Infecté par hijacker-agent-ai
Robospierre
Messages postés
79
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Quand je lance une analyse anti-virus avec AVG avec les dernières mises à jour il détecte le virus hijacker-agent-ai.
Mais quand je le supprime il revient a chaque fois.
Quelqu'un pourrait m'aider sil vous plait?
Quand je lance une analyse anti-virus avec AVG avec les dernières mises à jour il détecte le virus hijacker-agent-ai.
Mais quand je le supprime il revient a chaque fois.
Quelqu'un pourrait m'aider sil vous plait?
A voir également:
- Infecté par hijacker-agent-ai
- Agent ransack - Télécharger - Divers Utilitaires
- Faut il activer l'agent web - Forum Antivirus
- Agent quick share ✓ - Forum Virus
- Trojan agent ✓ - Forum Virus
- Impossible de désinstaller Quick share ✓ - Forum Virus
21 réponses
Re,
Ok, on continue... :)
Ton infection est super balaise.... Pas de panique non plus... C'est une infection chinoise qui s'implante à de nombreux endroits et profondément dans le système....
Alors il faut que tu fasses tout et dans l'ordre stp....
Commence par sauvegarder tes données personnelles (sans les cracks ou autres que tu as peut être !)
> Je te conseille de faire un copier/coller due ce poste ou de l'imprimer..
> Télécharge ComboFix : http://www.pc-xpress.ca/download/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe :
- Tape sur la touche 1 (Yes) pour démarrer le scan.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
> Désactivation de service :
- Cliques sur Démarrer --> Exécuter
- Saisis : Services.msc puis OK
- Choisi le mode "Etendu" (onglets inférieurs)
- Grâce à la barre de défilement (à droite) rechercher le service suivant:
Ò»ÆðÀ´ÒôÀÖÖúÊÖ (Yiqilai)
- Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).
- Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,
puis déroule le Type de Démarrage pour le modifier en Désactivé
- Clique sur Appliquer puis OK
> Lance Hijackthis :
- Puis sélectionne < Scan >
- Coche les cases des lignes suivantes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zhaodao123.com/
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Fichiers communs\CPUSH\cpush.dll
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Invoke Class - {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} - C:\WINDOWS\system32\fc41.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8F776B2A-72DF-40C1-BD69-EDB642A706D7} - C:\WINDOWS\system32\bho.dll (file missing)
O2 - BHO: BHO Class - {BCBD80C9-6AD7-48ed-8DF1-6963414B3649} - C:\WINDOWS\system32\flym.dll
O2 - BHO: Adobe Common Objects - {C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\SWKYbh0TII.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Policies\Explorer\Run: [jlc34ov] rundll32 "C:\WINDOWS\Downlo~1\jlc34ov.dll",start
O4 - HKLM\..\Policies\Explorer\Run: [uszic] rundll32 "C:\WINDOWS\Downlo~1\uszic.dll",Run
O8 - Extra context menu item: Ò×Ȥ¹ºÎï - C:\Program Files\AD4All\link1\eachlink.htm
O9 - Extra button: Ò»ÆðÀ´ÒôÀÖÉçÇø - {7DBC6ADB-5788-4FB9-AEC3-B40A58AC11DF} - http://www.yiqilai.com (file missing)
O9 - Extra button: Ò×Ȥ¹ºÎï - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O23 - Service: Yahoo Service (YahooSvr) - Unknown owner - C:\WINDOWS\system32\98FEE\svchost.exe (file missing)
O23 - Service: Ò»ÆðÀ´ÒôÀÖÖúÊÖ (Yiqilai) - Unknown owner - C:\Program Files\Yiqilai\wmp\YiqilaiLyrics.exe (file missing)
Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet)
- Clic sur < fixe checked >
> Télécharge OTMoveIT (de Old_Timer) : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe sur ton bureau...
- Double-clique sur OTMoveIt.exe pour le lancer.
- Assure toi que la case "Unregister Dll's and Ocx's" est bien cochée !!!
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé <Paste standard List of Files/Folders to be moved>.
C:\Program Files\Fichiers communs\CPUSH\cpush.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
C:\WINDOWS\system32\fc41.dll
C:\WINDOWS\system32\bho.dll
C:\WINDOWS\system32\flym.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\SWKYbh0TII.dll
C:\WINDOWS\system32\SOUNDMAN.EXE
C:\WINDOWS\Downlo~1\jlc34ov.dll
C:\WINDOWS\Downlo~1\uszic.dll
C:\Program Files\AD4All\link1\eachlink.htm
C:\Program Files\Yiqilai\wmp\YiqilaiLyrics.exe
- Clique sur < MoveIt! > pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour, copie-colle-le dans ta réponse suivante stp.
> Télécharge Zeb-Restore : http://telechargement.zebulon.fr/zeb-restore.html
- Mets le dans un dossier, sur ton bureau par exemple.
- Lance Zebrestore et coche les cases suivantes :
RegEdit
Clés RUN
Gestionnaire des tâches
Sites de confiance et sensibles
Préfixes et Protocoles Internet
Réinitialiser Fichier Hosts
- Clique sur le bouton Restaurer.
- Quitte le programme puis renvoie un log HiJack,
> Passe un coup d'AVG et de Ccleaner en mode sans échec.
> Rends toi ensuite sur ce site virustotal et fais analyser le fichier suivant stp :
(Si problème : http://pageperso.aol.fr/loraline60/virus_total.htm )
C:\WINDOWS\system32\c4921.exe
et poste le résultat par copier/coller stp.
> Peux-tu vérifier ta console JAVA ici : https://www.java.com/fr/download/uninstalltool.jsp, et installer la nouvelle version au besoin (dans ce cas désinstalle avant l'ancienne version). Dis moi ce qu'il en est stp.
Pour info. ou en cas de problème : http://assiste.com.free.fr/p/abc/c/anti_java.html
> Mets à jour aussi Acrobat si ce n'est pas le cas (désinstalle avant la version antérieure) : https://get2.adobe.com/reader/otherversions/
> Assure toi d'avoir accès aux fichiers cachés :
Menu démarrer => apparence et thèmes => options des dossiers => affichage
"Afficher les fichiers cachés" => coché
"Masquer les extensions.." => décoché
"Masquer les fichiers protégers du système" => décoché
> Recherche dans c:/ (menu démarrer => rechercher) le fichier :
C:\PROGRA~1\FICHIE~1\TerraTec\SCHEDU~1\TTTimer.exe
Note son emplacement (certainement c:/programfiles/fichiers communs....) et donne le moi stp
> Télécharge, puis installe MSNFix : http://sosvirus.changelog.fr/MSNFix.zip , tuto de Malekal : [https://www.malekal.com/supprimer-virus-desinfecter-pc/ (si tu as besion).
- Décompresse donc le dossier zip MSNFix et lance le fichier "MSNFix.bat". Une fenêtre bleue doit apparaitre.
- Mets l'interface en français en appuyant sur la touche F puis sur Entrée.
- Lance la recherche de virus en appuyant sur la touche R puis sur Entrée.
Si un virus est détecté, il te sera alors demandé de nettoyer l'ordinateur.
Un message d'erreur concernant la suppression impossible d'un fichier sera résolu par un redémarrage.
Après le nettoyage, la barre "Démarrer" s'efface puis réapparait, cela fait partie de la procédure de nettoyage.
- Poste le rapport qui s'ouvre en fin de nettoyage sur le forum stp.
Si ta barre "Démarrer" ne s'affiche toujours pas, il suffit de faire :
Ctrl + Alt + Suppr (sous Windows XP), ou Ctrl + Maj + Echap (sous Windows Vista) pour ouvrir le Gestionnaire de tâches Windows.
- Fais ensuite "Fichier", puis "Nouvelle tâche" et entre explorer.exe dans la fenêtre qui apparait et finis par "OK".
- redémarre ton ordinateur pour achever le nettoyage !
> Relance ton PC et Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,
Et envoie, par collier/coller, ton log Hijackthis stp,
Bon courage,
A+
:)
Ok, on continue... :)
Ton infection est super balaise.... Pas de panique non plus... C'est une infection chinoise qui s'implante à de nombreux endroits et profondément dans le système....
Alors il faut que tu fasses tout et dans l'ordre stp....
Commence par sauvegarder tes données personnelles (sans les cracks ou autres que tu as peut être !)
> Je te conseille de faire un copier/coller due ce poste ou de l'imprimer..
> Télécharge ComboFix : http://www.pc-xpress.ca/download/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe :
- Tape sur la touche 1 (Yes) pour démarrer le scan.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
> Désactivation de service :
- Cliques sur Démarrer --> Exécuter
- Saisis : Services.msc puis OK
- Choisi le mode "Etendu" (onglets inférieurs)
- Grâce à la barre de défilement (à droite) rechercher le service suivant:
Ò»ÆðÀ´ÒôÀÖÖúÊÖ (Yiqilai)
- Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).
- Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,
puis déroule le Type de Démarrage pour le modifier en Désactivé
- Clique sur Appliquer puis OK
> Lance Hijackthis :
- Puis sélectionne < Scan >
- Coche les cases des lignes suivantes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zhaodao123.com/
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Fichiers communs\CPUSH\cpush.dll
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Invoke Class - {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} - C:\WINDOWS\system32\fc41.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8F776B2A-72DF-40C1-BD69-EDB642A706D7} - C:\WINDOWS\system32\bho.dll (file missing)
O2 - BHO: BHO Class - {BCBD80C9-6AD7-48ed-8DF1-6963414B3649} - C:\WINDOWS\system32\flym.dll
O2 - BHO: Adobe Common Objects - {C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\SWKYbh0TII.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Policies\Explorer\Run: [jlc34ov] rundll32 "C:\WINDOWS\Downlo~1\jlc34ov.dll",start
O4 - HKLM\..\Policies\Explorer\Run: [uszic] rundll32 "C:\WINDOWS\Downlo~1\uszic.dll",Run
O8 - Extra context menu item: Ò×Ȥ¹ºÎï - C:\Program Files\AD4All\link1\eachlink.htm
O9 - Extra button: Ò»ÆðÀ´ÒôÀÖÉçÇø - {7DBC6ADB-5788-4FB9-AEC3-B40A58AC11DF} - http://www.yiqilai.com (file missing)
O9 - Extra button: Ò×Ȥ¹ºÎï - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O23 - Service: Yahoo Service (YahooSvr) - Unknown owner - C:\WINDOWS\system32\98FEE\svchost.exe (file missing)
O23 - Service: Ò»ÆðÀ´ÒôÀÖÖúÊÖ (Yiqilai) - Unknown owner - C:\Program Files\Yiqilai\wmp\YiqilaiLyrics.exe (file missing)
Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet)
- Clic sur < fixe checked >
> Télécharge OTMoveIT (de Old_Timer) : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe sur ton bureau...
- Double-clique sur OTMoveIt.exe pour le lancer.
- Assure toi que la case "Unregister Dll's and Ocx's" est bien cochée !!!
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé <Paste standard List of Files/Folders to be moved>.
C:\Program Files\Fichiers communs\CPUSH\cpush.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
C:\WINDOWS\system32\fc41.dll
C:\WINDOWS\system32\bho.dll
C:\WINDOWS\system32\flym.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\SWKYbh0TII.dll
C:\WINDOWS\system32\SOUNDMAN.EXE
C:\WINDOWS\Downlo~1\jlc34ov.dll
C:\WINDOWS\Downlo~1\uszic.dll
C:\Program Files\AD4All\link1\eachlink.htm
C:\Program Files\Yiqilai\wmp\YiqilaiLyrics.exe
- Clique sur < MoveIt! > pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour, copie-colle-le dans ta réponse suivante stp.
> Télécharge Zeb-Restore : http://telechargement.zebulon.fr/zeb-restore.html
- Mets le dans un dossier, sur ton bureau par exemple.
- Lance Zebrestore et coche les cases suivantes :
RegEdit
Clés RUN
Gestionnaire des tâches
Sites de confiance et sensibles
Préfixes et Protocoles Internet
Réinitialiser Fichier Hosts
- Clique sur le bouton Restaurer.
- Quitte le programme puis renvoie un log HiJack,
> Passe un coup d'AVG et de Ccleaner en mode sans échec.
> Rends toi ensuite sur ce site virustotal et fais analyser le fichier suivant stp :
(Si problème : http://pageperso.aol.fr/loraline60/virus_total.htm )
C:\WINDOWS\system32\c4921.exe
et poste le résultat par copier/coller stp.
> Peux-tu vérifier ta console JAVA ici : https://www.java.com/fr/download/uninstalltool.jsp, et installer la nouvelle version au besoin (dans ce cas désinstalle avant l'ancienne version). Dis moi ce qu'il en est stp.
Pour info. ou en cas de problème : http://assiste.com.free.fr/p/abc/c/anti_java.html
> Mets à jour aussi Acrobat si ce n'est pas le cas (désinstalle avant la version antérieure) : https://get2.adobe.com/reader/otherversions/
> Assure toi d'avoir accès aux fichiers cachés :
Menu démarrer => apparence et thèmes => options des dossiers => affichage
"Afficher les fichiers cachés" => coché
"Masquer les extensions.." => décoché
"Masquer les fichiers protégers du système" => décoché
> Recherche dans c:/ (menu démarrer => rechercher) le fichier :
C:\PROGRA~1\FICHIE~1\TerraTec\SCHEDU~1\TTTimer.exe
Note son emplacement (certainement c:/programfiles/fichiers communs....) et donne le moi stp
> Télécharge, puis installe MSNFix : http://sosvirus.changelog.fr/MSNFix.zip , tuto de Malekal : [https://www.malekal.com/supprimer-virus-desinfecter-pc/ (si tu as besion).
- Décompresse donc le dossier zip MSNFix et lance le fichier "MSNFix.bat". Une fenêtre bleue doit apparaitre.
- Mets l'interface en français en appuyant sur la touche F puis sur Entrée.
- Lance la recherche de virus en appuyant sur la touche R puis sur Entrée.
Si un virus est détecté, il te sera alors demandé de nettoyer l'ordinateur.
Un message d'erreur concernant la suppression impossible d'un fichier sera résolu par un redémarrage.
Après le nettoyage, la barre "Démarrer" s'efface puis réapparait, cela fait partie de la procédure de nettoyage.
- Poste le rapport qui s'ouvre en fin de nettoyage sur le forum stp.
Si ta barre "Démarrer" ne s'affiche toujours pas, il suffit de faire :
Ctrl + Alt + Suppr (sous Windows XP), ou Ctrl + Maj + Echap (sous Windows Vista) pour ouvrir le Gestionnaire de tâches Windows.
- Fais ensuite "Fichier", puis "Nouvelle tâche" et entre explorer.exe dans la fenêtre qui apparait et finis par "OK".
- redémarre ton ordinateur pour achever le nettoyage !
> Relance ton PC et Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,
Et envoie, par collier/coller, ton log Hijackthis stp,
Bon courage,
A+
:)
