adgruadoik.exe Infected: Trojan-Dropper.Win32.Agent.brn

[invitef7a5c4cd]

Bonjour à tous

J'ai encore un pb de virus ou Trojan d'après un rapport Kasperski
Le nom de cette petite bête : adgruadoik.exe
et la ligne correspondante du rapport Kasperski :
C:\WINDOWS\system32\adgruadoik .exe Infected: Trojan-Dropper.Win32.Agent.brn

Pour l'instant je n'ai pas détecté trop de nuisances sur cette session, mais sur une autre session il y a 2 jours il n'y avait pas moyen de rien faire d'autre que de redémarrer (et [Ctrl Alt Supp] ne donnait la partie centrale de sa fenêtre traditionnelle...)

Je dit encore parce que j'ai eu des pbs (que je croyais / qui étaient / solutionnés) Voir éventuellement les échanges avec "Bruce Lee" qui sont situés là >
http://forum.zebulon.fr/index.php?sh...27882&hl=lucma

Si quelqu'un voulait bien m'aider ça m'arrangerai beaucoup.
J'ai essayé à nouveau de trouver de l'aide sur le forum Zebulon mais sans succès la deuxième fois (voir ici >
http://forum.zebulon.fr/index.php?sh...&#entry1087208

Etes vous en mesure de m'aider ?
à bientôt j'espère.
-----

[Cyrrus]

Bonjour lucma,

Après concertations avec Bruce, je vais m'occuper de toi. Indique dans ton sujet sur Zeb que tu n'as plus besoin d'aide (ou que tu en as trouvé, comme tu veux).

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 5 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

et en plus :


Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton Bureau.

Double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Enregistre le rapport sur ton Bureau.

Poste le, en pièce jointe, dans ta prochaine réponse.

Note : Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Poste moi donc les rapports de Diaghelp, Hijackthis et Navilog1.

Bonne soirée
Cyrrus

[invitef7a5c4cd]

Bonjour Cyrrus,

Incroyable, vous vous connaissez donc tous ?

Dans l'intervalle j'ai pris connaissance des manip préliminaires et voilà mes résultats diaghelp :
euh... je rectifie : mon texte généré est beaucoup trop long pour être collé ... http://forums.futura-sciences.com/im...s/confused.gif

a - est ce normal ? ou du moins pas trop anormal ? (en tous cas c'est pas la première fois que ça m'arrive.)
b - comment faire pour le raccourcir
c - est ce que la solution que je le mette en pièce jointe vous convient ?

Donc voir pièces jointes (texte et logs)
J'en ai peut être fait un en trop ?? "catchme"


à bientôt j'espère
cordialement
lucma.

[invitef7a5c4cd]

Rebonjour

voilà le dernier rapport :

Les différents rapports doivent être placés en pièces jointes.

Merci.

yoda1234.

[A voir en vidéo sur Futura]

[invitef7a5c4cd]

OK
Désolé je n'avais pas tilté...
Dois je le refaire ? (je ne crois pas vu que vous semblez l'avoir fait pour moi...)

Cordialement.

[yoda1234]

Dois je le refaire ? (je ne crois pas vu que vous semblez l'avoir fait pour moi...)

Bonjour,

non, tu ne dois pas le refaire....

[invitef7a5c4cd]

Bon alors il ne me reste plus qu'à attendre.


Patiemment...

à +

[Cyrrus]

Bonjour lucma,

Double clique sur le raccourci Navilog1 présent sur le Bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver. ( sur ton Bureau par exemple )
Referme le blocnote. Ton bureau va réapparaitre.

Note : Si ton bureau ne réapparait pas, déroule les instructions suivantes:

1. Fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
2. Rends-toi à l'onglet "processus".
3. Clique en haut à gauche sur fichiers et choisis "exécuter"
4. Tape explorer et valide. Celà te fera apparaitre ton bureau.

Poste le rapport en pièce jointe dans ta prochaine réponse.

Bonne journée
Cyrrus

[invitef7a5c4cd]

Bonjour Cyrrus

merci de m'avoir donné signe
voilà mon rapport cleannavi1.txt en pièce jointe.

à bientôt j'espère.

Cordialement,
Lucma

[Cyrrus]

Bonsoir lucma,

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Poste le rapport en pièces jointes.

Bonne soirée
Cyrrus

[invitef7a5c4cd]

Ouf !

Merci d'avoir répondu. J'ai lancé le scan. Je me rappelle que ça pouvait effectivement prendre un certain temps....

Je le poste dès que c'est fini - probablement demain matin....
Bonne nuit !

[invitef7a5c4cd]

Bonjour Cyrrus,

Voilà le rapport en pièce jointe.

à bientôt !

[Cyrrus]

Bonjour lucma,


Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
Télécharge Brute Force Uninstaller (de Merijn).

• Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
• Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code" )

Code:

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\adgruadoik
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|adgruadoik
FileDelete %SYSDIR%\adgruadoik_navup.dat
FileDelete %SYSDIR%\adgruadoik_navps.dat
FileDelete %SYSDIR%\adgruadoik_nav.dat
FileDelete %SYSDIR%\adgruadoik.dat
FileDelete %SYSDIR%\adgruadoik.exe
FileDelete %WINDIR%\PREFETCH\adgruadoik.exe*.pf

Enregistre ce fichier dans C:\BFU

• Nom du fichier : otherfix.BFU
• Type : tous les fichiers
• clique sur Enregistrer
• quitte le Bloc note

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Sous Scriptline to execute copie/colle cette ligne :
c:\bfu\otherfix.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Bon Dimanche
Cyrrus

[invitef7a5c4cd]

Bonjour Cyrrus

Merci de m'avoir répondu.
J'ai fait tout ce que tu as demandé dans ton dernier post.

Le travail de BFU n'a duré que moins de 5 sec ça te semble normal ? à moi non mais par ailleurs je suppose qu'avec le texte cible il savait exactement ce qu'il devait faire.
Que suis je censé faire maintenant ?

En attendant je vais refaire un Kasperski scan online pour voir s'il est parti. à moins que j'aies un contre ordre de ta part.

Je joins le rapport BFU par habitude.

à bientôt
cordialement
Lucma.

[Cyrrus]

Re lucma,

En attendant je vais refaire un Kasperski scan online pour voir s'il est parti. à moins que j'aies un contre ordre de ta part.

Très bonne idée. Poste moi le resultat.

[invitef7a5c4cd]

Bonsoir Cyrrus

Il fait 2Mo 96 le bougre

Je ne sais pas comment ça se fait.

Y aurait il fallu faire l'analyse en mode sans échec ou avec des précautions particulières ? Veux tu que je te l'écrème ? Si oui en enlevant ou en gardant quoi ?

Je le met néanmoins sur un serveur si tu veux y jeter un oeil quand même >
http://lucma.free.fr/SYS/kasperski%2...-09-07%231.txt

Pourquoi est il aussi long ?
Qu'est ce que j'ai fait de travers ?

Sinon je me souvient qu'il disait qu'il avait trouvé au moins 2 virus.

En attendant de te lire
Bonne nuit.
Cordialement, Luc

[invitef7a5c4cd]

bonjour Cyrrus,

j'ai refait un scan Kasperski pour voir et d'après son message javais encore 2 virus. Comme il fait encore trop de poids pour permettre de le mettre ici en PJ je t'indique son adresse texte >
son adresse texte >
http://lucma.free.fr/SYS/INFECTION2.TXT
et son adresse html
http://lucma.free.fr/SYS/INFECTION2.html
Comme je trouve les rapports Kasperski un peu long j'en ai refait un avec AVG que je peux cette fois ci inclure en PJ dans ce message.

à bientôt
Lucma

[Cyrrus]

Bonsoir lucma,

Désolé pour le délai.

Apparemment il reste un fichier, je ne sais pas bien pourquoi...

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\adgruadoik.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

Bonne soirée
Cyrrus

[invitef7a5c4cd]

Bonjour Cyrrus,

J'ai cru avoir posté une réponse mais j'ai dû rêver...

voilà le résultat en PJ

entre temps j'ai refait un autre scan avec Kasperski
voir pj en gif
et pour voir le texte, comme j'ai demandé une analyse complète j'obtient un fichier texte qui pèse plus de 3 Mo je l'ai mis à cette adresse >
http://lucma.free.fr/SYS/kasp2..txt

Comme j'ai détecté (dans le fichier "kasp2.txt" en cherchant "infected") qu'il y avait une infection dans le dossier accoona de program files, je l'ai supprimé. De toutes façon, je crois que je n'avais pas réussi à l'installer et l'utiliser.
J'attends de vos nouvelles impatiemment.

à bientôt
cordialement
Lucma

[Cyrrus]

Bonsoir lucma,

Où en sont les symptômes ? Pour moi cela me paraît bon...

Bonne soirée
Cyrrus

[invitef7a5c4cd]

Bonjour Cyrrus

Effectivement je n'ai pas à me plaindre d'un dysfonctionnement.

Comment puis je m'assurer qu'il n'y a aucun malware ou autre bestiole encore nuisible sur ma machine ?
Scan avec Hijack this ?
Merci
Bonne soirée

Lucma

[Cyrrus]

Bonsoir lucma,

Personnellement je pense uqo'n peut arreter les vérifications, sauf si u as un doute/symptômes particulier.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.


Bonne soirée
Cyrrus

[invitef7a5c4cd]

Merci pour tout !
l'utilisation de ce PC me semble normale maintenant.

Faut il ajouter [résolu] opu quelquechose comme ça quelque part ?

à+