Sujet Précédent Sujet Suivant

Virus Trojan agent impossible de le supprimer (keylogger)

Résolu/Fermé
kevinRDS - 7 nov. 2015 à 02:21
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 - 7 nov. 2015 à 22:07
Bonsoir à tous,

J'ai eu quelque problème sur Teamspeak... Il y a quelques heures des petits malins on réussis à mettre un keylogger (Trojan.Agent) sur un serveur privé, et j'ai donc été touché par celui-ci, le problème n'est pas de l'avoir trouver, etc... mais de comment faire pour m'en débarrasser sans avoir à remettre mon ordinateur à zéro sachant que je ne peux pas :')...

J'ai vu qu'il est possible d'utiliser des logiciels qui donnent des informations sur bloc note et avec le quel on peut ensuite supprimer le virus, mais je ne m'y connait pas du tout, donc ça ne m'aide pas :s.

J'ai déjà essayer de supprimer avec MBAM et windows defender mais il est toujours là même après suppression, redémarrage, ect...

Si quelqu'un peu me venir en aide s'il vous plait, ça m'aiderai beaucoup :).

cordialement.
A voir également:

5 réponses

Réponse 1 / 5
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
7 nov. 2015 à 02:47
Bonsoir

Peux tu poster le rapport MBAM
Regarde sur cette page comment éditer le rapport
  • http://helper-formation.fr/entraide/securite-virus/mbam-examen-personnalise-t3422.html


=======================


tu peux lancer un scan zhpdiag pour voir :
  • Télécharger >ZHPdiag sur le bureau
    • Ou utiliser ce lien si le précédent lien ne fonctionne pas
  • Une fois téléchargé sur le bureau, lance-le 
  • /!\ Les Utilisateurs de Windows Vista-7-8-10 , Cliquer droit sur l'icône ZHPdiag puis "exécuter en tant qu'Administrateur"
  • Cliquer ensuite sur "Scanner"
  • Laisser travailler l'outil sans rien toucher même s'il semble bloqué !
  • A la fin du scan, le rapport s'affiche et sera enregistré sur le bureau.
  • Merci de poster ce rapport dans ta prochaine réponse.
  • si tu ne sais pas comment poster un rapport voici une explication >>ICI<<



=======================

2 rapports

MBAM
ZHPdiag
1
kevinRDS
7 nov. 2015 à 03:24
Voici le rapport MBAM :

Pour les "problème" YAC, j'ai réglé le soucis c'est surtout la fin qui est le plus inquiétant.

http://www.cjoint.com/c/EKhcmd5wIT4

Le rapport ZHPdiag :

http://www.cjoint.com/c/EKhcwjrrPY4

Merci en tout cas de votre réponse et des futurs à venir :).
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
7 nov. 2015 à 03:46
Avec plaisir

Rapport MBAM c'est pas le bon ... Il me faudrait celui qui t'a détecté ce que tu dis ?
Le dernier scan ... sinon pas grave !
  • Ce que tu vas faire avec Revo Uninstaller téléchargement > ICI
    • Désinstalle SpyHunter :-//



==================================

Ensuite passe roguekiller .</gras>
  • télécharger RogueKiller (par tigzy) sur le bureau.
  • Note:(TUTO ICI) ou (ICI)
  • Lancer <gras>RogueKiller.exe 
  • /!\ Les Utilisateurs de Windows Vista-7-8-10 , Cliquer droit sur Le Setup.exe (de roguekiller) puis "exécuter en tant qu'Administrateur"
  • Accepter la licence
    • Note : /!\ Si RogueKiller ne se lance pas, changer son nom en Winlogon.
    • Installation >> Cliquer sur Next/Next >> /!\ Ne pas oublier de cocher "Create a desktop icon" >> "Next" et "Install" ... en enfin "Finish"
  • Attendre la fin du pré-scan
  • Cliquer sur le bouton "Scan"
  • Laisser l'outil travailler , ne toucher ni au clavier ni à la souris!
  • /!\FIN DU SCAN >> A ce stade,ne rien supprimer sans mon accord.
  • Cliquer sur l'onglet "Rapport"
  • > Ouvrir TXT (en bas à gauche)
  • > Onglet "Fichier" > Enregistrer sous >>"Bureau" >> OK
  • Un rapport du type rk_BA16.tmp sera créé sur le bureau
  • Merci de poster ce rapport dans la prochaine réponse.
0
kevinRDS
7 nov. 2015 à 04:07
Dans le dernier rapport de MBAM il ne m'indique aucun problème alors que j'ai trouvé après avec le scan de windows defender, le virus trojan agent.

le rapport MBAM pour être sur :

http://www.cjoint.com/c/EKhdbUWOxt4

Et voici le rapport RogueKiller :

http://www.cjoint.com/c/EKhdhtmpIi4

Voici les rapports, merci :).
0
Réponse 2 / 5
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
7 nov. 2015 à 04:23
Pour info :
  • lorsque tu lances MBAM ne pas oublier de /!\ Cocher "recherche de rootkits" et surtout mettre à jour sa base de données avant de lancer l'analyse ;)

Inspire toi de ce tuto pour faire tes scan > http://helper-formation.fr/entraide/securite-virus/mbam-examen-personnalise-t3422.html

================

Tout est clean no problémo... ;)
  • Windows defender ;-/
  • Conseille >> /!\ SpyHunter :-// à dégager !!! ok ? ;-)


========

Passe ça :
ZHPfix

Voici la correction à apporter avec zhpfix et on voit ensuite
  • Télécharger et enregistrer Zhpfix sur ton bureau
  • lancer zhpfix, il va s'installer sur le pc, 
  • /!\ Les Utilisateurs de Vista-7-8-10 Cliquer droit sur le logo de ZHPfix et "exécuter en tant qu'Administrateur"

/!\ Avertissement /!\ 
ce script est spécialement rédigé pour ce pc en cours du nettoyage, ne pas utiliser ce script sur un autre pc, Risque de Plantage !
  • Lancer ZHPFix via le raccourci qui se trouve sur le Bureau. "L'icône ressemble à une seringue".
  • Cliquer sur "importer" > Une fenêtre d'avertissement apparait cliquer sur OK
  • Copier ( Ctrl + C ) et coller ( Ctrl + V ) les lignes ci-dessous en gras dans la fenêtre de Zhpfix.


Script ZHPFix
OPT:O4 - HKLM\..\Run: [IgfxTray] . (.Intel Corporation - igfxTray Module.) -- C:\Windows\System32\igfxtray.exe ©
OPT:O4 - HKLM\..\Run: [Persistence] . (.Intel Corporation - persistence Module.) -- C:\Windows\System32\igfxpers.exe ©
OPT:O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files (x86)\Synaptics\SynTP\SynTPEnh.exe (.not file.)
OPT:O4 - HKCU\..\Run: [CCleaner Monitoring] . (.Piriform Ltd - CCleaner.) -- C:\Program Files\CCleaner\CCleaner64.exe ©
OPT:O4 - HKUS\S-1-5-21-3873815325-63837114-260691018-1001\..\Run: [CCleaner Monitoring] . (.Piriform Ltd - CCleaner.) -- C:\Program Files\CCleaner\CCleaner64.exe ©
SpyHunter 4 v4.20.9.4533
O39 - APT: SpyHunter4Startup - (.Enigma Software Group USA, LLC..) -- C:\WINDOWS\System32\Tasks\SpyHunter4Startup [3344]
O43 - CFD: 27/07/2015 - [] D -- C:\ProgramData\boost_interprocess
O45 - LFCP:[MD5.DDD2D6523817AF061A4853FB68A29A8A] 06/11/2015 A -- C:\WINDOWS\Prefetch\YET_ANOTHER_CLEANER_SK_26805.-0273F921.pf
C:\WINDOWS\Prefetch\YET_ANOTHER_CLEANER_SK_26805.-0273F921.pf
EmptyTemp
EmptyCLSID
EmptyFlash
EmptyPrefetch
ProxyFix
FirewallRAZ
SysRestore
  • Cliquer sur le bouton "GO" pour lancer le nettoyage puis Confirmer le nettoyage
  • Redémarre le pc ... et dans ta prochaine réponse, dis moi comment se comporte le pc stp .
  • Un rapport ZHPfix.txt se trouvera sur le bureau...
    • Merci de poster ce rapport (zhpfix) dans ta prochaine réponse.




====================

Tu peux aussi stopper la surveillance Ccleaner :

1
kevinRDS Messages postés 9 Date d'inscription samedi 7 novembre 2015 Statut Membre Dernière intervention 7 novembre 2015
7 nov. 2015 à 04:47
J'ai fais toutes les petites corrections que vous m'avez dit, ainsi que supprimer spyhunter

Voici le rapport de ZHPfix :

https://www.cjoint.com/c/EKhdUf3SSU4
0
Réponse 3 / 5
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
7 nov. 2015 à 04:59
Ok parfait ;)
  • Ouvre Windows defender et dis moi si tu as un chemin d'accès pour l'analyser sur virus total :

exemple .... C:\Intel\xxx.exe
Si tu trouves l'endroit où il est, tu vas sur VirusTotal et tu analyses le fichier en question et donne le lien en retour de message :



==========================

Sinon donne moi le lien de ce qu'il a détecté :

comme ça :
Tu cliques > 1 fenêtre web s'ouvre et tu donnes le lien en retour




==============

jm
1
Réponse 4 / 5
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié par jmdepise le 7/11/2015 à 05:49
---------- Sécurisation --- A lire ----------

/!\ Comment maintenir son système en bonne santé /!\
======================================================

/!\ Un Site à visiter /!\ (merci Malekal)
  • Télécharger depuis les sites officiels des éditeurs > Éviter les sites de téléchargement comme Softonic, telecharger.com, 01.com / 01men / tuto4you ...
  • Lire cet article préventif de Malekal => "Stop les publicités"
  • /!\Bannir les CRACKS : danger-des-cracks-keygen /!\<souligne>
  • !!! Éviter le PEER to PEER !!! : les-dangers-peer-peer
  • Maintenir son système et ses programmes à jours (Windows UPDATE) : helper-formation.fr
  • !!! Faire des Sauvegardes des données personnelles régulièrement sur Disque dur externe par exemple !!!
  • Tu peux te servir de cet outil SX Check&Update (de igor51)
  • Bien lire les accords de licence avant d'installer quelque chose.
  • Lisez d'abord cliquez après !!! >>A lire<<
  • UAC = User Account Control UAC pourquoi ne pas desactiver
  • /!\ Session Compte Local ou Administrateur : Pourquoi ne pas surfer avec les droits administrateur

==========================================

===========================================
  • Pour finir , tu peux Garder Malwarebytes anti-malware et faire un Scan de temps en temps ( 2 fois / mois) .... /!\ Attention de mettre à jour MBAM avant de lancer l'analyse
    • >>Malwarebytes anti-Malware // TUTO et téléchargement<<

=========================================
Attention aux Adware !!!
Adware Prevention (de guigui0001)
  • voici un petit outil qui te permet d'apprendre à bien installer un programme et de connaitre certains pièges</gras>
  • Télécharge Adware Prevention (de guigui0001) sur ton bureau.
  • Lance-le > clique-droit > exécuter en tant qu'administrateur
  • Cet outil va simuler une installation bourrée d'adwares.
  • A la fin de cette fausse installation, l'outil fait un bilan de l'installation.
  • Voici un Tutoriel

============================================
Voilà bonne lecture et bon surf
:)
1
kevinRDS Messages postés 9 Date d'inscription samedi 7 novembre 2015 Statut Membre Dernière intervention 7 novembre 2015
7 nov. 2015 à 11:15
Alors voici où ce cache le virus selon windows defender :

file:C:\Program Files (x86)\WinRAR\Default.SFX

et voici avec VirusTotal ce que j'obtiens :

https://www.virustotal.com/gui/file/c813c6e70db0ded3be3a891615c957ec9f42e55ef375a8e8517f2cb44e77fce7

Et merci pour le second message, ça va m'aide énormément :D.

ps : adblock c'est la vie :p.
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié par jmdepise le 7/11/2015 à 11:45
;) pas de souci
  • Clean (2 probable false positive detections)

http://www.herdprotect.com/default.sfx-2647065207363b67a7787b3fc99480fd5830aaa0.aspx

============
Comment va ton pc maintenant?
Fluide - démarrage - etc...

==============

Si tout ok tu peux passer delfix :
  • Pour supprimer les outils / purger la restauration.
  • Télécharger DelFix (de Xplode) sur ton Bureau
  • Si le lien ne fonctionne pas utilise ceclui-ci

/!\ Les utilisateurs de Vista-7-8-10, cliquer droit puis "Exécuter en temps qu'administrateur".
  • Cocher les cases comme indiqué ICI :
  • Supprimer les outils de désinfection
  • Purger la restauration système
  • Cliquer ensuite sur Exécuter puis patienter pendant le processus de suppression.
  • Laisser travailler l'outil.
  • Un rapport s'ouvre Copie la totalité (Ctrl+C) >> colle (Ctrl+V) le contenu dans ta prochaine réponse
  • Delfix se supprime automatiquement
  • /!\ Le rapport se trouve aussi >> C\Defix.txt



==
Ouii Adblock +++++++ :))

jm
0
kevinRDS Messages postés 9 Date d'inscription samedi 7 novembre 2015 Statut Membre Dernière intervention 7 novembre 2015
7 nov. 2015 à 11:59
Voici ce que j'ai obtenu :

# DelFix v1.011 - Rapport créé le 07/11/2015 à 11:58:09
# Mis à jour le 18/08/2015 par Xplode
# Nom d'utilisateur : utilisateur - SALON
# Système d'exploitation : Windows 8.1 (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\utilisateur\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\utilisateur\Downloads\RogueKiller.exe
Supprimé : C:\Users\utilisateur\Downloads\ZHPDiag3.exe
Supprimé : C:\Users\utilisateur\Downloads\ZHPFix.exe

~ Purge de la restauration système ...

Supprimé : RP #22 [Fin de désinfection | 11/06/2015 22:17:06]

Nouveau point de restauration créé !

########## - EOF - ##########
0
kevinRDS Messages postés 9 Date d'inscription samedi 7 novembre 2015 Statut Membre Dernière intervention 7 novembre 2015
7 nov. 2015 à 12:06
Mon Pc va bien j'ai quelques latence, mais c'est habituel surtout avec les analyses :).
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
7 nov. 2015 à 16:22
C'est parfait

Si tu as des questions n'hésites pas ;)

"A l'avenir si tu as un doute sur un fichier, tu sais comment analyser en ligne avec VirusTotal ... "

Bon surf

jm
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
7 nov. 2015 à 18:24
Alors fais ceci pour réactiver au démarrage :
  • C:\Windows\System32\igfxtray.exe
  • C:\Windows\System32\igfxpers.exe


===================================

Les lignes du script zhpfix étaient pour optimiser le pc (arrêter les applications au démarrage) et supprimer les restes d'infections.
Tu vas donc restaurer ces deux lignes et pas les autres ...Comme indiqué ci-dessous :
  • Télécharger et enregistrer Zhpfix sur ton bureau
  • lancer zhpfix, il va s'installer sur le pc, 
  • /!\ Les Utilisateurs de Vista-7-8-10 Cliquer droit sur le logo de ZHPfix et "exécuter en tant qu'Administrateur"

/!\ Avertissement /!\

Ensuite l'un après l'autre restaure ces lignes
  • C:\Windows\System32\igfxtray.exe
  • C:\Windows\System32\igfxpers.exe


Redémarrer le pc et tester, réglages éventuelle ...

=============

jm
1
kevinRDS Messages postés 9 Date d'inscription samedi 7 novembre 2015 Statut Membre Dernière intervention 7 novembre 2015
7 nov. 2015 à 20:38
J'ai retrouver des ips, correcte du moins je pense pour le moment :), merci bien. Une dernière question, le keylog est vraiment supprimer et il ne peut plus rien m'arriver ? Ou il y a encore des risques ?
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié par jmdepise le 7/11/2015 à 20:47
Question :
  • Est-ce que tu as procédé à la correction que je t'ai indiqué ?
  • Et la réponse est oui tout est clair sur ton pc. tu peux suivre les recommandations pour garder ton Windows en sécurité ;)
0
kevinRDS Messages postés 9 Date d'inscription samedi 7 novembre 2015 Statut Membre Dernière intervention 7 novembre 2015
7 nov. 2015 à 21:59
Non je n'ai pas eu besoin ça venait des fichiers, qui étaient en fonctionnement mais dans les icônes caché en arrière plan :).

Pour ce qui est de ta correction je n'ai pas compris quoi faire car je n'ai que deux ligne dans le logiciel.

Merci bien alors pour le temps que tu m'as consacré :).
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié par jmdepise le 7/11/2015 à 22:02
Alors si tout fonctionne bien pour les ips, ne touche à rien ;)

Tout est ok ?

.
0
kevinRDS Messages postés 9 Date d'inscription samedi 7 novembre 2015 Statut Membre Dernière intervention 7 novembre 2015
7 nov. 2015 à 22:05
Oui tous est ok, un grand merci encore une fois pour votre aide :). Bonne soirée et continuez comme ça !!
0

Discussions similaires

qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
QuickShare c'est quoi ce truc
edelweiss2604 -
edelweiss2604 -

41 réponses
Boucle sur la première diapositive d'une présentation
ND83 -
ndubau -

3 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses