Votre question

Cheval de troie Injector.AQQ [résolu]

Tags :
  • PC
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Janvier 2013 21:36:32

Bonjour,

A chaque démarrage de mon PC j'ai mon antivirus qui supprime un fichier dll me disant :

C:\Users\Banoch\AppData\Local\Temp\0fohupz9.dll

Une variante de MSIL/Injector.AQQ cheval de troie nettoyé par suppression - mis en quarantaine

Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe.

Je pense que mon PC est infecté j'ai fais plusieurs scan en mode sans echec je n'ai rien trouvé et j'ai toujours le problème.

Autres pages sur : cheval troie injector aqq resolu

a b 8 Sécurité
29 Janvier 2013 21:45:12

Bonjour,

C'est quoi ton antivirus ?

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    m
    0
    l
    29 Janvier 2013 21:48:20

    Mon antivirus est Eset smart security 5.0.93.7
    m
    0
    l
    Contenus similaires
    a b 8 Sécurité
    29 Janvier 2013 22:12:21

    Des petites traces d'adware ça doit être ça.

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse.
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse.
      Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt
    m
    0
    l
    a b 8 Sécurité
    30 Janvier 2013 00:17:15

    Encore ces alertes ? Refais une analyse OTL :) 
    m
    0
    l
    30 Janvier 2013 20:08:29

    Oui toujours le même message au démarrage.
    m
    0
    l
    a b 8 Sécurité
    31 Janvier 2013 09:33:57

    Re,

    Tu utilises ZHP pourquoi ?
    Tu peux désinstaller Pando Media Booster, inutile.

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0033-ABCDEFFEDCBA%7D:6.0.33
      FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0035-ABCDEFFEDCBA%7D:6.0.35
      FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:18.0.1
      FF - user.js - File not found
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
      O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O33 - MountPoints2\{b22157fc-6617-11e1-b869-50e549530d6b}\Shell - "" = AutoRun
      O33 - MountPoints2\{b22157fc-6617-11e1-b869-50e549530d6b}\Shell\AutoRun\command - "" = D:\AutoRunCardDetector.exe
      O33 - MountPoints2\{b2215825-6617-11e1-b869-50e549530d6b}\Shell - "" = AutoRun
      O33 - MountPoints2\{b2215825-6617-11e1-b869-50e549530d6b}\Shell\AutoRun\command - "" = I:\AutoRunCardDetector.exe
      O33 - MountPoints2\{b221587c-6617-11e1-b869-50e549530d6b}\Shell - "" = AutoRun
      O33 - MountPoints2\{b221587c-6617-11e1-b869-50e549530d6b}\Shell\AutoRun\command - "" = I:\AutoRunCardDetector.exe
      @Alternate Data Stream - 195 bytes -> C:\ProgramData\TEMP:15B79D44

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    31 Janvier 2013 14:10:37

    ZHP je l'ai utilisé pour faire des scans rien de plus.
    Pando Media Booster me sert pour un jeu.
    Voici le lien OTL :
    http://security-x.fr/up/file.php?h=Re9d0e0094b2b777ccdc...

    J'ai toujours le message au démarrage. J'ai oublié de préciser que j'ai aussi le message adobe flash player a cessé de fonctionner au démarrage.
    m
    0
    l
    31 Janvier 2013 17:44:09

    Je l'ai déjà fait je pense que c'est lié avec mon problème cheval de Troie.
    Je pense que le formatage arrive ^^.
    m
    0
    l
    a b 8 Sécurité
    31 Janvier 2013 21:03:05

    Sympa de multiplier les messages sur les forums.
    Sinon analyse le fichier sur VirusTotal puis poste le rapport : https://www.virustotal.com/
    m
    0
    l
    a b 8 Sécurité
    31 Janvier 2013 22:54:07

    Citation :
    Ben je pars du principe que l'union fait la force donc autant essayer toutes les possibilités.

    Sauf que chaque personne à ses manières de faire. Au final je peux te donner un script de correction qui a déjà été fait ou partiellement fait par une autre personne.
    Au final c'est un risque pour ta machine mais c'est aussi une perte de temps :/ 

    Aucune détection par les antivirus. Je pense plus à un faux positif donc, comme vue sur d'autre exemple sur les forums.
    Eset/Nod32 est à jour ?
    m
    0
    l
    31 Janvier 2013 23:58:39

    Citation :
    Sauf que chaque personne à ses manières de faire. Au final je peux te donner un script de correction qui a déjà été fait ou partiellement fait par une autre personne.
    Au final c'est un risque pour ta machine mais c'est aussi une perte de temps :/ 


    Oui je comprends.

    Oui il est bien à jour je vais essayer de le réinstaller pour voir il a peu être un problème.
    m
    0
    l
    1 Février 2013 22:47:26

    J'ai changé carrément de version je suis passé a la 6 et il m'a détecte ceci:

    C:\Users\Banoch\AppData\Roaming\FlashPlayer.exe une variante probable de Win32/Agent.HTMGGLA cheval de troie

    nettoyé par suppression - mis en quarantaine

    Un événement s'est produit pendant une tentative d'exécution du fichier par l'application : C:\Windows\explorer.exe.

    J'ai donc de nouveau désinstaller et réinstaller flashplayer tout est ok.

    Merci beaucoup pour ton aide Angeldark.
    m
    0
    l
    a b 8 Sécurité
    3 Février 2013 18:56:06

    Il a l'air sensible pour pas grand chose quand même.

    Pour finir, tu peux si tu le souhaites valider une meilleure réponse. Cette option disponible ou non en fonction du type de sujet marquera automatique le sujet comme résolu.

    On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis choisis les options suivantes :
      * Supprimer les outils de désinfection
      * Effectuer une sauvegarde du registre
      * Purger la restauration système
    • Valide avec le bouton Exécuter.
    • Tu peux ensuite supprimer le logiciel.


  • /!\ Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection /!\
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS