Cheval de troie AgentR.BCH

ketzer -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

je me permets de solliciter votre aide.

Mon antivirus AVG a détécté une cheval de troie sur mon disque dur et depuis
je n'arrive plus à utliser certains programmes correctement.

J'ai fait une analyse complète et le cheval de troie est mit en quarantaine.

Comment puis-je m'en débarasser ?

Je vous remercie d'avance pour votre aide.

10 réponses

  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Quel est le nom du fichier mis en quarantaine par AVG ?

    A +
    0
    1. ketzer
       
      Bonsoir, Désolé pour le retard mais je n'arrivais plus à utliser Firefox ou internet explorer correctement ils bloquent automatiquement !
      Pour répondre à votre question, Avg a détecté 2 cheveaux de troie :
      -Dropper.GenericC5.Awdu
      -AgentR.BCH
      0
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Quels sont les noms de ces fichiers stp ?

    Nous allons utiliser cet outil de diagnostic :

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case également Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    safebootminimal 
    safebootnetwork 
    /md5start
    volsnap.*
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\Tasks\*.* /s
    hklm\system\CurrentControlSet\Services\lanmanserver\parameters /s 
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    A +
    0
    1. ketzer
       
      Bonsoir,
      Voilà les liens pour les 2 rapports :
      http://cjoint.com/12ma/BCotkpe1Jgq.htm
      http://cjoint.com/12ma/BCotmAK3vFm.htm

      Merci d'avace
      0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Tu as hébergé 2 fois le même rapport (extra.txt)
    Le rapport OTL.txt doit se trouver sur ton bureau.

    A +
    0
    1. ketzer
       
      C'est bon là ?

      http://cjoint.com/12ma/BCotOnXmBiU.htm
      0
  4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    oui, c'est ça,

    Peux tu uploader le fichier C:\ProgramData\winmnjexeor.dat à cette adresse stp : http://upload.malekal.com/

    =================================================

    1. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    ● Lance AdwCleaner
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

    2. Télécharge MBAM et installe le selon l'emplacement par défaut.
    (l'essai de la version pro est facultative)

    ● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    ● Clique dans l'onglet du haut "Recherche"
    ● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ● Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ● Clique sur OK puis "Afficher les résultats"
    ● Choisis l'option "Supprimer la sélection"
    ● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ● Sinon le rapport s'ouvre automatiquement après la suppression.

    3. Héberge les rapports et donne moi les liens

    A +
    0
    1. ketzer
       
      Bonsoir,
      Voilà le rapport de AdwCleaner http://cjoint.com/12ma/BCoxtP8OxlN.htm
      Le 2ème rapport :
      Malwarebytes Anti-Malware 1.60.1.1000
      www.malwarebytes.org

      Version de la base de données: v2012.03.14.05

      Windows 7 x64 NTFS
      Internet Explorer 9.0.8112.16421
      au :: AU-PC [administrateur]

      14/03/2012 21:25:58
      mbam-log-2012-03-14 (21-25-58).txt

      Type d'examen: Examen complet
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 393550
      Temps écoulé: 1 heure(s), 20 minute(s), 10 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 2
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 4
      C:\Users\au\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ER9273WH\Firefox Setup 10.0.2.exe.vvs403u.partial (Trojan.FakeFireFox) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\au\Downloads\Firefox Setup 10.0.2.exe (Trojan.FakeFireFox) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\au\Downloads\WebPlayer_V16(1).exe (Trojan.RepackedSetup.SFX) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\au\Downloads\WebPlayer_V16.exe (Trojan.RepackedSetup.SFX) -> Mis en quarantaine et supprimé avec succès.

      (fin)
      0
    2. ketzer
       
      Désolé je n'arrive pas à trouver l'emplacement du fichier C:\ProgramData\winmnjexeor.dat !!!
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Désolé je n'arrive pas à trouver l'emplacement du fichier C:\ProgramData\winmnjexeor.dat 

    Essaye en affichant les fichiers cachés : http://www.vista-xp.fr/forum/topic16.html
    Remettre l'affichage par défaut ensuite.

    ============================

    Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

    1. Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    2. Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans la partie du bas "Personnalisation", copie/colle :

    C:\ProgramData\*.dat /s 
    C:\ProgramData\*.exe /s 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note

    3. Héberge les rapports et donne moi les liens.

    A +
    0
    1. ketzer
       
      Bonsoir,

      Rapport Otl : http://cjoint.com/12ma/BCpwnmuBTJw.htm
      je n'arrive toujours pas à t voici le trouver le fichier l'emplacement du fichier C:\ProgramData\winmnjexeor.dat : http://www.cjoint.com/confirm.php?cjoint=BCpwvWQj2YV
      3ème rapport : http://www.cjoint.com/confirm.php?cjoint=BCpwzRKzgNx

      A bientôt
      0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Dommage pour le fichier, mais maintenant je l'ai fixé avec OTL

    Par contre tu as réinstallé des adwares hier soir à 20:54 en installant iMesh Applications.

    Tu as deux antivirus installé AVG et NIS, tu souhaites conserver lequel ?

    A +
    0
    1. ketzer
       
      Lequel me conseille-tu ? Moi je préfère AVG mais ne connais pas NIS
      0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    1. Désinstalle proprement NIS : https://www-secure.symantec.com/norton-support/jsp/help-solutions.jsp?docid=kb20080828154508EN_EndUserProfile_fr_fr&lg=french&ct=france&product=home&version=current&pvid=f-home

    2. Désinstalle iMesh / Wincore Mediabar

    3. Relance AdwCleaner
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Poste le rapport, A +
    0
    1. ketzer
       
      Bonjour,
      J'ai une fenêtre qui s'affiche à chaque ouverture de Vista avec le message suivant :

      RunDLL
      Problème lors du démarrage de C:\PROGRA-3\F39E6EF111E0442D815C6F4021B69B.exe.tmp

      Voilà le rapport de AdwCleaner

      # AdwCleaner v1.501 - Rapport créé le 17/03/2012 à 12:21:17
      # Mis à jour le 04/03/2012 par Xplode
      # Système d'exploitation : Windows 7 Home Premium (64 bits)
      # Nom d'utilisateur : au - AU-PC
      # Exécuté depuis : C:\Users\au\Downloads\adwcleaner.exe
      # Option [Suppression]


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****


      ***** [H. Navipromo] *****


      ***** [Registre] *****


      ***** [Registre (x64)] *****


      ***** [Navigateurs] *****

      -\\ Internet Explorer v9.0.8112.16421

      [OK] Le registre ne contient aucune entrée illégitime.

      -\\ Mozilla Firefox v11.0 (fr)

      Profil : nv8yw69d.default
      Fichier : C:\Users\au\AppData\Roaming\Mozilla\Firefox\Profiles\nv8yw69d.default\prefs.js

      [OK] Le fichier ne contient aucune entrée illégitime.

      -\\ Google Chrome v [Impossible d'obtenir la version]

      Fichier : C:\Users\au\AppData\Local\Google\Chrome\User Data\Default\Preferences

      [OK] Le fichier ne contient aucune entrée illégitime.

      *************************

      AdwCleaner[S1].txt - [4787 octets] - [14/03/2012 21:02:09]
      AdwCleaner[S2].txt - [1066 octets] - [17/03/2012 12:21:17]

      ########## EOF - C:\AdwCleaner[S2].txt - [1194 octets] ##########

      Cordialement
      0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Relance OTL
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans la section Rapport , coche Rapport minimal
    Laisse tous les autres paramètres par défaut
    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
    ● Héberge le rapport et donne moi le lien.

    A +
    0
    1. ketzer
       
      Bonsoir,

      Voici le rapport :
      http://cjoint.com/12ma/BCsvhOJAlvX.htm
      0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Tu avais désinstallé iMesh ?

    A +
    0
    1. ketzer
       
      je ne le trouve pas dans les programmes et je n'arrive pas à le désinstallé du coup !!
      0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Regarde si tu as iMesh Applications ou MediaBar

    A+
    0