Trojan.Agent Résolu/Fermé

Question

Bonjour,
Depuis quelques jours je n'arrive pas à me débarrasser d'un virus  malgré plusieurs scans et suppression avec Malware. 
Rapport : Trojan.Agent - Catégorie : Registry Value - HKLM\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run|50504.
Merci pour votre aide. Cordialement.

Malekal_morte- · Answer

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

DERALI · Answer

Bonsoir,
Je n'arrive pas à télécharger OTL. A chaque fois j'ai un message d'erreur m'indiquant qu'il contient un virus !!!
Comment procéder ? Merci pour votre réponse.

DERALI · Answer

Voici le lien pjjoint : http://pjjoint.malekal.com/files.php?read=OTL_20140114_j8v7m14q9s9
Merci.

DERALI · Answer

Voici le lien pour le rapport Extra.txt : http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140114_s8m15s9x10d5

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 50504 = C:\PROGRA~3\LOCALS~1\Temp\msjfqwbh.pif 
[2014/01/14 14:27:10 | 000,422,216 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\dwekgddj.sys  
[2014/01/14 17:05:09 | 000,422,216 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\lylxdkxp.sys  
[2014/01/14 17:04:20 | 000,422,216 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\fomfyubk.sys  
[2014/01/14 17:02:27 | 000,422,216 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\zqmrasjz.sys  
[2014/01/14 16:53:28 | 000,422,216 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers
gtsjfyu.sys  
[2014/01/14 16:45:46 | 000,422,216 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\uxbtxyfz.sys  
[2014/01/14 16:44:51 | 000,422,216 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\uzlklguk.sys  
[2014/01/14 16:43:46 | 000,422,216 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\bkwilxyd.sys  
[2014/01/14 16:43:35 | 000,422,216 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\drivers\egnvzxoc.sys  
[2014/01/14 17:05:09 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\lylxdkxp.sys  
[2014/01/14 17:04:20 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\fomfyubk.sys  
[2014/01/14 17:02:27 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\zqmrasjz.sys  
[2014/01/14 16:53:28 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers
gtsjfyu.sys  
[2014/01/14 16:45:46 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\uxbtxyfz.sys  
[2014/01/14 16:44:51 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\uzlklguk.sys  
[2014/01/14 16:43:46 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\bkwilxyd.sys  
[2014/01/14 16:43:35 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\egnvzxoc.sys  
[2014/01/14 14:27:10 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\dwekgddj.sys  
[2014/01/14 14:06:40 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\atrojofg.sys  
[2014/01/14 14:05:47 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\jgeqrwpg.sys  
[2014/01/14 14:04:36 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\usazssbl.sys  
[2014/01/14 14:03:15 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\otmuvxhg.sys  
[2014/01/14 14:02:53 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\huekljck.sys  
[2014/01/14 14:01:41 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\brniwbon.sys  
[2014/01/14 14:01:36 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\bmcynhri.sys  
[2014/01/14 14:00:12 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\pjmdlevf.sys  
[2014/01/14 13:59:49 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\czugpfyd.sys  
[2014/01/14 13:59:44 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\oourufvv.sys  
[2014/01/14 13:59:15 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers
hrgfiny.sys  
[2014/01/14 13:58:01 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\cksxcidx.sys  
[2014/01/14 13:57:28 | 000,422,216 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\ufgvsbzv.sys  
[2013/12/29 21:51:41 | 000,079,816 | ---- | M] () -- C:\Windows\SysNative\drivers\5174aa5fabd58114.sys  
[2013/12/29 21:51:45 | 000,000,000 | -HSD | M] -- C:\Users\Dali\AppData\Roamingjuudcwt 
:files
C:\Windows	asks\At*.job


* poste le rapport ici

DERALI · Answer

Pas eu de rapport puis redémarrage de l'ordi. Plus de virus avec un nouveau scan MBAM. Que dois-je faire des éléments qui sont sur le bureau (OTL, 2 desktop.ini, 1 dossier "confirmation_fichiers" contenant 48 éléments et un lien explorer "confirmation.htm.
En attendant votre réponse, je vous remercie beaucoup pour votre aide.
Cordialement.

Malekal_morte- · Answer

Désactive l'affiche des fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

pour voir tu pourrais faire ca :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.


Faudrait que tu changes tous tes mots de passe, peuvent avoir été volés.

DERALI · Answer

Merci pour votre réponse ! Je n'arrive pas à télécharger tdsskiller.
J'ai aussi les 2 rapports OTL.Txt et Extras.Txt sur le bureau.
Est-ce que le risque sera toujours présent si je supprime manuellement tous ces éléments y compris OTL.exe ? Soyez indulgent avec moi, mes connaissances 'système' sont quasi nulles. J'ai bien noté votre avertissement pour les mots de passe. Cordialement.

DERALI · Answer

Même problème que j'ai eu pour le téléchargement d'OTL.
A chaque essai, un message m'indique que TDSSKiller contient un virus et a été supprimé !!!

Malekal_morte- · Answer

je vois :)

Tu es infecté par ZeroAccess qui bloque les téléchargements. 
Tu peux suivre la manip suivante pour débloquer les téléchargements sur Firefox : https://www.malekal.com/sirefef-impossible-de-telecharger-sur-internet-explorer/

Si tu n'as pas Firefox, tu es alors obligé de télécharger RogueKiller depuis un autre PC et le transférer par clef USB sur le PC infecté.

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel) 
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge. 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
[*] Copie/colle le contenu du rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

Trojan.Agent

10 réponses

Discussions similaires

Newsletters