PC infecté par Cheval de Troie: Agent. 7 .BC, antivirus AVG Free [Résolu/Fermé]

Signaler
Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013
-
Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013
-
Bonjour à tous,

Je ne suis pas un pro de l'informatique, mais j'ai tout de même pour habitude d'aller fouiner un peu sur les forums de discussion pour dénicher des solutions à mes problèmes en cas de pépins, malheureusement ce coup-ci j'avoue ne pas avoir trouvé de forum de discussion relatif à mon problème,et être un peu dans l'impasse...

Mon PC est infecté depuis quelque jours par un virus: Cheval de Troie Agent .7. BC.

Mon anti-virus est AVG Free, il parvient à réparer certaines infections mais pas toutes.

Impossible de supprimer les infections non réparées, il me met "l'objet n'est pas accessible"

J'ai lancé MBAM, il ne repère aucun éléments nuisibles.

J'ai également fait une purge avec SPYBOT qui m'a permis de virer pas mal de parasites,mais le Cheval de Troie quant à lui demeure...

Voici le rapport d'AVG après analyse complète de l'ordinateur, et après avoir cliqué sur "supprimer les infections non réparées" :

"C:\Windows\System32\taskeng.exe (3668):\memory_02910000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Windows\System32\taskeng.exe (3668)";"Cheval de Troie : Agent.7.BC";""
"C:\Windows\System32\rundll32.exe (4156):\memory_00030000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Windows\System32\rundll32.exe (4156)";"Cheval de Troie : Agent.7.BC";""
"C:\Windows\System32\dwm.exe (3616):\memory_01560000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Windows\System32\dwm.exe (3616)";"Cheval de Troie : Agent.7.BC";""
"C:\Windows\System32\conime.exe (4960):\memory_00090000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Windows\System32\conime.exe (4960)";"Cheval de Troie : Agent.7.BC";""
"C:\Windows\explorer.exe (3712):\memory_03680000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Windows\explorer.exe (3712)";"Cheval de Troie : Agent.7.BC";""
"C:\Windows\ehome\ehtray.exe (2928):\memory_00860000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Windows\ehome\ehtray.exe (2928)";"Cheval de Troie : Agent.7.BC";""
"C:\Windows\ehome\ehmsas.exe (3280):\memory_003c0000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Windows\ehome\ehmsas.exe (3280)";"Cheval de Troie : Agent.7.BC";""
"C:\Users\Gilbertine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\adf2b32-4f414c84:\bagdfssdb.class";"Virus identifié Java/Exploit";"Placé en quarantaine"
"C:\Users\Gilbertine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\adf2b32-4f414c84:\bagdfssda.class";"Cheval de Troie : Exploit.Java_c.FVK";"Placé en quarantaine"
"C:\Users\Gilbertine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\adf2b32-4f414c84";"Cheval de Troie : Exploit.Java_c.FVK";"Placé en quarantaine"
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (4172):\memory_00030000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (4172)";"Cheval de Troie : Agent.7.BC";""
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (2016):\memory_00030000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (2016)";"Cheval de Troie : Agent.7.BC";""
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (1488):\memory_00030000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (1488)";"Cheval de Troie : Agent.7.BC"


14 réponses

Messages postés
180077
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2020
22 143
Salut,

Désinstalle Spybot il est inefficace.

Fais un scan avec Kaspersky removal tool : https://forum.malekal.com/viewtopic.php?t=33710&start=

Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien du rapport ici.
Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013

Merci pour la promptitude de ta réponse! J'y vais de ce pas!
Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013

Ci-joint comme convenu le lien du rapport établi par Kaspersky Removal Tool (par contre le lien que tu m'as donné pour télécharger Kaspersky Removal Tool ne fonctionnait pas)

https://pjjoint.malekal.com/files.php?id=20130213_r15k15t9y14k13

Il a trouvé une menace et m'as proposé de redémarrer l'ordinateur pour pouvoir le traiter, j'ai refuser préférant d'abord avoir ton avis sur la question.

Par contre quand il m'a proposer de mettre en quarantaine j'ai cliquer ok.

Par ailleurs, j'ai bien désinstaller Spybot.

(Désolé pour le retard de ma réponse, mais le pc ramait pas mal, et le scan de Kaspersky Removal Tool également,j'ai donc laissé tourné le PC, et n'ai pu répondre que maintenant...)
Messages postés
180077
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2020
22 143
C'est du Zbot :
13/02/2013 12:11:28 Détectés Chevaux de Troie HEUR:Trojan.Win32.Generic Elevées Partiellement C:\Users\Gilbertine\AppData\Roaming\Hife\etic.exe
13/02/2013 12:17:00 Mis en quarantaine Chevaux de Troie HEUR:Trojan.Win32.Generic Elevées Partiellement C:\Users\Gilbertine\AppData\Roaming\Hife\etic.exe
13/02/2013 12:17:00 Mis en quarantaine Chevaux de Troie HEUR:Trojan.Win32.Generic Elevées Partiellement C:\Users\Gilbertine\AppData\Roaming\Hife\etic.exe


Ca doit faire m*erder AVG parce qu'ils détectent dans ton premier ne sont pas des fichiers malicieux.
Mets tout en quarantaine puis :

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013

Salut!

Suivant tes instructions voici le lien du rapport d' AdwCleaner:

https://pjjoint.malekal.com/files.php?id=20130214_q14h12i15s7j15

Par contre lorsque je lance l'analyse avec OTL (en ayant bien veillé à cocher "tous les utilisateurs" et copié/collé le script que tu m'as transmis dans "personnalisation"), l'analyse démarre mais fini toujours par s'arrêter en plein cours, et la barre tout en-bas dans laquelle on voit défiler les objets scannés, se met à clignoter, avec inscrit dedans:

Pattern Search - Looking at file: C:\Users\Gilbertine\AppData\Local\Google\Chrome\User Data\Defaut\IndexedDB\htt

puis au bout d'un moment la fenêtre d'analyse se ferme presque complètement ne laissant plus qu'apparaître la barre de titre, et le message "le programme ne répond plus" apparaît

J'ai retenté plusieurs fois l'opération, rien à faire toujours la même chose...

Par ailleurs le pc et la connexion internet ne semble plus ramer, ce qui est tout de même plutôt bon signe...
Messages postés
180077
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2020
22 143
Fais le scan OTL sans le script.
Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013

J'ai lancé le scan OTL sans le script; même résultat, il bloque toujours sur

Pattern Search - Looking at file: C:\Users\Gilbertine\AppData\Local\Google\Chrome\User Data\Defaut\IndexedDB\htt...
Messages postés
180077
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2020
22 143
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.


Rtente OTL.
Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013

J'ai retenté OTL en mode sans échec, ça ne passe toujours pas.
Messages postés
180077
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2020
22 143
Sauvegarde tes documents importants.
A lire en entier.


Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.


Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013

Salut,

Désolé de ne répondre que maintenant, cela m'a pris un peu de temps pour sauvegarder tous mes fichiers...

Par ailleurs j'ai eu un peu de mal avec ComboFix, il s'arrêtait systématiquement à l'étape 4 lorsque le scan était lancé, même en mode sans échec, avec le message « pour protéger votre ordinateur Windows a fermé ce programme »; le problème venait en fait du PED (prévention de l'exécution des données), suivant les instruction d'un autre forum de discussion sur le site je l'ai donc désactivé, et pfffiouu! enfin pu obtenir le rapport de ComboFix!

Ci-joint le lien du rapport:
https://pjjoint.malekal.com/files.php?id=20130221_s15z10r9c11i7

En espérant être tiré d'affaire...(en tout cas AVG ne me signale plus la présence de virus)
Messages postés
180077
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2020
22 143
Ca a l'air que Combofix a buté Zbot.
Donc je pense que le problème est résolu.

Il faut impérativement que tu changes tous tes mots de passe, ils ont été récupérés.
Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013

Ok j'vais faire ça

En tout UN GRAND GRAND MERCI pour ton assistance et ton aide:)!
Elles m'auront été très précieuses et d'un très grand secours :))))))!
Messages postés
180077
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2020
22 143
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Messages postés
20
Date d'inscription
mercredi 13 février 2013
Statut
Membre
Dernière intervention
12 avril 2013

Ok merci encore pour toute tes recommandations :))))!