Agent 2BZFQ [Resolu]

[Alfan]

Bonjours, depuis quelques jours, mon antivirus (AVG en version gratuite) se lance dés le démarrage de mon pc. De plus, le bouclier résident se met en route de temps en temps.

 

La raison? Il me dit qu'il y a un cheval de Troie qui s'appelle Agent 2BZFQ sur mon PC. Il me l'affiche deux fois.

 

Quand je lui dit de placer tout ce petit monde en quarantaine, il me réponds:

 

Fichier

c:\Program Files\Installer\networker.exe Infection: Cheval de Troie : Agent2BZFQ Résultat: Placé en quarantaine

 

c:\Program Files\Installer\networker.exe Infection: Cheval de Troie : Agent2BZFQ Résultat: L’objet n’est pas accessible.

 

 

J'ai été voir sur mon démarrage et j'avais en effet un programme Inetworker qui se lançais au démarrage. Je l'ai décoché, relancé le pc et la plus de message au démarrage mais 10 minutes après, mon bouclier résident se remet en route pour les mêmes raisons Agent 2BZFQ. N'ayant pas se programme il y a encore quelques jours (Inetworker) je le cherche dans l'ajout/suppression de programmes et comme je ne trouve rien, je vais directement dans le dossier program files et je met le dossier "Installer" à la poubelle (oui, quand on sait pas faire, on est capables de faire nimporte quoi )

 

Hélas, le message d'alerte n'est pas pour autant disparu. AVG se déclenche régulièrement pour me dire que je suis infecté par l'agent 2BZFQ. MBAM ne trouve rien.

 

Le seul téléchargement que j'ai fait depuis que j'ai vu ce programme est le téléchargement de 7zip. sur le site officiel bien sur.

 

Pouvez vous m'aider? Par avance merci

Modifié le 16 janvier 2011 par Alfan

[bernard53]

Bonsoir

 

fait ceci pour voir plus s.t.p

 

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

netsvcs

%SYSTEMDRIVE%\*.exe

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

vstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cijoint.fr - Service gratuit de dépôt de fichiers

Modifié le 9 janvier 2011 par bernard53

[Alfan]

Merci Bernard53 de m'apporter ton aide.

 

Voici les deux rapports que tu m'as demandé:

 

Le rapport OTL.Txt:

 

http://www.cijoint.fr/cjlink.php?file=cj201101/cijmXR3eEw.txt

 

Le fichier Extras.Txt:

 

http://www.cijoint.fr/cjlink.php?file=cj201101/cij5j9bOMR.txt

 

Merci d'avance

[bernard53]

OK fait ceci s.t.p

 

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL

PRC - C:\WINDOWS\BackupIP\service.exe ()

SRV - (MysqlInventime) -- File not found

SRV - (sdmBackupIP) -- C:\WINDOWS\BackupIP\service.exe ()

:Files

C:\Program Files\Installer

C:\WINDOWS\BackupIP

:Commands

[emptytemp]

* Cliques sur l'icône Correction (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.Txt"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cijoint.fr - Service gratuit de dépôt de fichiers

 

 

 

 

Ensuite::

 

 

Installe Malewarebytes' Antimalware,

Téléchargement

 

 

 

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

[Alfan]

Bonjour et merci encore Bernard53.

 

Voici le rapport OTL, je te le met ici car je n'arrive pas à l'exporter vers cijoint.

 

All processes killed

========== OTL ==========

No active process named service.exe was found!

Service MysqlInventime stopped successfully!

Service MysqlInventime deleted successfully!

File File not found not found.

Service sdmBackupIP stopped successfully!

Service sdmBackupIP deleted successfully!

C:\WINDOWS\BackupIP\service.exe moved successfully.

========== FILES ==========

C:\Program Files\Installer folder moved successfully.

C:\WINDOWS\BackupIP folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Invité

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: Matthieu

->Temp folder emptied: 38769279 bytes

->Temporary Internet Files folder emptied: 63691179 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 95790228 bytes

->Flash cache emptied: 1653 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 1139120 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 4849 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 13672986 bytes

 

Total Files Cleaned = 203,00 mb

 

 

OTL by OldTimer - Version 3.2.20.1 log created on 01102011_184305

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

 

Pour ce qui est de MBAM, je l'avais déja mais j'ai un soucis sur mon pc avec ce logiciel. Il plante.

 

En effet, quand je le lance en recherche complète, il plante toujours sur le même fichier et ne repart pas.

 

J'ai essayé de le réinstaller, pareil. Il découvre tout de même un élément nuisible (marqué en rouge) mais ne va pas jusqu'au bout de son travail. J'ai essayé en examen rapide mais il ne trouve rien. Existe-t-il une autre solution ou peut tu me donner des indications sur mon MBAM qui plante? Je suis dispo pour te donner des renseignements.

[bernard53]

Bonjour

 

tu as remarqué sur quel dossier MBAM plante

 

Sinon as tu encore des alertes?

[Alfan]

Bonjours.

 

Voici ce que je viens de faire pour résoudre ce problème d'éléments infectés. J'ai tout simplement arrèté l'annalyse de MBAM avant la fin. Voici le rapport qui en découle:

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 5497

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

12/01/2011 12:45:42

mbam-log-2011-01-12 (12-45-41).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 37303

Temps écoulé: 1 minute(s), 7 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\APPS\inventime\files\media\finalparticulier.exe (Trojan.Meredrop) -> Quarantined and deleted successfully.

 

J'ai refait un scan complet et l'élément nuisible, Trojan.meredrop, n'est plus là.

 

Par contre mon MBAM plante toujours. Je l'ai désinstallé, réinstallé, mis à jour, rien à faire. Il plante sur c:\ATI Technologies\ATI Control Panel\atrpuixx.sve ou c:\ATI Technologies\ATI Control Panel\atrpuixx.tha à peu près dans les mêmes laps de temps, à quelques secondes prèts. En tout les cas c'est toujours dans c:\ATI Technologies\ATI Control Panel\atrpuixx, il n'y a que le .sve ou .tha qui change.

 

Chose étonnante, je n'ai plus de carte ATI? Un vieux reste de driver? Je n'ai plus rien d'installé de chez ATI. Est ce que je peux supprimer ce dossier sauvagement en le mettant à la corbeille ou existe-t-il des utilitaires pour le faire proprement?

Modifié le 12 janvier 2011 par Alfan

[bernard53]

Pour tes pilotes ATI

 

Info-Facile : Divers - Désinstaller proprement les drivers ATI

 

Perso jamais essayer mais pas de raison que cela ne fonctionne pas

[Alfan]

*mode arrachage de cheveux on...*

 

J'ai trouvé une version gratuite de ce logiciel (plus ancienne mais je désinstalle pas des drivers tout les jours non plus...) MBAM continu de planter car il restait quelques traces ATI. J'ai foutu le dossier à la corbeille mais MBAM plante sur un autre fichier, ce qui me pousse à croire que mon fichier ATI, même si il 'avais rien à faire là, ne fesait pas forcémment planter MBAM.

 

Existe-t-il un autre logiciel du même type que MBAM, que j'essaie si cela viens de ce logiciel? Cela peut-il venir d'une partie de mon disque qui est abimée et dans ce cas, comment le vérifier? Et enfin, suis-je encore sur la bonne partie du forum?

[bernard53]

De toute façon drive Cleaner est gratuit.

 

http://telechargement.zebulon.fr/driver-cleaner.html

 

 

Sinon fait cela pour voir ce qui reste de ATI.

 

Télécharge SEAF.exe de C_XX

http://forum-aide-contre-virus.be/download/C_XX/SEAF.exe

Ou la ::

SEAF : telechargement

 

 

Double-clique sur le fichier SEAF.exe.

Coche Chercher également dans le registre

Dans la barre de recherche tape :

 

ATI

 

Clique sur Lancer la recherche.

Le scan prendra quelques minutes et un fichier texte va s'ouvrir que tu postes par copier-coller.

Tu refermes le fichier et l'outil.