adware.win32.webhancer/Trojan-spy.win32.agentFermé

Question

Bonjour,

Suite à une navigation sur un forum d'avis pour des restaurants, j'ai "récupéré" adware.win32.webhancer que j'ai essayé de supprimer avec Fsecure. Ce matin j'ai lancé un scan complet de l'ordi déconnecté d'internet et je me retrouve avec 9 virus sur le PC. 

Trojan-spy.win32.agent.beaf 
Trojan-spy.win32.agent.bdzz 

et là impossible de les supprimer. Fsecure les détecte mais ne fait pas de mise en quarantaine ou de nettoyage. 
J'ai booter sur CD avec bitdefender mais celui-ci ne trouve rien. 
Merci pour vos conseils et aide. 
Cordialement 
Thierry

truecode · Answer

Bonjour,

Lance cet analyse pour qu'on en sache un peu plus : 

• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe 
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

truecode · Answer

Alors de toute façon il est nécessaire d'avoir internet pour télécharger ces outils si tu veux tu peux le faire sans te connecter a internet si tu as un autre moyens d'accès , par  contre fait le en mode normal .

xav'(73) · Answer

Bonjour,

Il faut essayer plusieurs anti virus et faire un peu de nettoyage. Voici ce que je suggère.

Pour faire un bon nettoyage on prendra ccleaner:
https://www.commentcamarche.net/download/s/ccleaner
Dans un premier temps on se limitera au nettoyage des fichiers temporaires et autres cookies (dont les tracking cookies qui sont un peu la nourriture des trojans). 

Ensuite:Télécharger, installer et mettre à jour:
https://www.commentcamarche.net/download/s/Malwarebytes
https://www.commentcamarche.net/download/s/spybot

Redemarrer l'ordi en mode diagnostic (démarrer/exécuter. Taper msconfig.Dans l'onglet général cocher démarrer en mode diagnostic et OK. NB cette fenêtre reviendra au redémarrage il faut cliquer sur annuler sinon on va boucler sur le cycle rédémarrage)
Désactiver l'antivirus
Faire tourner les 2 programmes ci-dessus (compter une bonne heure / heure et demie). Très efficaces.
Réactiver l'antivirus, redémarrer l'ordi en mode normal.

Continuer le nettoyage avec ccleaner en allant virer les vieilles clés registre obsolètes.

Faire un scan en ligne pour confirmer ou infirmer la piste virale en choisissant un outil là:
http://assiste.com.free.fr/

Et là si le mal persiste faire une évaluation avec hijackthis:
https://www.commentcamarche.net/download/s/hijackthis

Et mettre le rapport sur le forum pour tenter de découvrir ce qui cloche .

Bon courage

truecode · Answer

Bonjour,

C'est gentil mais le mieu serait de rester sur une personne qui conseille et non pas se perdre dans plusieurs explications en même temps , il est possible que par exemple malware bytes nettoie certaines infections mais on peut commencer par une analyse avant de lancer cet utilitaire généraliste car des outils spécifiques à certaines infections peuvent être nécessaires avant un nettoyage via cet anti malware

truecode · Answer

Je sais bien je précise cela juste pour que le membre ne soit pas perdu dans les indications ca m'arrive aussi de poster un peu plus tard .

Thierry92700 · Answer

Bonjour,
Impossible de lancer RSIT sur le bureau. Message "RSIT.exe n'est pas une application Win32 valide"
Cordialement
Thierry

truecode · Answer

Bonjour ,

Essai cet outil de diagnostic alors : 
• Télécharge ZHPDiag https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
• Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 

Si tu as toujours le même message lance cette analyse : 

•Télécharge  FindyKill (créé par El Desaparecido) et enregistre-lesur ton bureau
http://findykill.changelog.fr/Setup.exe
tutoriel recherche ( http://pagesperso-orange.fr/NosTools/tuto_fyk2.html )

/!\ Ne fais pas le nettoyage tout dessuite /!\

•Double clic sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement
•Au menu principal,choisi l option 1 (Recherche)
•Post le rapport FindyKill.txt

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Thierry92700 · Answer

Re,
J'ai pu copier Hijac sur le bureau et le lancer. J'ai récupéré un seul rapport si dessous :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:04:52, on 12/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Brownie\BrstsWnd.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Brownie\brpjp04a.exe
C:\Program Files\pdfforge Toolbar\SearchSettings.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
c:\windows\system\hpsysdrv.exe
C:\Documents and Settings\HP_Administrateur.HOME\Bureau\spybotsd162.exe
C:\DOCUME~1\HP_ADM~1.HOM\LOCALS~1\Temp\is-U1DRK.tmp\spybotsd162.tmp
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [DMAScheduler] c:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [BrStsWnd] C:\Program Files\Brownie\BrstsWnd.exe Autorun
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - http://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE

truecode · Answer

Voilà qui est bien commence par cette manip : 

•Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe (de Cyrildu17 / C_XX) sur ton Bureau. 

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\ 

•Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files). 
•Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau. 
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur) 
•Au menu principal, choisis l'option S. 
•Poste le rapport généré (C:\Ad-Report-Scan-(date).log). 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Thierry92700 · Answer

Sinon, j'ai récupéré le rapport de FSecure après une annalyse complète de l'ordi, détail ci-dessous :
Nom de l'ordinateur: HOME
Type d'analyse: Effectuer une analyse complète de l'ordinateur
Cible : C:\ D:\ J:\ L:\ + système + rootkits
Résultat: 9 antiprogramme(s) détecté(s)
Trojan-Spy.Win32.Agent.beaf (virus)
 C:\hp\recovery\wizard\fscommand\AppRecoveryLink_ret.0xe Action : ECHEC
 C:\hp\recovery\wizard\fscommand\CreatorLink_ret.0xe Action : ECHEC
 C:\hp\recovery\wizard\fscommand\RecordnowLink_ret.0xe Action : ECHEC
 C:\hp\recovery\wizard\fscommand\RestoreLink_ret.0xe Action : ECHEC
 C:\hp\recovery\wizard\fscommand\RTCDLink_ret.0xe Action : ECHEC
 C:\hp\recovery\wizard\fscommand\RunLink_ret.0xe Action : ECHEC
 C:\hp\recovery\wizard\fscommand\SysRecoveryLink_ret.0xe Action : ECHEC
 C:\hp\recovery\wizard\fscommand\WizardLink_ret.0xe Action : ECHEC
Trojan-Spy.Win32.Agent.bdzz (virus)
 C:\hp\recovery\wizard\fscommand\CDLogic_ret.0xe Action : ECHEC

Options
Version des définitions:
 Virus: 2010-03-10_01
 Spyware: 2010-03-09_14
Moteurs d'analyse :
 F-Secure AVP: 7.00.171, 2010-03-09
 F-Secure Libra: 2.04.01, 2010-02-06
 F-Secure Orion: 1.02.37, 2010-03-10
 F-Secure Draco: 1.00.35, 2009-06-17
 F-Secure BlackLight: 2.04.1099
Options d'analyse :
 Analyser tous les fichiers
 Analyser le contenu des archives
Actions:
 Virus: Nettoyer les fichiers infectés
 Spyware: Supprimer les fichiers infectés
 Afficher les éléments suspects après vérification complète de l'ordinateur
Cordialement

truecode · Answer

Suis mes instructions , voilà l'infection pdfforge Toolbar et l'outil spécifique pour le supprimer c'est ad remover

Thierry92700 · Answer

Voila le rapport :
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:24:30, 12/03/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: HOME | Utilisateur actuel: HP_Administrateur
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
Service: *Application Updater* 

C:\Program Files\Mozilla FireFox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402} 
C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com 
C:\Program Files\Application Updater 
C:\Program Files\pdfforge Toolbar 
C:\DOCUME~1\HP_ADM~1.HOM\APPLIC~1\pdfforge 
C:\DOCUME~1\HP_ADM~1.HOM\APPLIC~1\Search Settings 
C:\Windows\Installer\14580b3.msi  
C:\Windows\Installer\6b7fad.msi   
C:\WINDOWS\system32\config\systemprofile\Application Data\Application Updater 
C:\Documents and Settings\Joelle.HOME\Application Data\pdfforge 
C:\Documents and Settings\Joelle.HOME\Application Data\Search Settings 
.
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\software\pdfforge
HKCU\software\Search Settings
HKLM\software\Application Updater
HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\377026901A2D8744A8423A983B50E0D1
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\76DA9915C36F3D742951F63351CF5C97
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9B0B0584E80456A4FB98DA3973B1EB3F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A89F1E0FE544529429C8BF82FE74CE39
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B278DBFACA5AB424DA79915F3A109F9A
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B3B348F18694F1949B4D6BD9507F2886
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\C9667115F6A9CE340B31B63B680FF26F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E48E3A6D380B2EC4ABCEB3BA048D767F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EFB70E89C3D6D354596520DE424F89D6
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F49A213B5069AC348994D03F81B56C19
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F715D253BF28D554C9C0F60ABA8585CF
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings
HKLM\software\pdfforge
HKLM\software\Search Settings
HKU\s-1-5-21-2908742323-1326714678-1677416894-1007\software\pdfforge
HKU\s-1-5-21-2908742323-1326714678-1677416894-1007\software\Search Settings
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Enable Browser Extensions: yes
Use Search Asst: 
Search Bar: 
SearchAssistant: 
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: hxxp://toolbar.aol.com/browserpages/newtab-winamp-ie-en-us.html
.
===================================
.
4612 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
1522 Fichier(s) - C:\DOCUME~1\HP_ADM~1.HOM\LOCALS~1\Temp 
2 Fichier(s) - C:\WINDOWS\Temp 
129 Fichier(s) - C:\WINDOWS\Prefetch 
.
0 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 10:33:49 | 12/03/2010 - SCAN[1]
.
============== E.O.F ==============
.

truecode · Answer

Maintenant relance ad remover et choisi cette fois l'option de nettoyage " L " puis poste le rapport

Thierry92700 · Answer

Le scan et nettoyage est en cours. Dans les logs de Ad Remover, quelle cession utilisateur a été infectée ?
Que dois je mettre en place sur l'ordi pour éviter ces problèmes car ça commence à me gaver de perdre du temps alors que j'ai mis en place des outils qui normalement devrait éviter ces problèmes ?
Merci pour ton aide

truecode · Answer

Il faut faire attention a ce que tu installe après ad remover on va avoir une autre manip a faire

Thierry92700 · Answer

Ce que j'installe ??? Cette infection se proage comment ? Est ce en naviguant sur un site web ? ou est ce en installant une apllication spécifique ?

Thierry92700 · Answer

Rapport après nettoyage :
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:41:27, 12/03/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: HOME | Utilisateur actuel: HP_Administrateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
Service: *Application Updater* 

C:\Program Files\Mozilla FireFox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402} 
C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com 
C:\Program Files\Application Updater 
C:\Program Files\pdfforge Toolbar 
C:\DOCUME~1\HP_ADM~1.HOM\APPLIC~1\pdfforge 
C:\DOCUME~1\HP_ADM~1.HOM\APPLIC~1\Search Settings 
C:\Windows\Installer\14580b3.msi  
C:\Windows\Installer\6b7fad.msi   
C:\WINDOWS\system32\config\systemprofile\Application Data\Application Updater 
C:\Documents and Settings\Joelle.HOME\Application Data\pdfforge 
C:\Documents and Settings\Joelle.HOME\Application Data\Search Settings 

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} 
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} 
HKCU\software\pdfforge
HKCU\software\Search Settings
HKLM\software\Application Updater
HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\377026901A2D8744A8423A983B50E0D1
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\76DA9915C36F3D742951F63351CF5C97
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9B0B0584E80456A4FB98DA3973B1EB3F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A89F1E0FE544529429C8BF82FE74CE39
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B278DBFACA5AB424DA79915F3A109F9A
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B3B348F18694F1949B4D6BD9507F2886
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\C9667115F6A9CE340B31B63B680FF26F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E48E3A6D380B2EC4ABCEB3BA048D767F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EFB70E89C3D6D354596520DE424F89D6
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F49A213B5069AC348994D03F81B56C19
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F715D253BF28D554C9C0F60ABA8585CF
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings 
HKLM\software\pdfforge
HKLM\software\Search Settings
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: yes
Use Search Asst: 
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
SearchAssistant: 
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
4642 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
1514 Fichier(s) - C:\DOCUME~1\HP_ADM~1.HOM\LOCALS~1\Temp 
6 Fichier(s) - C:\WINDOWS\Temp 
0 Fichier(s) - C:\WINDOWS\Prefetch 
.
16 Fichier(s) - C:\Ad-Remover\BACKUP
84 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 10:52:17 | 12/03/2010 - CLEAN[1]
.
============== E.O.F ==============
.

truecode · Answer

Ces barres d'outils/Toolbar sont généralement installées par l'utilisateur non volontairement (sans lire, ou via des programmes déguisés).
Voici une petite explication https://forum.malekal.com/viewtopic.php?t=6173&start=

Thierry92700 · Answer

Oki pour les expications, que dois je faire maintenant ?

truecode · Answer

Maintenant lance cette analyse pour supprimer les éventuelles traces restantes : 


•Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

•Double clique sur le fichier téléchargé
•Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
•Quand la mise à jour est terminé va dans l'onglet
•Tu sélectionne "Exécuter un examen complet"
•Puis tu clique sur"Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

•L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
•Maintenant tu clique sur "Ok" pour poursuivre.
•Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
•Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
•Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
•Le Bloc-notes va s'ouvrir avec le rapport d'analyse
•Fais un copier coller de ce rapport etposte-le dans ton prochain message.

Thierry92700 · Answer

OK, c'est parti mais ca va prendre du temps car j'ai pas mal de volume de stockage ....
Concernant mes disques externes, faudra il aussi que je les connectes et les scan ? Car j'en ai aussi pas mal ...

Thierry92700 · Answer

Pendant le scan Fsecure a ouvert des alarmes sur les fichiers infectés :
Trojan-Spy.Win32.Agent.beaf (virus) 
 C:\hp\recovery\wizard\fscommand\AppRecoveryLink_ret.0xe Action : ECHEC 
 C:\hp\recovery\wizard\fscommand\CreatorLink_ret.0xe Action : ECHEC 
 C:\hp\recovery\wizard\fscommand\RecordnowLink_ret.0xe Action : ECHEC 
 C:\hp\recovery\wizard\fscommand\RestoreLink_ret.0xe Action : ECHEC 
 C:\hp\recovery\wizard\fscommand\RTCDLink_ret.0xe Action : ECHEC 
 C:\hp\recovery\wizard\fscommand\RunLink_ret.0xe Action : ECHEC 
 C:\hp\recovery\wizard\fscommand\SysRecoveryLink_ret.0xe Action : ECHEC 
 C:\hp\recovery\wizard\fscommand\WizardLink_ret.0xe Action : ECHEC 
Les fichiers sont toujours identifiés par Fe secure comme étant infectés ????

Thierry92700 · Answer

Re ...
Voici le compte rendu après l'analyse Malwarebyte's.
Les fichiers dans le dossiers C:\hp\recovery\wizard\fscommand sont toujours identifiés par F Secure comme étant infecté.

Les logs :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3858
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/03/2010 14:54:04
mbam-log-2010-03-12 (14-54-04).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Eléments examinés: 393989
Temps écoulé: 3 hour(s), 15 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
J:\Documents partagés\Mes Images\Image Maison\Webmaison\FileZilla\dbghelp.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrateur\mpr2.dat (Malware.Trace) -> Quarantined and deleted successfully.

truecode · Answer

Lance cette analyse : 


•Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

•Double clique sur le fichier téléchargé
•Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
•Quand la mise à jour est terminé va dans l'onglet
•Tu sélectionne "Exécuter un examen complet"
•Puis tu clique sur"Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

•L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
•Maintenant tu clique sur "Ok" pour poursuivre.
•Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
•Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
•Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
•Le Bloc-notes va s'ouvrir avec le rapport d'analyse
•Fais un copier coller de ce rapport etposte-le dans ton prochain message.

Thierry92700 · Answer

C'est ce que je viens de faire ???? Tu as déjà le compte rendu dans mon message précédent. Qui y a t il de différent par rapport à ce que nous avons fait précédement ?
Cordialement

truecode · Answer

Oups désoler erreur de fenêtre , tu n'arrive toujours pas a faire un de ces rapports : 

Soit : 

• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe 
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

Ou : 

• Télécharge ZHPDiag https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
• Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Thierry92700 · Answer

Rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201003/cijrQCwTsl.txt

truecode · Answer

Bonjour , 

Le soucis persiste ?

Thierry92700 · Answer

Bonjour
Voilà le scan du répertoire HP\recovery :
Rapport d'analyse
dimanche 14 mars 2010 13:56:05 - 13:56:09
Nom de l'ordinateur: HOME 
Type d'analyse: Analyse de la cible 
Cible : C:\hp\recovery\wizard\fscommand 


--------------------------------------------------------------------------------

Résultat: 9 antiprogramme(s) détecté(s)
Trojan-Spy.Win32.Agent.beaf (virus) 
C:\hp\recovery\wizard\fscommand\AppRecoveryLink_ret.0xe Action : ECHEC 
C:\hp\recovery\wizard\fscommand\CreatorLink_ret.0xe Action : ECHEC 
C:\hp\recovery\wizard\fscommand\RecordnowLink_ret.0xe Action : ECHEC 
C:\hp\recovery\wizard\fscommand\RestoreLink_ret.0xe Action : ECHEC 
C:\hp\recovery\wizard\fscommand\RTCDLink_ret.0xe Action : ECHEC 
C:\hp\recovery\wizard\fscommand\RunLink_ret.0xe Action : ECHEC 
C:\hp\recovery\wizard\fscommand\SysRecoveryLink_ret.0xe Action : ECHEC 
C:\hp\recovery\wizard\fscommand\WizardLink_ret.0xe Action : ECHEC 
Trojan-Spy.Win32.Agent.bdzz (virus) 
C:\hp\recovery\wizard\fscommand\CDLogic_ret.0xe Action : ECHEC 




--------------------------------------------------------------------------------

Statistiques
Analysés: 
Fichiers: 21 
Non analysés: 0 
Résultat: 
Virus: 9 
Spyware: 0 
Eléments suspects: 0 
Programme à risque: 0 
Actions: 
Nettoyés: 0 
Renommés: 0 
Supprimés: 0 
Quarantaine: 0 
Echec: 9 
Secteurs d'amorçage: 
Analysés: 0 
Infectés: 0 
Eléments suspects: 0 
Nettoyés: 0 


--------------------------------------------------------------------------------

Options
Version des définitions:
Virus: 2010-03-12_08 
Spyware: 2010-03-12_08 
Moteurs d'analyse :
F-Secure AVP: 7.00.171, 2010-03-12 
F-Secure Libra: 2.04.01, 2010-02-06 
F-Secure Orion: 1.02.37, 2010-03-12 
F-Secure Draco: 1.00.35, 2009-06-17 
Options d'analyse : 
Analyser tous les fichiers 
Analyser le contenu des archives 
Actions:
Virus: Nettoyer les fichiers infectés 
Spyware: Supprimer les fichiers infectés 

Il y a encore les mêmes problèmes sur les mêmes fichiers, est ce du à F Secure ????? Ou y a t il un probleme avec ces fichiers ? A quoi servent ils ?
Cordialement
Thierry

Thierry92700 · Answer

Bonsoir,
J'ai une version Pro de Trend Micro. J'ai désinstallé F secure du PC par le panneau configuration car pour installé l'anti virus trend il me demande de désinstaller F secure. Et là surprise, après avoir désinstaller, Fesecure apparait toujours dans la barre en bas de l'écran et semble toujours actif (malgré redémarrage ...) et par contre je ne le trouve plus ds le panneau configuration des applis.
Je ne peux donc pas installer le nouvel anti virus et l'autre est "actif" sans être présent ...
Ca relève de la grande magie ...
Cordialement
Thierry

Thierry92700 · Answer

C'est cool, je fais mon auto dépannage ....
Donc, si vous avez un problème de désinstallation de FSecure, il existe un utilitaire sur le site de FSecure qui désinstalle tous les produits Fsecure ... Voilà la copie du communiqué :
Removing by using F-Secure uninstallation tool
You should use the F-Secure uninstallation tool with extreme care, and there are several caveats to its use:

•The tool will not remove F-Secure software if it was installed directly into an unsafe location, such as c:\, c:\windows or c:\program files. This is because it will delete the directory into which F-Secure was installed and, as such, it would also delete the rest of the files. 
•The tool will remove all installed F-Secure products, and should therefore be used with extreme caution on F-Secure Policy Manager, F-Secure Anti-Virus for Microsoft Exchange and F-Secure Anti-Virus for Windows Server installations. Running the uninstallation tool on a Policy Manager server without a backup means that you will have to reinstall all clients.

The reason for this is that the tool will also delete the keys, domain setup and all other aspects of the Policy Manager implementation while removing the other products. Since all policies are digitally signed and the signature is checked before taking them into use, a backup of the keys and the commdir directory is essential. For more information about creating a backup, see article 2043 - Brief F-Secure Policy Manager backup instructions.
You should only use the uninstallation tool as a last resort when everything else has failed. It is not without risk.

You can download the uninstallation tool package from ftp://ftp.f-secure.com/support/tools/uitool/UninstallationTool.zip.

Bon, maintenant je vais installer l'anti virus Trend, et puis on va voir ...

truecode · Answer

Bon bas écoute si tu fais ton auto nettoyage tant mieux pour toi ... Bonne continuation

Thierry92700 · Answer

Je te tiens au courant.
A+

Thierry92700 · Answer

Bonsoir,
Nouvel anti virus Trend installé, scan effectué, visiblement aucun problème.
Est ce problème F Secure ? Est ce un faux positif ?
Merci pour ton aide. Dois je refaire un rapport hijack ou autre pour vérifier si il reste quelque chose ?
A+

Thierry92700 · Answer

Bonjour,
J'ai passé les fichiers "infectés" sur Virustotal. Visiblement le probleme n'est toujours pas résolu.
Le log de Virustotal se trouve sur le lien :
http://www.cijoint.fr/cjlink.php?file=cj201003/cijth82mqT.txt

Merci

xav'(73) · Answer

Bonjour,

Trop de forums tue le forum:
http://forum.touslespodcasts.com/telecharger/securite/adwarewin32webhancertrojan-spywin32agentbeaf-et-bdzz-447859/messages-1.html
https://forum.zebulon.fr/topic/174757-adwarewin32webhancertrojan-spywin32agent/
https://www.bleepingcomputer.com/forums/t/301862/adwarewin32webhancertrojan-spywin32agentbeaf-et-bdzz/

L'important n'est pas de connaître l'information, mais de
savoir où la trouver (Albert Einstein)...et on a trouvé hé hé.
Il manquait plus que celui là:
https://forums.techguy.org/threads/could-someone-please-help-me-with-my-computer.519409/
Mais il faut avoir confiance dans l'éthique de panda software...

Bonne journée

Thierry92700 · Answer

Bonjour Xav(73),
Quel est le problème ? Y a t il une interdiction à poster sa demande sur plusieurs forums ?
Bravo pour l'enquête qui bien sur n'est pas très compliquée à mener.
Et merci pour ton aide très constructive,
Cordialement

Thierry92700 · Answer

Et concernant la conclusion de ton intervention :
"Il manquait plus que celui là: 
https://forums.techguy.org/ 
Mais il faut avoir confiance dans l'éthique de panda software... "
je ne vois pas ce que cela a à voir avec mes posts ...
Au plaisir,

xav'(73) · Answer

Re,

La multiplication des demandes d'aide peut entrainer ce qu'on appelle des croisements de traitement qui peuvent être néfastes car ne respectant pas un ordre logique pouvant laisser subsister des traces rendant inopérants les traitements. Par exemple un traitement antivirus peut-être inutile si on efface pas d'abord tous les fichiers temporaires et les cookies.
Le forum que j'ai trouvé où le même problème est décrit semble accréditer que pandasoftware soit capable d'éradiquer ces trojans. Le fait d'en découvrir une multitude et de les corriger semble pour le moins suspect. Donc il faut se méfier des remèdes soit disant miracles qui créent des faux virus et prétendent les avoir éradiquer tout en ayant installer des espions. Et puis tu rechercheras avec google le thème "pandasoftware et scientologie".
A toi de rester maître de ton ordi...
Et de plus c'est pas très sympa pour celui qui a tenté de t'aider...les forums d'entraide n'ont pas pour vocation la concurrence commerciale. Les contributeurs le font bénévolement et n'en sont pas rémunérés. La multiplicité de ces forums constitue une base de connaissance phénoménale qu'il convient d'explorer avant d'en appeler à la communauté.
Bon courage.

Thierry92700 · Answer

Qui parle de concurrence commerciale ? Je dois être le premier à avoir posté un sujet sur l'apparition de ce problème et visiblement et cela grace à mes "multiples" recherche est lié aux ordinateurs de base HP utilisant le recovery.
J'ai bien sur recherché avant de poster mais personne avant le 10 Mars n'avait eu ce problème alors que à partir du 10 Mars le phénomène s'est amplifié.
Maintenant, je ne comprend toujours pas ta référence à Panda software et la Scientologie mais tu as surement de bonnes raisons.
Cordialement

Adware.win32.webhancer/Trojan-spy.win32.agent

40 réponses

Discussions similaires

Newsletters