PC infecté par Cheval de Troie: Agent. 7 .BC, antivirus AVG FreeRésolu/Fermé

Question

Bonjour à tous,   

Je ne suis pas un pro de l'informatique, mais j'ai tout de même pour habitude d'aller fouiner un peu sur les forums de discussion pour dénicher des solutions à mes problèmes en cas de pépins, malheureusement ce coup-ci j'avoue ne pas avoir trouvé de forum de discussion relatif à mon problème,et être un peu dans l'impasse...  

Mon PC est infecté depuis quelque jours par un virus: Cheval de Troie Agent .7. BC.   

Mon anti-virus est AVG Free,  il parvient à réparer certaines infections mais pas toutes.  

Impossible de supprimer les infections non réparées, il me met "l'objet n'est pas accessible"  

J'ai lancé MBAM, il ne repère aucun éléments nuisibles.  

J'ai également fait une purge avec SPYBOT qui m'a permis de virer pas mal de parasites,mais le Cheval de Troie quant à lui demeure...  

Voici le rapport d'AVG après analyse complète de l'ordinateur, et après avoir cliqué sur "supprimer les infections non réparées" :  

"C:\Windows\System32	askeng.exe (3668):\memory_02910000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Windows\System32	askeng.exe (3668)";"Cheval de Troie : Agent.7.BC";""  
"C:\Windows\System32undll32.exe (4156):\memory_00030000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Windows\System32undll32.exe (4156)";"Cheval de Troie : Agent.7.BC";""  
"C:\Windows\System32\dwm.exe (3616):\memory_01560000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Windows\System32\dwm.exe (3616)";"Cheval de Troie : Agent.7.BC";""  
"C:\Windows\System32\conime.exe (4960):\memory_00090000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Windows\System32\conime.exe (4960)";"Cheval de Troie : Agent.7.BC";""  
"C:\Windows\explorer.exe (3712):\memory_03680000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Windows\explorer.exe (3712)";"Cheval de Troie : Agent.7.BC";""  
"C:\Windows\ehome\ehtray.exe (2928):\memory_00860000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Windows\ehome\ehtray.exe (2928)";"Cheval de Troie : Agent.7.BC";""  
"C:\Windows\ehome\ehmsas.exe (3280):\memory_003c0000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Windows\ehome\ehmsas.exe (3280)";"Cheval de Troie : Agent.7.BC";""  
"C:\Users\Gilbertine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\adf2b32-4f414c84:\bagdfssdb.class";"Virus identifié Java/Exploit";"Placé en quarantaine"  
"C:\Users\Gilbertine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\adf2b32-4f414c84:\bagdfssda.class";"Cheval de Troie : Exploit.Java_c.FVK";"Placé en quarantaine"  
"C:\Users\Gilbertine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\adf2b32-4f414c84";"Cheval de Troie : Exploit.Java_c.FVK";"Placé en quarantaine"  
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (4172):\memory_00030000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (4172)";"Cheval de Troie : Agent.7.BC";""  
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (2016):\memory_00030000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (2016)";"Cheval de Troie : Agent.7.BC";""  
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (1488):\memory_00030000";"Cheval de Troie : Agent.7.BC";"L'objet n'est pas accessible."  
"C:\Users\Gilbertine\AppData\Local\Google\Chrome\Application\chrome.exe (1488)";"Cheval de Troie : Agent.7.BC"  


Configuration: Windows Vista / Chrome 15.0.874.121

Malekal_morte- · Answer

Salut,

Désinstalle Spybot il est inefficace.

Fais un scan avec Kaspersky removal tool : https://forum.malekal.com/viewtopic.php?t=33710&start=

Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien du rapport ici.

oizorar712 · Answer

Merci pour la promptitude de ta réponse! J'y vais de ce pas!

oizorar712 · Answer

Ci-joint comme convenu le lien du rapport établi par Kaspersky Removal Tool (par contre le lien que tu m'as donné pour télécharger Kaspersky Removal Tool ne fonctionnait pas)

 https://pjjoint.malekal.com/files.php?id=20130213_r15k15t9y14k13

Il a trouvé une menace et m'as proposé de redémarrer l'ordinateur pour pouvoir le traiter, j'ai refuser préférant d'abord avoir ton avis sur la question.

Par contre quand il m'a proposer de mettre en quarantaine j'ai cliquer ok.

Par ailleurs, j'ai bien désinstaller Spybot.

(Désolé pour le retard de ma réponse, mais le pc ramait pas mal, et le scan de Kaspersky Removal Tool également,j'ai donc laissé tourné le PC, et n'ai pu répondre que maintenant...)

Malekal_morte- · Answer

C'est du Zbot :
13/02/2013 12:11:28	Détectés	Chevaux de Troie	HEUR:Trojan.Win32.Generic	Elevées	Partiellement	C:\Users\Gilbertine\AppData\Roaming\Hife\etic.exe		
13/02/2013 12:17:00	Mis en quarantaine	Chevaux de Troie	HEUR:Trojan.Win32.Generic	Elevées	Partiellement	C:\Users\Gilbertine\AppData\Roaming\Hife\etic.exe		
13/02/2013 12:17:00	Mis en quarantaine	Chevaux de Troie	HEUR:Trojan.Win32.Generic	Elevées	Partiellement	C:\Users\Gilbertine\AppData\Roaming\Hife\etic.exe	 

Ca doit faire m*erder AVG parce qu'ils détectent dans ton premier ne sont pas des fichiers malicieux.
Mets tout en quarantaine puis :

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  

puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

oizorar712 · Answer

Salut! 

Suivant tes instructions voici le lien du rapport d' AdwCleaner:
 
https://pjjoint.malekal.com/files.php?id=20130214_q14h12i15s7j15

Par contre lorsque je lance l'analyse avec OTL (en ayant bien veillé à cocher "tous les utilisateurs" et copié/collé le script que tu m'as transmis dans "personnalisation"), l'analyse démarre mais fini toujours par s'arrêter en plein cours, et la barre tout en-bas dans laquelle on voit défiler les objets scannés, se met à clignoter, avec inscrit dedans: 

Pattern Search - Looking at file: C:\Users\Gilbertine\AppData\Local\Google\Chrome\User Data\Defaut\IndexedDB\htt

puis au bout d'un moment la fenêtre d'analyse se ferme presque complètement ne laissant plus qu'apparaître la barre de titre, et le message "le programme ne répond plus" apparaît

J'ai retenté  plusieurs fois l'opération, rien à faire toujours la même chose...

Par ailleurs le pc et la connexion internet ne semble plus ramer, ce qui est tout de même plutôt bon signe...

oizorar712 · Answer

J'ai lancé le scan OTL sans le script; même résultat, il bloque toujours sur 

Pattern Search - Looking at file: C:\Users\Gilbertine\AppData\Local\Google\Chrome\User Data\Defaut\IndexedDB\htt...

Malekal_morte- · Answer

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.     


Rtente OTL.

oizorar712 · Answer

J'ai retenté OTL en mode sans échec, ça ne passe toujours pas.

Malekal_morte- · Answer

Sauvegarde tes documents importants.
A lire en entier.


Désactive les logiciels de protection (Antivirus, Antispywares) 
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!       

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.       

Eventuellement, installe la console de récupération comme cela est conseillé       

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)     

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix       

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.       

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.    

Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.

oizorar712 · Answer

Salut,

Désolé de ne répondre que maintenant, cela m'a pris un peu de temps pour sauvegarder tous mes fichiers...

Par ailleurs j'ai eu un peu de mal avec ComboFix, il s'arrêtait systématiquement à l'étape 4 lorsque le scan était lancé, même en mode sans échec, avec le message « pour protéger votre ordinateur Windows a fermé ce programme »; le problème venait en fait du PED (prévention de l'exécution des données), suivant les instruction d'un autre forum de discussion sur le site je l'ai donc désactivé, et pfffiouu! enfin pu obtenir le rapport de ComboFix! 

Ci-joint le lien du rapport: 
https://pjjoint.malekal.com/files.php?id=20130221_s15z10r9c11i7

En espérant être tiré d'affaire...(en tout cas AVG ne me signale plus la présence de virus)

Malekal_morte- · Answer

Ca a l'air que Combofix a buté Zbot.
Donc je pense que le problème est résolu.

Il faut impérativement que tu changes tous tes mots de passe, ils ont été récupérés.

oizorar712 · Answer

Ok j'vais faire ça

En tout UN GRAND GRAND MERCI pour ton assistance et ton aide:)!
Elles m'auront été très précieuses et d'un très grand secours :))))))!

Malekal_morte- · Answer

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

oizorar712 · Answer

Ok merci encore pour toute tes recommandations :))))!

PC infecté par Cheval de Troie: Agent. 7 .BC, antivirus AVG Free

14 réponses

Newsletters