deux dernières questions (je sais j'abuse ;) )

    Peu tu me donnez un site de scan en ligne?

    Et la deuxième je te la pose par mail car je ne suis pas sur que je puisse la poser en public ;)

    En tout cas un grand merci !
    0