Cheval de Troie : Agent_r.ARN

krysst -  
 g3n-h@ckm@n -
Bonjour,
En faisant mon analyse avec AVG 2011, je découvre que je suis infecté d'un cheval de troie depuis hier...
Aucun site ne parle de ce cheval de troie là...
Qui peut me dire comment s'en débarraser ?
Mon ordi n'arrête plus de planter depuis hier...
Merci pour votre réponse.

149 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
Résumé de la discussion

Un cheval de Troie est détecté par AVG 2011 sur Windows XP et fait planter l’ordinateur, d’où une demande d’aide sur les méthodes efficaces pour s’en débarrasser. Des réponses évoquent des approches variées, notamment l’examen des dossiers système et des fichiers suspects, la mise à jour du système ou l’utilisation du mode sans échec, parfois avec des noms de fichiers douteux. Certaines discussions évoquent des éléments techniques comme des répertoires C_WINDOWS ou SbAlg.sys et des pré-scans, tandis que des conseils non vérifiés invitent à redémarrer ou à recourir à des outils externes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. forever374 Messages postés 1035 Date d'inscription   Statut Membre Dernière intervention   802
     
    un cheval de droit est un virus qui se contracte via des site de porno ou allor des pop up

    sa commence pas des pop up puis si tu ne le detruie pas il se transformera en polymorph ( indetectable par ton antivirus mais il est bien la mdr )

    desinstale avg et instal MSE

    Microsoft
    Security
    Essential
    0
  2. g3n-h@ckm@n
     
    salut un peu de serieux

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et Extra.txt ici : https://www.cjoint.com/ puis donne les liens obtenus
    0
  3. krysst
     
    Bonjour,
    Merci pour ton aide.
    Voici le lien : http://cjoint.com/?AKyjSGxdp4p
    A bientôt,
    Krysst
    0
    1. g3n-h@ckm@n
       
      hello je peux avoir le extra.txt ?
      0
  4. krysst
     
    Voilà le extra text : http://cjoint.com/?AKyrMc6h47X
    Merci,
    Christian
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    clique sur suppression et poste son rapport.

    =========================

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport ici : https://www.cjoint.com/ puis donne le lien obtenu

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  7. krysst
     
    voilà déjà un 1er résultat : http://cjoint.com/?AKysBk8FuEH
    0
    1. g3n-h@ckm@n
       
      ok :)
      0
  8. krysst
     
    voilà la suite : http://cjoint.com/?AKytF3saBTv
    0
  9. g3n-h@ckm@n
     
    desinstalle Firefox et reinstalle la derniere version :

    https://www.mozilla.org/en-US/firefox/new/

    ==========================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AdobeBridge"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "nwiz"=-
    "Cpqset"=-
    ""=-
    "HP Software Update"=-
    "QuickTime Task"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    ""=-
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5986838D-31CA-424C-AD9C-29ABD33A05F8}]
    [-HKLM\Software\13fe]
    [-HKLM\Software\59f]
    [-HKLM\Software\BrowserChoice]
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1900:UDP"=-
    "2869:TCP"=-

    file::
    C:\Documents and Settings\Samy\Bureau\cacaoweb[1].exe
    C:\Documents and Settings\Samy\Application Data\qvjsge.dat
    C:\WINDOWS\keys.ini
    C:\Documents and Settings\All Users\Application Data\59CFF8A718.sys
    C:\Documents and Settings\All Users\Application Data\GbiXkHS.dat

    folder::
    C:\WINDOWS\$NtUninstallKB61292$
    C:\WINDOWS\95E1E426EE9E4F688F0258A5A09B38F3.TMP

    attrib::

    clean::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  10. krysst
     
    quand je glisse une icone sur pre_scan, c'est pre_scan qui s'ouvre... je n'ai pas de pre-script ?
    0
  11. g3n-h@ckm@n
     
    prends-le ici

    http://dl.dropbox.com/u/21363431/Pre_Script.exe
    0
  12. g3n-h@ckm@n
     
    ▶ Télécharge Reload_TDSSKiller

    ▶ Lance le

    choisis : lancer le nettoyage

    l'outil va automatiquement télécharger la derniere version puis

    TDSSKiller va s'ouvrir , clique sur "Start Scan"

    Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.
    0
  13. g3n-h@ckm@n
     
    mmmmmm......

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  14. g3n-h@ckm@n
     
    c'est proposé à l installation sinon à l'onglet mise à jour
    0
  15. Krysst
     
    Bonjour,
    Cela fait maintenant plus de 35 heures que l'analyse est en cours avec Malwarebytes... A ce stade :
    - seuls 128842 fichiers ont été analysés
    - 0 éléments infectés
    Cela progresse toujours, mais très très lentement...
    Est ce bien normal ?
    Continue-t-on ainsi ?
    0
  16. Krysst
     
    Bonjour,
    L'analyse est finalement terminée, après plus de 60h de travail...
    Voilà le résultat : http://cjoint.com/?AKBwdCJdVcs
    Au passage, AVG a disparu de mon écran...
    Est ce qu'il faut supprimer les fichiers indiqués ?
    A bientôt...
    0
  17. g3n-h@ckm@n
     
    re

    as-tu bien supprimé les objets infectieux detectés par malwarebytes ?
    0
  18. Krysst
     
    Ils sont dans la quarantaine de Malwarebytes... je ne savais pas si je pouvais les effacer...
    Il y a t il d'autres actions à effectuer ?
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8