Dangerous backdoor program [Résolu]

[gossveil]

Bonjour à vous,
j'aurais besoin d'un petit coup de main,
L'alerte sécurité windows est passée en rouge et lorsque je veux cliquer sur l'icône, un message me dit "l'opération a été annulée en raison de restrictions en vigueur et que je dois contacter l'administrateur"

De plus, Antivir me detecte un (dangerous) backdoor program "BDS/Agent.YZB"" dans C:\WINDOWS\system32\sol548.txt

Il me précise "Access deny" et le message réapparait indefiniment lorsque je fait OK.

J'ai essayé Antivir, Spybot, AVG antispyware, et adaware
mais rien n'y fait!!

merci de vos conseils
Chris

[Sév]

Bonsoir & bienvenue,

Poste un log Hijackthis sous forme de lien

Si tu as conservé le rapport de AVG AS, ça m'intéresse de le voir aussi.

@+
_________________

[gossveil]

Bonsoir

voici le lien http://cjoint.com/?lwvmlLPJlE

je n'ai malheureusement pas le rapport AVG

Chris

[Sév]

Effectivement il y a du monde.

Dans un premier temps, je vais te demander de désinstaller Spybot S&D pour deux raisons : la première est qu'il va nous empêcher de désinfecter s'il est actif, la seconde parcequ'il fait doublon avec AVG AS.

Juste une question : As-tu les droits administrateur sur ce PC (enfin en temps normal) ?

Suis cette procédure pour commencer et poste-moi tous les rapports demandés.

++
_________________

[gossveil]

Ok je desinstalle spybot

Oui, je suis l'administrateur, mais je sais que lors de plusieurs réparations windows durant laquelle la procédure me demandait le nom et le code administrateur, ça ne correspondait jamais , du coup je faisais une réinstallation complète....

Chris

[gossveil]

Désolé je dois y aller,
je suivrais la procedure demain matin

déjà merci pour ces réponses.

Chris

[gossveil]

Bonjour,

voici les rapports: hijack http://cjoint.com/?lxnSWBlrJn

AVG; http://cjoint.com/?lxnYnhFs2v

et Smitfraud rapport 1 ; http://cjoint.com/?lxnY2xquRB

et le rapport 2; http://cjoint.com/?lxnZISsrrl

merci Chris

[Sév]

Bonjour,

On continue

• Télécharge combofix.exe, de sUBs, sur ton Bureau,
  
  
  • Double clique combofix.exe,
    
  • Tape sur la touche 1 (Yes) pour démarrer le scan,
    
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
    
    NB : Le rapport se trouve également là : C:\Combofix.txt.
  
  
  
• Poste un nouveau log HijackThis avec le rapport de CF.

@+
_________________

[gossveil]

Mon ordinateur se bloque après le redemarrage lancé par combofix,
j'ai toujours l'alerte d'antivir
"(dangerous) backdoor program "BDS/Agent.YZB"" dans C:\WINDOWS\system32\sol548.txt "

Il me précise "Access deny" et le message réapparait indefiniment lorsque je fait OK.


Et je me demande si c'est pas antivir qui me ralenti le système du coup, comment puis-je le shunter. pour ensuite retester Combofix

[Sév]

Désactive-le, oui

Ca doit être quelque chose comme un clic droit dans la barre de tâche sur l'icône d'Antivir, et disable ou un truc du genre, là je ne peux pas t'aider.

Quant au message d'alerte d'Antivir c'est normal, ce fichier est lancé au démarrage de Windows (avec Winlogon), on ne l'a pas encore supprimé. Il me faut le rapport de Combofix pour ça.

@+
_________________

[gossveil]

Le voici
http://cjoint.com/?lxpuAU7S4w

Et le log hijackThis

http://cjoint.com/?lxpvyc6U0E

[Sév]

C'est mieux là, nan ?

On profite qu'on a Combofix sous la main pour faire un brin de ménage :

• Ouvre le bloc notes et enregistre la totalité du texte ci-dessous :
  
  

  Citation:

  File:: C:\WINDOWS\system32\sol548.txt C:\Program Files\DaemonTools_WhenUSave_Installer C:\WINDOWS\system32\timoty.exe Folder:: C:\Documents and Settings\Chris\Application Data\SpywareRemover C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy C:\Program Files\ALWILS\Avast4\ C:\Program Files\Spybot - Search & Destroy\

  
  
  
• Enregistre le fichier en le nommant CFScript.txt et fais un glisser/déposer du fichier vers Combofix comme sur l'image ci-dessous :
  
  
  
  
• Double-clique Combofix.exe et laisse le s'exécuter (ne touche à rien pendant toute la durée du scan)
  
  
• Une fois le scan terminé un rapport Combofix.log va apparaître, poste son contenu sur ta prochaine réponse avec un nouveau log HijackThis.

@+
_________________

[gossveil]

Voici les 2 autres rapports

combofix: http://cjoint.com/?lxsPi7fZFV

et hijackthis: http://cjoint.com/?lxsPGSTAzm

merci encore
chris

[Sév]

Apparemment il y a aussi une infection Lop.

1. Télécharge Lop S&D.zip.
   Dézippe-le sur ton Bureau uniquement.
   
   
2. Ouvre le dossier Lop S&D puis double-clique sur Scan.bat.
   
   
3. Tape sur "R" puis valide en appuyant sur "Entrée".
   Un rapport sera généré, poste son contenu sur ta prochaine réponse.
   
   
4. Ouvre HijackThis et coche cette ligne seulement, elle est inutile :
   
   

   Code:

   O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

   
   
   
5. Clique Fix Checked et valide les modifications.
   
   
6. Télécharge ATF Cleaner d'Atribune,
   
   
   • Double clique ATF-Cleaner.exe
     
   • Dans le menu Main, coche la case All ,
     
   • Puis clique sur Empty Selected
     
     
     

Et dis-moi comment va ton PC.

@+
_________________

[gossveil]

Merci beaucoup, ça a l'air de marcher nettement mieux, avant la derniere manipulation j'avais encore la fenetre d'antivir qui s'affichait régulièrement; là je suis en attente......

En tous cas, merci énormément, pour tous ces conseils et manip
Je me permettrais de réécrire après le Weekend si le problème persiste,
car pour le moment on m'attend impatiemment...,Je dois y aller

mille fois merci
Chris