Backdoor.Agent.ZPTGen

[fafa80]

Bonjour,
l'interrupteur de ma web cam s'allume spontanément, avec en plus une fenêtre de discussion ( msn, alors que j'ai jamais installé ce programme), et une discussion s'affiche , la personne qui m'espionne prétend qu'elle connait tous mes mots de passe , et s'identifie comme ethical hacker. je peux pas me connecter via mon PC parce que il peut voir mes clics sur le clavier et les pages que je visite . le programme Malwarebytes affiche le Backdoor.Agent comme virus mais après reboot rien n'est éliminé . HELP
-----

[chantal11]

Bonjour,

Tu peux poster un rapport Malwarebytes qui indique cette détection ?

Nous allons utiliser un outil de diagnostic plus performant.

---------------------------------------------------------------------------------------------

FRST :

• Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau
  Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
  
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
Malwarebytes
FRST.txt et Addition.txt

@+

[fafa80]

bonjour ,
çi joint lee rapports . Je n'ai pas mis le MBAM à jours ( la derniére date de Mars 2013); la mise à jour est impossible . Merci

[chantal11]

Re,

La protection système est désactivée sur ton système ?

Vérifie-le et au besoin réactive la protection comme indiqué sur cette fiche Microsoft :
http://windows.microsoft.com/fr-fr/w...tore-on-or-off


---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

Yahoo! BrowserPlus (sauf si réelle utilité)

---------------------------------------------------------------------------------------------

Nous allons supprimer totalement cette version Malwarebytes qui dysfonctionne.

• Télécharge mbam-clean.exe et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur et désactive temporairement ton antivirus
• Double-clique sur l'icône mbam-clean.exe pour lancer l'application
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Suis les instructions de l'outil
• Un redémarrage est demandé, il est important de valider et laisser redémarrer le système (redémarrer manuellement au besoin)

---------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  HKLM\...\Run: [NDSTray.exe] - NDSTray.exe [x]
  HKLM\...\Run: [cfFncEnabler.exe] - cfFncEnabler.exe [x]
  HKLM\...\Run: [jswtrayutil] - "C:\Program Files\Jumpstart\jswtrayutil.exe" [x]
  HKLM\...\RunOnce: [Malwarebytes Anti-Malware] - C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent [512360 2012-12-14] (Malwarebytes Corporation)
  HKLM\...\RunOnce: [Malwarebytes Anti-Malware (cleanup)] - rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript [1091432 2012-12-14] (Malwarebytes Corporation)
  HKCU\...\Run: [TOSCDSPD] - TOSCDSPD.EXE [x]
  HKCU\...\Run: [swg] - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [x]
  HKCU\...\Run: [EPSON SX125 Series] - C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIGGE.EXE /FU "C:\Windows\TEMP\E_SE0F8.tmp" /EF "HKCU" [x]
  HKCU\...\Run: [Servieca.vbs] - "C:\Users\Wafa_2\AppData\Local\Temp\Servieca.vbs" [x] <===== ATTENTION
  HKCU\...\Run: [c51dd1d4c0a92fb8c2ee78d1aed16abd] - C:\Users\Wafa_2\AppData\Local\Temp\msn.exe [43008 2012-10-03] () <===== ATTENTION
  MountPoints2: {17eb8fee-ee96-11e1-b788-001e33f22dfd} - D:\.\Setup.exe AUTORUN=1
  MountPoints2: {52e372ed-efda-11de-8768-b6dc30ed8195} - D:\trikfx/spomenar.exe
  MountPoints2: {82afbe86-cfd0-11de-91ae-001e33f22dfd} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs Thumbss.db
  Startup: C:\Users\Wafa_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\c51dd1d4c0a92fb8c2ee78d1aed16abd.exe ()
  SearchScopes: HKCU - {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=eQMBwT3dX5a7PVLRfxWiiTCVX-M?q={searchTerms}
  Toolbar: HKCU -No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
  C:\Users\Wafa_2\AppData\Local\Temp\msn.exe
  C:\Users\Wafa_2\AppData\Local\Temp\Servieca.vbs
  D:\trikfx/spomenar.exe
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

TFC - Nettoyage des fichiers temporaires :

• Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
• Ferme toutes les applications en cours
• Double-clique sur TFC.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
• Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Sur le menu principal, clique sur ?, puis sur Options
• Coche la case /DisableAskDetection et valide par OK (Aide en images)
  
• Ensuite, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

Tutoriel d'utilisation Malwarebytes en images

----------------------------------------------------------------------------------------------

Sont attendus les rapports :
Fixlog.txt
AdwCleaner
Malwarebytes

@+

[A voir en vidéo sur Futura]

[fafa80]

Bonjour ,
pour la protection du système , on me signale que mon antivirus est activé mais signale sont statut au centre de sécurité dans un format qui n'est pas pris en charge par Windows.
Le rapport de MBAM je l'ai pas trouvé ni dans les rapports du logiciel ni dans le bureau ou je suis sure de l'avoir enregistré (?).

[chantal11]

Bonjour,

Si, le rapport Malwarebytes est forcément dans l'onglet Rapports/Logs.
Tu peux aussi le trouver dans C:\Users\Wafa_2\AppData\Roamin g\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Tu peux vérifier et poster ce rapport s'il te plaît ?

Applique aussi cet outil :

--------------------------------------------------------------------------------------------------------------

TFC - Nettoyage des fichiers temporaires :

• Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
• Ferme toutes les applications en cours
• Double-clique sur TFC.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
• Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage

--------------------------------------------------------------------------------------------------------------

Ensuite nous ferons une analyse de contrôle.

@+

[fafa80]

Bonjour;
J'ai fait le scan complet par le MBAM le 20/08/ 2013, j'ai trouvé les dates antérieures (même celles avant la suppression de l'autre version du logiciel) mais pas cette date . je vous poste le dernier scan avant le 20/80 et ce que je trouvé pour cette date.
Merci

[chantal11]

Re,

OK, donc cette analyse MBAM a été faite avant notre correctif FRST, n'est-ce -pas ?

Comment se comporte le système maintenant ?

On va contrôler de toute façon le système, toujours avec FRST.

Supprime FRST.exe enregistré sur ton Bureau et télécharge une nouvelle version, je te remets la procédure :

---------------------------------------------------------------------------------------------

FRST - version 32 bits :

• Télécharge FRST de Farbar et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
  
• A la fin du scan, le rapport FRST.txtest créé.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Poste ce nouveau rapport FRST.

@+

[fafa80]

bonjour,
çi joint le rapport . Merci

[chantal11]

Bonjour,

On y arrivera pas si tu restes sur une session utilisateur.
Ouvre ta session Administrateur et recommence l'analyse FRST s'il te plaît.

Poste le nouveau rapport FRST.

[fafa80]

Re,
Oups , Sorrry

[chantal11]

Re,

C'est mieux ... merci

Donc toujours depuis cette session administrateur :

---------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  HKLM\...\Run: [NDSTray.exe] - NDSTray.exe [x]
  HKLM\...\Run: [cfFncEnabler.exe] - cfFncEnabler.exe [x]
  HKLM\...\Run: [jswtrayutil] - "C:\Program Files\Jumpstart\jswtrayutil.exe" [x]
  HKU\TEMP\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-11] (Microsoft Corporation)
  HKU\TEMP\...\Run: [TOSCDSPD] - C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe [ 2008-04-24] (TOSHIBA)
  HKU\Wafa_2\...\Run: [c51dd1d4c0a92fb8c2ee78d1aed16abd] - "C:\Users\Wafa_2\AppData\Local\Temp\msn.exe" .. [x] <===== ATTENTION
  C:\Users\Wafa_2\AppData\Local\Temp\msn.exe
  C:\Users\Wafa_2\AppData\Local\Temp\Servieca.vbs
  SearchScopes: HKLM - DefaultScope value is missing.
  Toolbar: HKCU -No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Ensuite, nous allons utiliser cet outil, toujours depuis la session administrateur :

USBFix - Recherche :

• Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
  Autre lien de téléchargement USBFix
• /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
• Double-clique sur UsbFix sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur l'option Recherche et laisse l'outil analyser ton système
• La recherche se lance
• Le rapport UsbFix.txt s'affiche. Poste le contenu du rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\UsbFix.txt
  
  Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
Fixlog.txt
USBFix.txt

@+

[fafa80]

Re,
çi joints les rapports , Merci

[chantal11]

Re,

USBFix - Nettoyage :

• /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
• Double-clique sur UsbFix sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur l'option Suppression et laisse l'outil travailler
• Le rapport UsbFix.txt s'affiche. Poste le rapport en pièce jointe dans ta prochaine réponse
  Le rapport se trouve sous C:\UsbFix.txt
  
  Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

---------------------------------------------------------------------------------------------

Est attendu le rapport USBFix

Comment se comporte le système maintenant ?

Si tout va bien, nous mettrons à jour le système.

@+

[fafa80]

Bonjour,
J'ai l’impression que ça marche pas comme il faut ( par moments la fenêtre de navigation se ferme spontanément , j'ai eu 2 alertes de sécurité aujourd’hui

[chantal11]

Bonjour,

j'ai eu 2 alertes de sécurité aujourd’hui

Les mêmes qu'avant ?
Que disait ces alertes ?

Le rapport USBFix est incomplet, tu peux poster le rapport en entier s'il te plaît ?

Nous allons aussi passer cet outil :

---------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller (pour un système 32 bits) ou RogueKiller x64 (pour un système 64 bits) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte l'EULA du programme
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
USBFix en entier
RogueKiller - Recherche

@+