Cheval de troie AgentR.BCH
ketzer
-
kalimusic Messages postés 14619 Statut Contributeur sécurité -
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,
je me permets de solliciter votre aide.
Mon antivirus AVG a détécté une cheval de troie sur mon disque dur et depuis
je n'arrive plus à utliser certains programmes correctement.
J'ai fait une analyse complète et le cheval de troie est mit en quarantaine.
Comment puis-je m'en débarasser ?
Je vous remercie d'avance pour votre aide.
je me permets de solliciter votre aide.
Mon antivirus AVG a détécté une cheval de troie sur mon disque dur et depuis
je n'arrive plus à utliser certains programmes correctement.
J'ai fait une analyse complète et le cheval de troie est mit en quarantaine.
Comment puis-je m'en débarasser ?
Je vous remercie d'avance pour votre aide.
A voir également:
- Cheval de troie AgentR.BCH
- Antivirus cheval de troie gratuit - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Cheval au poker - Forum Virus
- Comment se débarrasser d'un cheval de troie ✓ - Forum Virus
- Retrouver son cheval skyrim - Forum Jeux PC
10 réponses
Bonjour,
Quels sont les noms de ces fichiers stp ?
Nous allons utiliser cet outil de diagnostic :
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Quels sont les noms de ces fichiers stp ?
Nous allons utiliser cet outil de diagnostic :
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
msconfig safebootminimal safebootnetwork /md5start volsnap.* explorer.exe winlogon.exe userinit.exe svchost.exe /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe %systemroot%\Tasks\*.* /s hklm\system\CurrentControlSet\Services\lanmanserver\parameters /s hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
re,
Tu as hébergé 2 fois le même rapport (extra.txt)
Le rapport OTL.txt doit se trouver sur ton bureau.
A +
Tu as hébergé 2 fois le même rapport (extra.txt)
Le rapport OTL.txt doit se trouver sur ton bureau.
A +
oui, c'est ça,
Peux tu uploader le fichier C:\ProgramData\winmnjexeor.dat à cette adresse stp : http://upload.malekal.com/
=================================================
1. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
● Lance AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt
2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
● Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression.
3. Héberge les rapports et donne moi les liens
A +
Peux tu uploader le fichier C:\ProgramData\winmnjexeor.dat à cette adresse stp : http://upload.malekal.com/
=================================================
1. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
● Lance AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt
2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
● Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression.
3. Héberge les rapports et donne moi les liens
A +
Bonsoir,
Voilà le rapport de AdwCleaner http://cjoint.com/12ma/BCoxtP8OxlN.htm
Le 2ème rapport :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.14.05
Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
au :: AU-PC [administrateur]
14/03/2012 21:25:58
mbam-log-2012-03-14 (21-25-58).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 393550
Temps écoulé: 1 heure(s), 20 minute(s), 10 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Users\au\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ER9273WH\Firefox Setup 10.0.2.exe.vvs403u.partial (Trojan.FakeFireFox) -> Mis en quarantaine et supprimé avec succès.
C:\Users\au\Downloads\Firefox Setup 10.0.2.exe (Trojan.FakeFireFox) -> Mis en quarantaine et supprimé avec succès.
C:\Users\au\Downloads\WebPlayer_V16(1).exe (Trojan.RepackedSetup.SFX) -> Mis en quarantaine et supprimé avec succès.
C:\Users\au\Downloads\WebPlayer_V16.exe (Trojan.RepackedSetup.SFX) -> Mis en quarantaine et supprimé avec succès.
(fin)
Voilà le rapport de AdwCleaner http://cjoint.com/12ma/BCoxtP8OxlN.htm
Le 2ème rapport :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.14.05
Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
au :: AU-PC [administrateur]
14/03/2012 21:25:58
mbam-log-2012-03-14 (21-25-58).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 393550
Temps écoulé: 1 heure(s), 20 minute(s), 10 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Users\au\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ER9273WH\Firefox Setup 10.0.2.exe.vvs403u.partial (Trojan.FakeFireFox) -> Mis en quarantaine et supprimé avec succès.
C:\Users\au\Downloads\Firefox Setup 10.0.2.exe (Trojan.FakeFireFox) -> Mis en quarantaine et supprimé avec succès.
C:\Users\au\Downloads\WebPlayer_V16(1).exe (Trojan.RepackedSetup.SFX) -> Mis en quarantaine et supprimé avec succès.
C:\Users\au\Downloads\WebPlayer_V16.exe (Trojan.RepackedSetup.SFX) -> Mis en quarantaine et supprimé avec succès.
(fin)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir,
Essaye en affichant les fichiers cachés : http://www.vista-xp.fr/forum/topic16.html
Remettre l'affichage par défaut ensuite.
============================
Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.
1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie du bas "Personnalisation", copie/colle :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
3. Héberge les rapports et donne moi les liens.
A +
Désolé je n'arrive pas à trouver l'emplacement du fichier C:\ProgramData\winmnjexeor.dat
Essaye en affichant les fichiers cachés : http://www.vista-xp.fr/forum/topic16.html
Remettre l'affichage par défaut ensuite.
============================
Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.
1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie du bas "Personnalisation", copie/colle :
C:\ProgramData\*.dat /s C:\ProgramData\*.exe /s
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
3. Héberge les rapports et donne moi les liens.
A +
Bonsoir,
Rapport Otl : http://cjoint.com/12ma/BCpwnmuBTJw.htm
je n'arrive toujours pas à t voici le trouver le fichier l'emplacement du fichier C:\ProgramData\winmnjexeor.dat : http://www.cjoint.com/confirm.php?cjoint=BCpwvWQj2YV
3ème rapport : http://www.cjoint.com/confirm.php?cjoint=BCpwzRKzgNx
A bientôt
Rapport Otl : http://cjoint.com/12ma/BCpwnmuBTJw.htm
je n'arrive toujours pas à t voici le trouver le fichier l'emplacement du fichier C:\ProgramData\winmnjexeor.dat : http://www.cjoint.com/confirm.php?cjoint=BCpwvWQj2YV
3ème rapport : http://www.cjoint.com/confirm.php?cjoint=BCpwzRKzgNx
A bientôt
Bonsoir,
Dommage pour le fichier, mais maintenant je l'ai fixé avec OTL
Par contre tu as réinstallé des adwares hier soir à 20:54 en installant iMesh Applications.
Tu as deux antivirus installé AVG et NIS, tu souhaites conserver lequel ?
A +
Dommage pour le fichier, mais maintenant je l'ai fixé avec OTL
Par contre tu as réinstallé des adwares hier soir à 20:54 en installant iMesh Applications.
Tu as deux antivirus installé AVG et NIS, tu souhaites conserver lequel ?
A +
re,
1. Désinstalle proprement NIS : https://www-secure.symantec.com/norton-support/jsp/help-solutions.jsp?docid=kb20080828154508EN_EndUserProfile_fr_fr&lg=french&ct=france&product=home&version=current&pvid=f-home
2. Désinstalle iMesh / Wincore Mediabar
3. Relance AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Poste le rapport, A +
1. Désinstalle proprement NIS : https://www-secure.symantec.com/norton-support/jsp/help-solutions.jsp?docid=kb20080828154508EN_EndUserProfile_fr_fr&lg=french&ct=france&product=home&version=current&pvid=f-home
2. Désinstalle iMesh / Wincore Mediabar
3. Relance AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Poste le rapport, A +
Bonjour,
J'ai une fenêtre qui s'affiche à chaque ouverture de Vista avec le message suivant :
RunDLL
Problème lors du démarrage de C:\PROGRA-3\F39E6EF111E0442D815C6F4021B69B.exe.tmp
Voilà le rapport de AdwCleaner
# AdwCleaner v1.501 - Rapport créé le 17/03/2012 à 12:21:17
# Mis à jour le 04/03/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : au - AU-PC
# Exécuté depuis : C:\Users\au\Downloads\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [H. Navipromo] *****
***** [Registre] *****
***** [Registre (x64)] *****
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16421
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v11.0 (fr)
Profil : nv8yw69d.default
Fichier : C:\Users\au\AppData\Roaming\Mozilla\Firefox\Profiles\nv8yw69d.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
-\\ Google Chrome v [Impossible d'obtenir la version]
Fichier : C:\Users\au\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [4787 octets] - [14/03/2012 21:02:09]
AdwCleaner[S2].txt - [1066 octets] - [17/03/2012 12:21:17]
########## EOF - C:\AdwCleaner[S2].txt - [1194 octets] ##########
Cordialement
J'ai une fenêtre qui s'affiche à chaque ouverture de Vista avec le message suivant :
RunDLL
Problème lors du démarrage de C:\PROGRA-3\F39E6EF111E0442D815C6F4021B69B.exe.tmp
Voilà le rapport de AdwCleaner
# AdwCleaner v1.501 - Rapport créé le 17/03/2012 à 12:21:17
# Mis à jour le 04/03/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : au - AU-PC
# Exécuté depuis : C:\Users\au\Downloads\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [H. Navipromo] *****
***** [Registre] *****
***** [Registre (x64)] *****
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16421
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Mozilla Firefox v11.0 (fr)
Profil : nv8yw69d.default
Fichier : C:\Users\au\AppData\Roaming\Mozilla\Firefox\Profiles\nv8yw69d.default\prefs.js
[OK] Le fichier ne contient aucune entrée illégitime.
-\\ Google Chrome v [Impossible d'obtenir la version]
Fichier : C:\Users\au\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [4787 octets] - [14/03/2012 21:02:09]
AdwCleaner[S2].txt - [1066 octets] - [17/03/2012 12:21:17]
########## EOF - C:\AdwCleaner[S2].txt - [1194 octets] ##########
Cordialement
Bonjour,
Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Rapport , coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
A +
Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Rapport , coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
A +
Pour répondre à votre question, Avg a détecté 2 cheveaux de troie :
-Dropper.GenericC5.Awdu
-AgentR.BCH