Cheval de troie Agent2 BFZQ Résolu/Fermé

Question

Bonjour,
Tout comme ces deux sujets : https://forums.commentcamarche.net/forum/affich-20449901-cheval-de-troie et https://forums.commentcamarche.net/forum/affich-20430735-cheval-de-troie-agent-2-bzfq

Je suis infecté par un virus cheval de troie Agent2 BFZQ qui est détecté par mon antivirus AVG et placé en quarantaine.

Le problème est qu'il revient à chaque démarrage...

Je possède windows 7 home premium 64 bits.

Ce serait très très très gentil de m'aider à me débarrasser de cet crasse tout comme les deux sujets du dessus !

Je sais que Lyonnais92 à l'air de s'y connaitre alors, sil vous plait, A L'AIDE :)

Merci d'avance.

Skotch.

Xplode · Answer

Bonjour,

As-tu le nom du fichier détecté ?

Fais ceci :

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

Sckotch · Answer

Salut merci de ton aide mais désolé j'ai déja suivit la marche a suivre de lyonnais 92 à savoir :

"Tu as été infecté par un adware qui s'appelle Installpedia. 

-------------------------------------------------- 

Désinstalle via le panneau de configuration le programme qui s'appelle Installer. 

-------------------------------------------- 

Puis 

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr 

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur OTL.scr pour le lancer. 
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs. 
* Dans la partie Personnalisation, copie/colle la liste suivante. 

 netsvcs 
Drivers32
msconfig  
activex
/md5start   
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 


* Enfin, clique sur le bouton Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées. 

A+"




Je suis en train de faire l'analyse rapide et ensuite je déposerai les résultats je suppose sur cijoint.fr et je communiquerai les resultats

Est ce que tu sera m'aider à partir de la? :)

Merci beaucoup

Xplode · Answer

Re,

Ok, pas de problèmes. J'attends donc tes deux rapports OTL ( extras.txt et OTL.txt ) préalablement hébergés sur cijoint.

@+

Sckotch · Answer

Voila pour Extras: http://www.cijoint.fr/cjlink.php?file=cj201101/cijL5b1RAV.txt
et pour     OTL    : http://www.cijoint.fr/cjlink.php?file=cj201101/cij5X3Kvzw.txt

Xplode · Answer

Re,

Effectivement, ton PC est infecté par l'adware InstallPedia qui s'attrape via des codecs piégés ( ou via un faux plugin VLC )

-> Voir ici pour plus d'informations.

Afin de le supprimer, suis ces instructions :

-+-+-+-+-> AD-Remover <-+-+-+-+-


[x] Télécharge AD-Remover ( de  C_XX ).

[x] Lance AD-Remover puis choisis l'option " Nettoyer ".

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

==================================================================================================================

Une fois la suppression d'Ad-Remover effectuée, refais un nouveau rapport OTL et héberge le sur cjoint ( le fichier OTL.txt uniquement ) , poste moi ensuite le lien.

J'attends donc :

- Le rapport Ad-Remover
- Le rapport OTL.txt après passage d'Ad-Remover

@+

Sckotch · Answer

Le rapport Ad-Remover:



 ======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 09/01/11 à 12:30
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:26:05 le 09/01/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
Maxmatt@MAXMATT-HP (Hewlett-Packard HP Pavilion dv6 Notebook PC) 
 
============== ACTION(S) ==============

Service: "sdmBackupIP" Stoppé et supprimé 

Fichier supprimé: C:\Windows\SysWOW64\Utils.dll
Dossier supprimé: C:\Windows\BackupIP
Dossier supprimé: C:\Program Files (x86)\Conduit
Dossier supprimé: C:\Users\Maxmatt\AppData\Local
etworker

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Toolbar.CT2645238
Clé supprimée: HKLM\Software\Install Pedia Limited
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|installer


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 7 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 09/01/2011 (2591 Octet(s)) 

Fin à: 16:27:12, 09/01/2011 
 
============== E.O.F ============== 


POur le rapport OTL, je ne sais pas sil fallait remettre la longue liste dans personnalisation ou pas et si il fallait mettre touts les utilisateurs....

Voici celui avec la longue liste dans personnalisation ET l'option touts les utilisateurs:

OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201101/cij7Nr5dpl.txt


!!!!!!!!!!!!!!!!!!! je n'ai pas encore supprimé Ad remover, ce n'est pas grave?

Remerci !

Xplode · Answer

Re,

Ok. Ad-Remover a bien supprimé l'infection mais il a laissé un dossier infectieux.

Relance OTL puis copie/colle le texte suivant sous la partie [Personnalisation] :

:OTL

O18:[b]64bit:[/b] - Protocol\Handler\avgsecuritytoolbar {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - Reg Error: Key error. File not found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Reg Error: Key error. File not found

:Files

C:\Program Files\Installer 

:Commands

[emptytemp]
[emptyflash]

Clique sur [Correction] et poste moi le rapport qui s'ouvrira à l'écran.

Sckotch · Answer

voici le rapport:


 All processes killed
========== OTL ==========
========== FILES ==========
C:\Program Files\Installer folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Maxmatt
->Temp folder emptied: 288028834 bytes
->Temporary Internet Files folder emptied: 110311796 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 31382661 bytes
->Flash cache emptied: 3753 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 135574 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 410,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Maxmatt
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.20.1 log created on 01092011_170456

Files\Folders moved on Reboot...
C:\Users\Maxmatt\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Xplode · Answer

Ok. Comment se porte le PC ? -+-+-+-+-> DelFix <-+-+-+-+- [x] Télécharge DelFix sur ton bureau. [x] Lance le et appuie sur [Suppression] [x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) [x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation]. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> Liens utiles <-+-+-+-+- Ces liens sont en rapport direct avec la sécurité de ton PC. Prends le temps de les lire pour comprendre pourquoi tu as été infecté. - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

Sckotch · Answer

Voici le rapport: 

########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v7.0 - Rapport créé le 09/01/2011 à 17:13
# Mis à jour le 08/01/11 à 17h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600] 
# Nom d'utilisateur : Maxmatt - MAXMATT-HP (Administrateur)
# Exécuté depuis : C:\Users\Maxmatt\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\Program Files (x86)\Ad-Remover

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Users\Maxmatt\Desktop\OTL.scr
Supprimé : C:\Users\Maxmatt\Desktop\OTL.Txt
Supprimé : C:\Users\Maxmatt\Desktop\Extras.Txt
Supprimé : C:\Users\Maxmatt\Desktop\AD-R.lnk
Supprimé : C:\Users\Maxmatt\Downloads\OTL.scr

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [1125 octets] ##########

Sckotch · Answer

Voila, le systeme est purgé et si j'ai bien compris mnt je dois le réactiver c'est ca?

Je suppose que l'action que je viens de faire à savoir  purger la restauration du système n'affecte pas mes disques de réinstallation?

Encore quelques questions...

Je ne vois plus aucun icone de OTL ni de l'autre ni des fichiers .txt

Ont ils tous étés supprimés ?

Dois je faire un scan en ligne pour vérifier qu'il n'y a plus aucune infection?

Le rapport est il positif? :)

un GRAND merci pour ton aide !

Xplode · Answer

Re,

Oui, il faut réactiver la restauration système ( ça te crééera d'ailleurs un point de restauration clean en date d'aujourd'hui )

Restauration système n'a rien à voir avec les disques de réinstallation, pas de problème donc ;-)

DelFix s'est occupé de supprimer tout les outils de désinfections utilisés ( exécutables et rapports )

Pas besoin de faire un scan en ligne, le PC est clean :-)

Je mets ce sujet en résolu. N'hésite pas si tu as d'autres question à me les poser ici.

@+

Sckotch · Answer

Ok merci beaucoup !

Juste deux dernières questions (je sais j'abuse ;) )

Peu tu me donnez un site de scan en ligne?

Et la deuxième je te la pose par mail car je ne suis pas sur que je puisse la poser en public ;)

En tout cas un grand merci !

Xplode · Answer

-> https://www.eset.com/

@+

Cheval de troie Agent2 BFZQ

14 réponses

Discussions similaires