[Résolu] TR/Agent.VB.212 Trojan ?

[belo71]

Bonjour,

 

Je crois que ma machine est infectée car mon antivirus y a trouvé un cheval de Troie.

 

J'ai fait un ZHPDiag dont je vous poste le rapport.

 

Est-ce que vous pouvez me dire si c'est grave et s'il faut faire qqch pour être à nouveau tranquille ?

 

Bien cordialement,

Belo71.

 

Rapport de ZHPDiag.

[Apollo]

Bonjour,

 

Il est tronqué ce rapport et puis de longs machins comme ça, on les héberge sous peine de faire planter le sujet; je t'expliquerai plus loin.

 

En attendant, prépare tes supports de stockage USB (clés, disques externe, lecteur mp3, etc.)

 

Si vous êtes sous Vista/seven:, Désactiver provisoirement l'UAC

 

Apollo Et Compagnie :: UAC Windows 7.

 

:arrow: Télécharge USBFIX de TeamXscript et enregistre le sur ton bureau.

 

http://eldesaparecido.com/

 

http://eldesaparecido.com/tools/UsbFix.exe

 

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus. Si vous ne savez pas comment faire, reportez-vous à cet article.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista/7, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Recherche et laisse l'outil travailler
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

@++

[belo71]

Bonjour,

 

Oups, je suis désolé pour le rapport trop long.

 

J'ai fait tourner malawarebyte et j'ai trouvé 6 fichiers pourris. J'ai mis le rapport (court) ci-après.

 

Merci pour le coup de main.

 

Bélo71.

 

__________________________________

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.04.02.03

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.11

Administrateur :: MILIEU [administrateur]

 

02/04/2012 15:05:09

mbam-log-2012-04-02 (16-46-35).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 728310

Temps écoulé: 1 heure(s), 34 minute(s), 59 seconde(s)

 

Processus mémoire détecté(s): 1

C:\Program Files\Application Updater\ApplicationUpdater.exe (PUP.Dealio.TB) -> 1876 -> Aucune action effectuée.

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 2

HKLM\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio.TB) -> Aucune action effectuée.

HKCR\CLSID\MADOWN (Worm.Magania) -> Aucune action effectuée.

 

Valeur(s) du Registre détectée(s): 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAM FILES\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio.TB) -> Données: 1 -> Aucune action effectuée.

 

Elément(s) de données du Registre détecté(s): 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL|CheckedValue (PUM.Hijack.System.Hidden) -> Mauvais: (0) Bon: (1) -> Aucune action effectuée.

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\Program Files\Application Updater\ApplicationUpdater.exe (PUP.Dealio.TB) -> Aucune action effectuée.

 

(fin)

[belo71]

Bonsoir,

 

A suivre, j'ai collé le rapport d'UsbFix

 

J'espère que ça ira.

 

Bien cordialement,

Bélo71

 

############################## | UsbFix V 7.086 | [Recherche]

 

Utilisateur: Administrateur (Administrateur) # MILIEU

Mis à jour le 01/04/2012 par El Desaparecido

Lancé à 16:51:17 | 02/04/2012

 

Site Web: http://eldesaparecido.com

Fichier suspect ? : http://eldesaparecido.com/upload.html

Contact: [email protected]

 

PC: Dell Inc (Dimension E521) (X86-based PC) # Desktop Computer

CPU: AMD Athlon 64 X2 Dual Core Processor 4200+ (2204)

RAM -> [ Total : 1022 | Free : 184 ]

BIOS: )Phoenix - Award WorkstationBIOS v6.00PG

BOOT: Normal boot

 

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3

WB: Windows Internet Explorer 7.0.5730.11

 

SC: Security Center Service [ Enabled ]

WU: Windows Update Service [ Enabled ]

FW: Windows FireWall Service [ Enabled ]

 

C:\ (%systemdrive%) -> Disque fixe # 146 Go (93 Go libre(s) - 64%) [] # NTFS

D:\ -> CD-ROM

 

################## | Processus Actif |

 

C:\WINDOWS\System32\smss.exe (752)

C:\WINDOWS\system32\winlogon.exe (828)

C:\WINDOWS\system32\services.exe (872)

C:\WINDOWS\system32\lsass.exe (884)

C:\WINDOWS\system32\svchost.exe (1084)

C:\WINDOWS\System32\svchost.exe (1296)

C:\WINDOWS\system32\spoolsv.exe (1672)

C:\Program Files\Avira\AntiVir Desktop\sched.exe (1736)

C:\Program Files\Avira\AntiVir Desktop\avguard.exe (1864)

C:\Program Files\Application Updater\ApplicationUpdater.exe (1876)

C:\Program Files\Java\jre6\bin\jqs.exe (1972)

C:\WINDOWS\system32\nvsvc32.exe (2004)

C:\Program Files\OpenVPN Technologies\OpenVPN Client\core\capiws.exe (2016)

C:\WINDOWS\system32\svchost.exe (304)

C:\WINDOWS\system32\CAP2RSK.EXE (656)

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (712)

C:\WINDOWS\system32\wbem\wmiapsrv.exe (436)

C:\WINDOWS\Explorer.EXE (2184)

C:\WINDOWS\stsystra.exe (2760)

C:\Program Files\Dell\Media Experience\DMXLauncher.exe (2768)

C:\WINDOWS\System32\DLA\DLACTRLW.EXE (2780)

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe (2848)

C:\Program Files\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe (2896)

C:\Program Files\Brownie\BrstsWnd.exe (2960)

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (2968)

C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe (3016)

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (3080)

C:\Program Files\Dell Support\DSAgnt.exe (3132)

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (3148)

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP2LAK.EXE (3628)

c:\progra~1\fichie~1\instal~1\update~1\isuspm.exe (444)

C:\Program Files\Fichiers communs\InstallShield\UpdateService\agent.exe (2084)

C:\WINDOWS\system32\dllhost.exe (2584)

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (2872)

C:\Program Files\Microsoft Office\Office14\WINWORD.EXE (3248)

C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe (1260)

C:\WINDOWS\notepad.exe (2832)

C:\Program Files\Mozilla Firefox\firefox.exe (628)

C:\Program Files\Mozilla Firefox\plugin-container.exe (3864)

C:\UsbFix\Go.exe (3588)

 

################## | Éléments infectieux |

 

Présent! C:\autorun.PNF

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\{8caf739a-d48a-11dc-8a7b-00188b608f4e}

Shell\AutoRun\Command = E:\188qsm.bat

Shell\explore\Command = E:\188qsm.bat

Shell\open\Command = E:\188qsm.bat

 

HKCU\.\.\.\.\Explorer\MountPoints2\{adf5496a-a402-11dd-8b28-00188b608f4e}

Shell\AutoRun\Command = E:\b.com

Shell\explore\Command = E:\b.com

Shell\open\Command = E:\b.com

 

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné!

 

################## | E.O.F |

[Apollo]

Re,

 

Je voudrais, si tu n'y vois pas d'inconvénient, que tu suives mes indications stp. J'ai déjà mon "plan" établi pour désinfecter ton pc, donc faisons les choses dans l'ordre demandé.

 

D'ailleurs:

 

Aucune action effectuée.

C'est une analyse que tu as faite pour des prunes si tu n'as rien corrigé. (logiciel sûrement mal configuré).

 

On y reviendra.

 

-------------------------

Tu n'as pas connecté tes supports usb? (si c'est non, il faudra recommencer la procédure de recherche avant de désinfecter et vacciner.)

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Suppression et laisse travailler l'outil.
   
  
• Une fenêtre de te demandant de brancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

Réactiver l'UAC sur Vista/7!

 

 

 

@++

[belo71]

Salut Apollo

 

Impossible d'éditer le rapport :

 

Le bureau va disparaitre et ne sera plus accessible tout le temps du scan.

 

En fait il disparaît. Le scan se fait : mais le bureau ne réapparaît jamais, et aucun rapport.

 

Bien à toi

Belo71

[Apollo]

Bonjour,

 

Tu as de la chance que je sois toujours abonné à ton sujet après autant de temps. (il s'en passe des choses en deux semaines)...

 

Quand le bureau ne réapparait pas de lui-même:

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

On va reprendre depuis le début, cette fois, héberge tout le rapport stp.

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

[belo71]

Bonjour,

 

Voilà le lien vers le rapport :

 

Lien CJoint.com BDqqPqSMl60

 

A bientôt,

belo71.

[Apollo]

Re,,

désolé j'ai eu des problèmes de connexion et mon client mail est en panne, malgré mon contact avec le service technique de VOO, ça ne s'arrange guère (donc pas de notif)

 

Télécharge AdwCleaner par Xplode: http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

+++

Modifié le 16 avril 2012 par Apollo

[belo71]

Bonjour,

 

Voilà le rapport

 

Merci,

Belo