Comment éradiquer Backdoor Agent.AAYI

Comment éradiquer Backdoor Agent.AAYI
Tigene	Le 29/09/2011 à 13:41
Viconaute Modérateur	Salut Les Viconautes attentifs et dévoués C'est à moi, humble modérateur de solliciter l'attention des helpeurs. Sur un PC ami (Vista), Kapersky a débusqué : Backdoor Agent.AAYI J'ai cru lire que c'était une méchante bébète et Si kapersky l'a identifié, il ne peut l'éradiquer. Donc j'attends vos conseils. J'ai passé AD remover, mais il s'en tape. Merci d'avance pour toutes vos interventions. @+ -- Ce n'est pas parce qu'on a quelque chose à dire, qu'il faut forcément l'ouvrir
Eddy34	Le 29/09/2011 à 15:07
	Bonjour Tigene, Même motif, même punition, il me faut un peu plus de détails sur les autres infection éventuelles qu'il pourrait y avoir, demande à ton collègue ceci: Utilise ce logiciel de diagnostic : • Télécharge ZHPDiag (de Nicolas Coolman) En cliquant sur Sur la page du site de Zebulon. • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. • Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. -- Il faut deux ans pour apprendre à parler et toute une vie pour apprendre à se taire ... [couleur=#3333FF]Configuration[/couleur] [couleur=#3366FF]Acer Aspire x3810/ Win 7 (Home Premium)x64/Orange/Avast 5/Ram 4 GO/Chrome/Malwarebytes[/couleur]
Tigene	Le 30/09/2011 à 01:54
Viconaute Modérateur	Merci Eddy Je crois que avec la mise a jour de BitDefeder, le "machin" est parti, mais sait on Jamais et une petite expertise de Eddy ca ne se refuse pas- Voila (je suis sur un PC Chilien, d'ou certaine incongruite) http://www.cijoint.fr/cjlink.php?file=cj201109/cijzLDkAGT.txt -- Ce n'est pas parce qu'on a quelque chose à dire, qu'il faut forcément l'ouvrir
Eddy34	Le 30/09/2011 à 14:37
	Bonjour Tigene, Au Chili ils ont les mêmes infections que nous, enfin celui çi a l'air d'avoir un Rogue, il faut vérifier ça donc: RogueKiller (créé par Tigzy) Option 1 SCAN : Télécharge sur le bureau RogueKiller Quitte tous tes programmes en cours Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur Sinon lance simplement RogueKiller.exe Lorsque demandé, tape 1 [SCAN] et valide Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le. * Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Ensuite Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. Lance le, clique sur [Recherche] puis patiente le temps du scan. Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt Après J'ai vu que tu avais Malwarebytes, donc mets le à jour et fais une analyse complète et poste moi le rapport STP -- Il faut deux ans pour apprendre à parler et toute une vie pour apprendre à se taire ... [couleur=#3333FF]Configuration[/couleur] [couleur=#3366FF]Acer Aspire x3810/ Win 7 (Home Premium)x64/Orange/Avast 5/Ram 4 GO/Chrome/Malwarebytes[/couleur]
Tigene	Le 01/10/2011 à 01:08
Viconaute Modérateur	Merci Eddy Le PC n'est pas au Chili, il vient du Chili, il est utilisé en France par une personne d'origine Chilienne. Il est d'une lenteur insupportable, 10 secondes entre chaque frappe de lettre, là j'écris sur mon PC sinon c'est l'HP ! bon je marque les étapes ici pour ne rien oublier :RogueKiller http://www.cijoint.fr/cjlink.php?file=cj201110/cijja7ZyOd.txt AdwCleaner : http://www.cijoint.fr/cjlink.php?file=cj201110/cijOhaweFl.txt Malwarebytes : -- Ce n'est pas parce qu'on a quelque chose à dire, qu'il faut forcément l'ouvrir
Eddy34	Le 01/10/2011 à 13:32
	Salut Tigene, Tu as des traces d'un rogue dans le registre, c'est très rusé ces bebettes, j'attends ton rapport MBAM pour exprimer la suite... -- Il faut deux ans pour apprendre à parler et toute une vie pour apprendre à se taire ... [couleur=#3333FF]Configuration[/couleur] [couleur=#3366FF]Acer Aspire x3810/ Win 7 (Home Premium)x64/Orange/Avast 5/Ram 4 GO/Chrome/Malwarebytes[/couleur]
Tigene	Le 01/10/2011 à 14:04
Viconaute Modérateur	Merci Eddy je voulais le placer a la suite http://www.cijoint.fr/cjlink.php?file=cj201110/cijVNvHDXp.txt @+ -- Ce n'est pas parce qu'on a quelque chose à dire, qu'il faut forcément l'ouvrir
Eddy34	Le 02/10/2011 à 10:24
	Bonjour Tigene, Il a l'air vraiment bien planqué, donc déjà regarde dans Ajout/sup de programmes si tu peux désinstaller le soft "Iminent" qui lui t'a installé de force l'adware IMBooster. Ensuite: Lance ZHPFix depuis le raccourci du bureau (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur). Si tu ne le trouve pas sur le bureau, relance un scan avec ZHPDiag sans l'héberger et tu dois voir l'écusson vert après cette analyse, clique dessus. Ou télécharge le sur ton Bureau A cette adresse • Sélectionne et Clique droit et Copie les lignes suivantes En gras : (Il est très important de sélectionner toutes ces lignes en partant de la 1ère lettre jusqu'à la dernière lettre.) --------------------------------------------------- [HKCU\Software\Iminent] => Infection PUP (Adware.IMBooster) [HKLM\Software\Iminent] => Infection PUP (Adware.IMBooster) O43 - CFD: 21/04/2011 - 17:48:32 - [1906168] ----D- C:\Program Files\Iminent => Infection PUP (Adware.IMBooster) O43 - CFD: 17/06/2010 - 23:31:08 - [3172] ----D- C:\ProgramData\6225 => Infection Rogue (Possible) O69 - SBI: SearchScopes [HKCU] {5AA2BA46-9913-4DC7-9620-69AB0FA17AE7} - (Buscar en ALOT) - http://search.alot.com => Infection BT (AdWare.Comet) C:\ProgramData\6225 => Infection Rogue (Possible) [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}] => Infection BT (Adware.MetaStream) [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}] => Infection BT (AdWare.Comet) [HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}] => Infection BT (Adware.2Search) [HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}] => Infection PUP (PUP.Eorezo) [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A76AA284-E52D-47E6-9E4F-B85DBF8E35C3}] => Infection PUP (Adware.IMBooster) [HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}] => Infection PUP (PUP.iMesh) [HKCU\Software\Iminent] => Infection PUP (Adware.IMBooster) [HKLM\Software\Iminent] => Infection PUP (Adware.IMBooster) C:\Program Files\Iminent => Infection PUP (Adware.IMBooster) --------------------------------------------------- • Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») • Les lignes se collent automatiquement dans ZHPFix. • Clique sur « GO » Envoie moi le rapport de ZHPFIX STP Ensuite: J'hésite à te faire passer Combofix pour le moment car trop dangereux si mal utilisé et surtout que je ne suis pas sûr de la présence d'un Rogue donc par sécurité: 1. Explications Le Scanner En ligne d'ESET est un instrument facile à utiliser, libre et puissant avec lequel on peut erradiquer tous type de malwares ! Le scanner en ligne est seulement compatible avec le navigateur web Internet Explorer sans Avoir à installer le logiciel antivirus. IMPORTANT : les privilèges d'Administrateur sont Obligatoires pour lancer une analyse 2. Utilisation Tous d'abord, rendez vous sur ce Lien : http://www.eset-nod32.fr/scanner.html Ce qui vous fera rediriger vers cette page : Cliquez alors sur le carré vert "ESET Online Scanner", Si un contrôle ActivX vous empêche l'exécution du Scanner, Alors installez le, Une fois que vous l'aurez installé, vous serez redirigé vers la page des Contrats de licence : Cochez Alors la case "OUI, j'accepte les termes du contrat de licence" Et cliquez sur "Start" Vous serez alors redirigé vers la page de configuration.. Cliquez sur le lien bleu : "Paramètres Avancés" Puis appliquez les réglages suivants : --> S'isl ne sont pas cochés, cochez ces cases : -> "Rechercher les applications potentiellement indésirables" -> "Rechercher les applications potentiellement dangereusess" -> "Activer la technologie Anti-Stealth (Anti-furtivité)" --> décochez cette case : -> utilisez des paramètres proxy manuel... Ce qui donne ceci : Cliquez à ce moment là sur "Démarrer" Le scan va donc Débuter ... Dans le cas ou vous vous faites aider sur un forum... En fin de scan , un rapport se sauvegardera automatiquement ici : C:\Program Files\EsetOnlineScanner\log.txt Vous n'aurez plus qu'à ouvrir ce fichier et à poster son contenu dans le forum ou l'on vous a pris en charge ....;) Et après refaits moi une nouvelle analyse ZHPDiag en prenant soin avant de cliquer sur la flèche verte pour le mettre à jour (important) et poste moi son rapport STP. -- Il faut deux ans pour apprendre à parler et toute une vie pour apprendre à se taire ... [couleur=#3333FF]Configuration[/couleur] [couleur=#3366FF]Acer Aspire x3810/ Win 7 (Home Premium)x64/Orange/Avast 5/Ram 4 GO/Chrome/Malwarebytes[/couleur]
Tigene	Le 03/10/2011 à 17:44
Viconaute Modérateur	Salut Eddy, je reprend avec ce PC, car le propriétaire en a eu besoin en l'état, mais me l'a ramené sur mes conseils. J'ai trouvé un lien vers un moteur de recherche "Iminent" c'est tout. j'ai supprimé ce lien. à suivre : rapport ZHPFix je me suis trompé, j'avais cliqué sur Hostfix qui commence par un grand H et là, sueurs froides plus rien sur le bureau, j'ai éteint et rallumé et ouf tout semble revenu comme auparavant. A quoi sert Hostfix ? Rapport de ZHPFix 1.12.3362 par Nicolas Coolman, Update du 23/09/2011 Fichier d'export Registre : Run by Kena at 03/10/2011 17:59:56 Windows Vista Starter Edition, 32-bit Service Pack 2 (Build 6002) Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html ========== Llaves del Registro ========== SUPRIMIDO Key: HKCU\Software\Iminent SUPRIMIDO Key: HKLM\Software\Iminent SUPRIMIDO Key: SearchScopes :{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7} AUSENTE Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1B00725B-C455-4DE6-BFB6-AD540AD427CD} AUSENTE Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7} SUPRIMIDO Key: HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f} SUPRIMIDO Key: HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a} SUPRIMIDO Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A76AA284-E52D-47E6-9E4F-B85DBF8E35C3} SUPRIMIDO Key: HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} ========== Carpetas ========== SUPRIMIDO Folder: C:\Program Files\Iminent SUPRIMIDO Folder: C:\ProgramData\6225 ========== Archivos ========== AUSENTE Folder/File: c:\programdata\6225 AUSENTE Folder/File: c:\program files\iminent ========== Recapitulativo ========== 9 : Llaves del Registro 2 : Carpetas 2 : Archivos End of clean in 00mn 07s ========== Registro Archivos ========== C:\ZHP\ZHPFix[R1].txt - 03/10/2011 17:59:56 [1471] Je continue à suivre : -- Ce n'est pas parce qu'on a quelque chose à dire, qu'il faut forcément l'ouvrir

Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !