Prog non-identifié veut accéder à mon pc:

Blan' -  
H3RV3 Messages postés 3661 Statut Contributeur sécurité -
Bonjour,

voilà, depuis quelques minutes mon ordinateur m'envoie des message provenant du contrôle de compte des utilisateurs disant qu'un programme non-identifié veut accéder à mon ordinateur. La première fois j'ai bien sûr cliqué sur "annuler" comme je ne sais pas d'où ça provient. Cependant d'autres réapparaissent sous un autre nom, c'est toujours setup*numéro à 9 chiffres*.exe. Dans les détails il est noté qu'ils se trouvent dans le fichier /temp

Est-ce que quelqu'un peut m'aider à comprendre ce que c'est?
J'ai fait plusieurs recherches et je ne trouve pas ce type de problème sur les forums...

Bonne soirée

10 réponses

  1.
    H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Salut,

    ● Télécharge RogueKiller.exe sur ton bureau.

    ● Sous XP : Double clique sur RogueKiller.exe
    ● Sous Vista/7 : Fais un clic droit sur RogueKiller.exe et sélectionne "Exécuter en tant qu'administrateur"

    ● Choisis l'option Suppression en appuyant sur la touche 2 et valide avec la touche Entrée

    ● Patiente pendant que l'outil travaille

    ● A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport est sauvegardé dans un fichier texte RKreport.txt
    0
    1. Blan'
       
      Je viens de lancer roguekiller comme tu m'as dit.
      Voici le rapport:
      RogueKiller V5.1.7 [26/05/2011] par Tigzy
      contact sur http://www.sur-la-toile.com
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

      Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
      Demarrage : Mode normal
      Utilisateur: Blandine [Droits d'admin]
      Mode: Suppression -- Date : 27/05/2011 11:41:10

      Processus malicieux: 0

      Entrees de registre: 1
      [BLACKLIST DLL] HKCU\[...]\Run : Agiholetunuxafuj (rundll32.exe "C:\Users\Blandine\AppData\Local\bcowsb.dll",Startup) -> DELETED

      Fichier HOSTS:
      127.0.0.1 activate.adobe.com
      127.0.0.1 practivate.adobe.com
      127.0.0.1 ereg.adobe.com
      127.0.0.1 activate.wip3.adobe.com
      127.0.0.1 wip3.adobe.com
      127.0.0.1 3dns-3.adobe.com
      127.0.0.1 3dns-2.adobe.com
      127.0.0.1 adobe-dns.adobe.com
      127.0.0.1 adobe-dns-2.adobe.com
      127.0.0.1 adobe-dns-3.adobe.com
      127.0.0.1 ereg.wip3.adobe.com
      127.0.0.1 activate-sea.adobe.com
      127.0.0.1 wwis-dubc1-vip60.adobe.com
      127.0.0.1 activate-sjc0.adobe.com
      127.0.0.1 adobe.activate.com
      127.0.0.1 adobeereg.com
      127.0.0.1 www.adobeereg.com
      127.0.0.1 wwis-dubc1-vip60.adobe.com
      127.0.0.1 125.252.224.90
      127.0.0.1 125.252.224.91
      [...]


      Termine : << RKreport[2].txt >>
      RKreport[1].txt ; RKreport[2].txt

      Dois-je encore faire quelque chose?
      0
  2. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bien, relance RogueKiller, choisis l'option 3.
    Redémarre ton PC et dis-moi si tu as encore des alertes.
    0
  3. Blan'
     
    Non, je ne les ai plus. Mais elles se sont arrêtées depuis hier.
    La semaine passée j'ai eu un virus "anti-spyware" appelé "Ms remooval tool" qui a complètement fait planté mon pc. J'ai fait une restauration et depuis ça s'est arrangé mais je ne sais pas si il est vraiment parti ou pas.
    0
  4. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    On peut vérifier çà, fais ceci :

    ● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

    ● Double clique sur ZHPDiag_silent.exe

    ● Patiente pendant le scan. Un rapport s'ouvrira à la fin.

    ● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

    Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
    0
    1. Blan'
       
      http://www.cijoint.fr/cjlink.php?file=cj201105/cij1J7nrer.txt
      Voilà voilà :)
      0

  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bien, tu es encore infecté. Dans l'odre :

    ● Sous XP : Double clique sur ZHPFix présent sur ton bureau
    ● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

    ● Copie (Ctrl + C) le texte suivant : 

    O4 - HKCU\..\Run: [Agiholetunuxafuj] . (.trbarry@trbarry.com - FrameDbl.) -- C:\Users\Blandine\AppData\Local\bcowsb.dll


    ● Clique sur l'icône représentant un H vert, le texte précédemment copier va apparaître

    ● Clique sur le bouton OK, Tous puis sur Nettoyer

    ● Copie/colle le rapport qui apparaîtra à la fin

    Aide en images

    Puis :

    ● Télécharge Ad-Remover sur ton bureau en cliquant sur le bouton Download de cette page

    ● Double clique sur AD-R.exe

    ● Au menu principal choisis l'option "Nettoyer"

    ● Patiente pendant que l'outil fait son travail

    ● Un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport est sauvegardé dans C:\Ad-report.log

    Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.
    0
    1. Blan'
       
      j'ai un petit problème avec les commentaires...
      0
  7. Blan'
     
    Et ici le rapport de Ad-remover:

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijS7Hwt4r.txt

    Quelle est la prochaine étape?

    (Je te remercie déjà grandement de me guider comme tu le fais. C'est la première fois que je demande de l'aide pour un problème informatique et je suis agréablement surprise :) )
    0
  8. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    De rien :)

    Il manque le rapport de ZHPFix.

    On va maintenant passer un logiciel qui va supprimer les restes :

    ● Télécharge Malwarebytes' Anti-Malware (MBAM)

    ● Double clique sur mbam-setup.exe pour lancer l'installation

    ● Laisse les options par défaut lors de l'installation

    ● Lance MBAM et laisse les Mises à jour se télécharger

    ● Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
    Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

    ● A la fin du scan, clique sur Afficher les résultats

    ● Coche tous les éléments détectés puis clique sur Supprimer la sélection

    ● S'il t'est demandé de redémarrer, clique sur Yes

    ● Un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport se trouve dans l'onglet Rapports/Logs de MBAM
    0
    1. Blan'
       
      voici le rapport zhpfix:
      http://www.cijoint.fr/cjlink.php?file=cj201105/cijyi41afH.txt
      0
    2. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
       
      OK, continue avec Malwarebytes.
      0
    3. Blan'
       
      c'est toujours en train d'analyser. Il a déjà trouvé 9 fichier infectés.

      Tant que j'y suis, j'ai juste un tout petit problème avec hotmail. Il met à chaque fois ce message-ci:

      Un script sur cette page est peut-être occupé ou ne répond plus. Vous pouvez arrêter le script maintenant ou attendre pour voir si le script se terminera.

      Script : https://js2.wlxrs.com/_D/F$Live.SiteContent.Messenger/4.2.64250/release/Microsoft.Live.Core.LocalStorage.FF.js:39

      J'aimerai savoir quelle bêtise j'ai faite pour avoir ça à chaque fois que j'utilise hotmail.
      J'ai surement supprimé un script ou quelque chose dans le genre. Pourrais-tu m'aider pour ça aussi?
      0
  9. Blan'
     
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6694

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.19048

    28/05/2011 11:29:31
    mbam-log-2011-05-28 (11-29-31).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 354389
    Temps écoulé: 4 heure(s), 19 minute(s), 48 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 9

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Agiholetunuxafuj (Trojan.Agent.U) -> Value: Agiholetunuxafuj -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\program files\ad-remover\quarantine\C\program files\questbrwsearch\uninstall.exe.vir (Adware.QuestBrowse) -> Quarantined and deleted successfully.
    c:\program files\ad-remover\quarantine\C\program files\shopperreports3\bin\3.0.517.0\brnstie.dll.vir (Adware.ShopperReports) -> Quarantined and deleted successfully.
    c:\program files\ad-remover\quarantine\C\program files\shopperreports3\bin\3.0.517.0\cntntcntr.dll.vir (Adware.ShopperReports) -> Quarantined and deleted successfully.
    c:\program files\ad-remover\quarantine\C\program files\shopperreports3\bin\3.0.517.0\mozillaps.dll.vir (Adware.ShopperReports) -> Quarantined and deleted successfully.
    c:\program files\ad-remover\quarantine\C\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\components\brnstff.dll.vir (Adware.ShopperReports) -> Quarantined and deleted successfully.
    c:\program files\ZHPDiag\quarantine\bcowsb.dll.vir (Trojan.Hiloti) -> Delete on reboot.
    c:\Users\Blandine\AppData\Local\Temp\mxasoewrnc.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
    c:\Users\Blandine\AppData\Local\Temp\soxwnmcare.exe (Trojan.Downloader.VCP) -> Quarantined and deleted successfully.
    c:\Users\Blandine\Desktop\rk_quarantine\bcowsb.dll.vir (Trojan.Hiloti) -> Quarantined and deleted successfully.
    0
  10. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Salut,

    Bien, peux-tu refaire un rapport ZHPDiag.
    Je regarde également pour ton problème sur Hotmail.
    0
    1. Blan'
       
      voici le rapport ZHPDiag :)
      http://www.cijoint.fr/cjlink.php?file=cj201105/cij7LHLsxf.txt
      0
    2. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
       
      Bien, as-tu eu d'autres alertes "programmes non identifiés" depuis ?
      0
    3. Blan'
       
      Non, mais j'ai des alertes microsoft apparemment annonçant qu'un programme a été bloqué lors du démarrage automatique, enfin quelque chose du genre
      0
    4. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
       
      Tu as le nom du programme bloqué (en cliquant sur l'alerte) ?
      0
    5. Blan'
       
      Apparemment il bloque le démarrage automatique de Malwarebytes.
      J'ai une autre alerte aussi quand j'allume mon pc:

      RunDLL
      Erreur de chargement de C:\Users\Blandine\AppData\Local\bcowsb.dll
      Module spécifié introuvable.
      0
  11. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bien, on va s'occuper de çà :

    ● Sous XP : Double clique sur ZHPFix présent sur ton bureau
    ● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

    ● Copie (Ctrl + C) le texte suivant : 

    OPT:O4 - HKLM\..\Run: [TaskTray] Clé orpheline
OPT:O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] . (.Malwarebytes Corporation - Malwarebytes' Anti-Malware.) -- C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
OPT:O4 - HKCU\..\Run: [WMPNSCFG] . (.Microsoft Corporation - Application de configuration du service Par.) -- C:\Program Files\Windows Media Player\WMPNSCFG.exe
OPT:O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
OPT:O4 - HKCU\..\Run: [Agiholetunuxafuj] C:\Users\Blandine\AppData\Local\bcowsb.dll (.not file.)


    ● Clique sur l'icône représentant un H vert, le texte précédemment copier va apparaître

    ● Clique sur le bouton GO

    ● Copie/colle le rapport qui apparaîtra à la fin

    Aide en images
    0