Sujet Précédent Sujet Suivant

Cheval de troie agent2.BZFQ

Fermé
keni64 Messages postés 7 Date d'inscription lundi 10 janvier 2011 Statut Membre Dernière intervention 11 janvier 2011 - 10 janv. 2011 à 19:47
 lequick - 21 janv. 2011 à 12:27
Bonjour,

j'ai mon portable infecté par ce cheval

voici le rapport ZHP: http://www.cijoint.fr/cjlink.php?file=cj201101/cijG1sMcJJ.txt

merci d'avance
A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 10/01/2011 à 19:58
slt

tu as le rapport du logiciel qui trouve cette infection?


sur un pc un seul antivirus entre avast et AVG il faut choisir !
0
Réponse 2 / 29
keni64 Messages postés 7 Date d'inscription lundi 10 janvier 2011 Statut Membre Dernière intervention 11 janvier 2011
Modifié par keni64 le 10/01/2011 à 20:04
c'est avast qui me le trouve

Nom du fichier:c:\program files\installer\networker.exe

Nom de la menace: Cheval de troie: Agent2.BZFQ
détecté à l'ouverture

j'ai beau le mettre en quarantaine:il revient à chaque fois

edit: c'est le portable de mamère, je savais pas qu'elle avait mis AVG en plus!! je vais le désinstaller
0
Réponse 3 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 janv. 2011 à 20:08
analyse le sur virus total et colle nous le rapport https://www.virustotal.com/gui/
0
Réponse 4 / 29
keni64 Messages postés 7 Date d'inscription lundi 10 janvier 2011 Statut Membre Dernière intervention 11 janvier 2011
10 janv. 2011 à 20:19
analyser quoi: le fichier networker.exe ?

si oui, il n'apparait pas dans l'arborescence :(
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 janv. 2011 à 20:45
télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
(de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.


:processes
explorer.exe
:files

c:\program files\installer\networker.exe
:commands
[purity]
[emptytemp]
[start explorer]


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
0
Réponse 6 / 29
keni64 Messages postés 7 Date d'inscription lundi 10 janvier 2011 Statut Membre Dernière intervention 11 janvier 2011
Modifié par keni64 le 10/01/2011 à 21:06
c'est fait

apparemment c'est bon, il a bien effacé networker.exe

merci ;

edit: je trouve pas C:\_OTM\MovedFiles

mais j'ai eu ça en bloc notes:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
c:\program files\installer\networker.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: AppData

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: maite
->Temp folder emptied: 14717529 bytes
->Temporary Internet Files folder emptied: 26263298 bytes
->Java cache emptied: 8702546 bytes
->Google Chrome cache emptied: 6183630 bytes
->Flash cache emptied: 2830985 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 67370 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 117665 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 56,00 mb


OTM by OldTimer - Version 3.1.17.2 log created on 01102011_205735

Files moved on Reboot...
File move failed. C:\Users\maite\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...
0
Réponse 7 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 10/01/2011 à 21:16
ok

vérifie le pc avec un des 4 premiers antivirus en ligne <- ici


et colle le rapport
0
Réponse 8 / 29
keni64 Messages postés 7 Date d'inscription lundi 10 janvier 2011 Statut Membre Dernière intervention 11 janvier 2011
10 janv. 2011 à 23:24
voila le rapport:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2011-01-10 23:22:24
PROTECTIONS: 1
MALWARE: 12
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
avast! Antivirus Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@doubleclick[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\syswow64\config\systemprofile\appdata\roaming\microsoft\windows\cookies\système@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@tradedoubler[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@mediaplex[2].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@xiti[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@ad.yieldmanager[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@apmebf[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@weborama[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@adtech[1].txt
00207936 Cookie/Adviva TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@adviva[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\maite\appdata\roaming\microsoft\windows\cookies\low\maite@smartadserver[2].txt
03939097 Generic Trojan Virus/Trojan No 0 Yes No c:\program files (x86)\absolutist.com\bubble shooter deluxe\bsdeluxe.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
0
Réponse 9 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
11 janv. 2011 à 09:55
vire ce jeu : c:\program files (x86)\absolutist.com\bubble shooter deluxe\bsdeluxe.exe
________________

sinon utilise un liogiciel comme ccleaner ou glary utilities... pour supprimer tes cookies régulièrement

_______________


pour supprimer ce qui a été utilisé : http://www.commentcamarche.net/faq/24877-supprimer-les-logiciels-de-desinfection



____________

encore des soucis?
0
Réponse 10 / 29
keni64 Messages postés 7 Date d'inscription lundi 10 janvier 2011 Statut Membre Dernière intervention 11 janvier 2011
11 janv. 2011 à 11:13
ok je vais voir ça ce soir ;) je suis au taf là

merci pour tout
0
Réponse 11 / 29
keni64 Messages postés 7 Date d'inscription lundi 10 janvier 2011 Statut Membre Dernière intervention 11 janvier 2011
11 janv. 2011 à 15:54
je viens d'avoir ma mère :) elle veut pas que je touche à son jeu lol

ca craint si je lui laisse ? en plus, le jeu a été acheté en ligne, pas de crack.


et sinon, comment ca se fait qu'il y est un trojan dedans ????
0
Réponse 12 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
11 janv. 2011 à 23:59
si c'est un jeux legal cela peut être un faux positif ou alors le jeu intègre un sytème de pubs


qu'elle le laisse
0
Réponse 13 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
12 janv. 2011 à 14:12
pour vérifier ton pc fais ceci:

Utilise AD-Remover en option de nettoyage et poste le rapport ici :
http://www.teamxscript.org/adremover.html
0
Réponse 14 / 29
lequick
16 janv. 2011 à 14:09
salut
j'ai le même pb

j'ai fait la démarche avec OTM
mais le pc redémarre et le fichier ré-apparaît...

merci d'avance de votre aide
0
lequick
17 janv. 2011 à 09:40
ça a sûrement qqchose à voir : au démarrage j'ai aussi une fenêtre "Microsoft Windows" qui dit que "launch_networker a cessé de fonctionner"...
0
Réponse 15 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
17 janv. 2011 à 14:49
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
0
Réponse 16 / 29
lequick
17 janv. 2011 à 18:22
merci
j'ai effectué la démarche, voici le lien obtenu :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijIhea2eQ.txt

salutations
0
Réponse 17 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
17 janv. 2011 à 19:18
slt

colle un rapport de recherche avec le logiciel ad remover

http://www.teamxscript.org/adremoverTelechargement.html
0
Réponse 18 / 29
lequick
17 janv. 2011 à 19:43
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 16/01/11 à 02:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 19:41:39 le 17/01/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
Cao & Kik@PC-DE-CAO-KIK (Hewlett-Packard HP Pavilion dv9700 Notebook PC)

============== RECHERCHE ==============

Service: "sdmBackupIP" Présent

Fichier trouvé: C:\Users\Cao & Kik\AppData\Local\oxzjdtn.bat
Dossier trouvé: C:\Program Files\Installer
Fichier trouvé: C:\Windows\system32\Utils.dll
Dossier trouvé: C:\Windows\BackupIP
Dossier trouvé: C:\Users\Cao & Kik\AppData\Local\networker
Fichier trouvé: C:\Users\Cao & Kik\AppData\Local\chbavbv_nav.dat
Fichier trouvé: C:\Users\Cao & Kik\AppData\Local\chbavbv.dat
Fichier trouvé: C:\Users\Cao & Kik\AppData\Local\chbavbv_navps.dat

Clé trouvée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé trouvée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé trouvée: HKLM\Software\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}
Clé trouvée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\oxzjdtn
Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé trouvée: HKLM\Software\Install Pedia Limited
Clé trouvée: HKLM\Software\Viewpoint
Clé trouvée: HKCU\Software\Spointer
Clé trouvée: HKCU\Software\fcn
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{63E20506-7998-4D6F-8B96-2A9FFDF2CDB6}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{63E20506-7998-4D6F-8B96-2A9FFDF2CDB6}
Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|chbavbv
Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|installer


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\Cao & Kik\AppData\Roaming\Mozilla\FireFox\Profiles\x8lxk1un.default\User.js --
keyword.URL, hxxp://redirecterror.sfr.fr/?q=

-- C:\Users\Cao & Kik\AppData\Roaming\Mozilla\FireFox\Profiles\x8lxk1un.default\Prefs.js --
browser.download.lastDir, G:
browser.search.defaultenginename, Yahoo
browser.search.defaulturl, hxxp://fr.search.yahoo.com/search?fr=ffsp1&p=
browser.startup.homepage, www.easysear.ch/
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://redirecterror.sfr.fr/?q=
browser.startup.homepage, www.easysear.ch/
browser.startup.homepage, www.easysear.ch/
browser.startup.homepage, www.easysear.ch/

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS02
Search Page: hxxp://home.microsoft.com/access/allinone.asp
Show_ToolBar: yes
Start Page: www.easysear.ch/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://fr.yahoo.com
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.yahoo.com

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 17/01/2011 (4139 Octet(s))

Fin à: 19:43:09, 17/01/2011

============== E.O.F ==============
0
Réponse 19 / 29
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
19 janv. 2011 à 20:59
colle un rapport de nettoyage avec ad R puis remets un rapport zhpdiag

a plus
0
Réponse 20 / 29
lequick
19 janv. 2011 à 23:08
merci de ton aide
mais je comprends pas : c'est pas ce que j'ai fait ?
a+
0

Discussions similaires

expressions francaises
bifaka -
lanonyme -

4 réponses
L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses
Nom d'une musique classique
panoramaaa -
Thierry -

9 réponses