Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

agent2.bzfq

xzhami

Par xzhami
dans Analyses et éradication malwares

 Partager

Messages recommandés

xzhami Junior Member

xzhami

Posté(e)
Posté(e)

Bonjour

On vient de me confier un PC sous vista. AVG2011 détecte régulièrement un trojan référencé agent2.bzfq

dans c:\program files\installer\networker.exe

 

Ce que j'ai fait

1) mises à jour de windows, de AVG

2) install mbam

3) scan et rescan

 

Le résultat

Rien, le trojan est régulièrement redétecté aussi bien par AVG que mbam, le dossier c:\program files\installer bien que supprimé est régénéré tout aussi régulièrement :(

 

J'ai regardé sur le forum, des messages avec des pbs similaires, en prévision j'ai suivi la même procédure

- install de ZHPDIAG, et mise en place du rapport sur ci-joint

 

Cijoint.fr - Service gratuit de dépôt de fichiers [...] cSSwv4.txt

 

Je suis à l'écoute de tout conseil avisé, ne sachant pas interpréter le rapport de zhpdiag.

 

Un grand merci d'avance :)

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Votre rapport n'est pas accessible.

 

Téléchargez AD-Remover sur le bureau

101207110859995521.jpg

 

Déconnectez-vous et fermez toutes les applications en cours

Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .

Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel

Cliquez sur "OUI"

Double cliquer sur l'icône Ad-remover sur le bureau

fyjor7.jpg

Au menu principal choisir l'optionScanner et Validez

 

Patientez pendant le travail de l'outil.

Poster le rapport qui apparait à la fin .

Il est sauvegardé aussi sous C:\Ad-report.log

 

Ensuite

 

Relancer Ad- remover , choisir l'option Nettoyer

 

Il y aura 2 rapports à poster après :Scanner et Nettoyer

 

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

Modifié par pear
xzhami Junior Member

xzhami

Posté(e)
  • Auteur
Posté(e)

Merci de votre réponse

 

Voici le lien vers le fichier zhpdiag, correctement collé cette fois :D.

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

et les fichiers demandés :

 

- le résultat de l'analyse de ad-remover

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

- le résultat après nettoyage

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

 

Pour info, si cela peut présenter un intérêt, qques secondes après la fin du nettoyage, avg a de nouveau détecté le trojan.

 

Cordialement

pear Devil Member !

pear

Posté(e)
Posté(e)

Vous avez repassé Ad_remover mais n'avez pas fourni les seuls fichiers utiles Scan[1] et Clean (1].

Scan [2] et Clean[2] ne montrent rien.

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela,sous Xp :

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Sous Vista/7

Copier/coller ce qui suiten vertdans le bloc notes,sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans type de fichier->Tous les fichiers

Dans Nom-> regis.reg.

Allez sur le bureau

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre

[/color]

 

 

Télécharger Usb Fix , sur le bureau

 

Installez le avec les paramètres par défault

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Si vous êtes sous Vista:Désactiver L'UAC ,avant utilisation.

 

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

 

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

Pour Désinstaller UsbFix

Double clic sur le raccourci sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

 

Télécharger sur le bureauOTM by OldTimer .

Double-clic sur OTM.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Dans le cadre gauche, "Paste Instructions...."

101114025920292076.jpg

* Copiez /Collez les lignes ci dessous) en vert:

:Processes

sdmBackupIP

:Files

C:\Windows\BackupIP\service.exe

C:\Program Files\Installer

C:\Users\laurie\AppData\Roaming\cacaoweb

C:\Program Files\Installer\lnetworker.exe

 

:Services

sdmBackupIP

:Reg

[-HKCU\Software\cacaoweb]

[-HKLM\Software\Install Pedia Limited]

[HKLM\...\startupreg]

"installer"=-

 

:Commands

[purity]

[emptytemp]

[Reboot]

Revenez dans OTM,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTM

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTM\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

[/color]

xzhami Junior Member

xzhami

Posté(e)
  • Auteur
Posté(e)

OK

 

- La fusion de regis.reg avec le registre est faite.

- UsbFix est en place, n'ayant pas les périph usb de l'utilisatrice de ce PC, la phase de nattoyage, vaccination est en attente.

 

- OTM est installé et le nettoyage demandé fait

voici le rapport d'analyse

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

J'espère avoir mis la bonne version. Désolé pour les précédents, j'avais plusieurs numéro de rapport, j'ai pris les derniers générés.

 

Cordialement

xzhami Junior Member

xzhami

Posté(e)
  • Auteur
Posté(e)

Pour l'instant tout semble aller pour le mieux.

 

- Vidage de la quarantaine AVG

- Scan AVG

- Scan MBAM

 

Pas d'alerte de l'antivirus, le dossier qui était recréé automatiquement est aux abonnés absents. Je laisse tourner la bête et surveille.

 

Merci :-)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...