Vous êtes ici : Accueil > Forums > Machine à café

Virus

runman974

Mercredi 01 Septembre 2004 11:29

Ceci est un appel aux pongistes informaticiens.

J'ai un virus sur mon PC (Backdoor.Agent.ay) qui est detecté par mon antivirus (fsecure mis a jour recemment).
Fsecure n'arrive pas a desinfecter les 2 fichiers infectés, alors soit il les renomme, soit il les efface. (j'ai essayé les 2)
Si je relance fsecure juste apres, il voit rien (apres renomage ou effacage), ca semble OK, mais un peu plus tard (le lendemain par exemple), a nouveau il retrouve intacts les 2 fichiers infectés.

Que dois-je faire pour me debarasser de ces saloperies?

J'ai un peu recherché sur le web, mais pas grand chose susceptible de m'aider a me debarasser de ce virus...
Richard75

Mercredi 01 Septembre 2004 13:03

defragmente ton ordi pour commencer,ca va creer un espace cyclique sur disque dur,apres fait un nettoyage du disk dur c et d....en fait nettoi toutes les partitions,et apres avoir fait ca tu dois me donner le nom de ta carte mere et la carte graphique car c est un virus mimetique en base sx,c est a dire que plus tu va l ecraser et plus il va reaparaitre en nombre par 2!!! donc dit moi ca et je vais rechercher des drivers pour tes cartes,salut
ventutangclan

Mercredi 01 Septembre 2004 13:23

J'espère que c'est pas ton métier Richard75...
runman974> Télecharge l'utilitaire stinger.exe à l'adresse <A HREF="http://vil.nai.com/vil/stinger" TARGET=_blank CLASS=lien_noir>http://vil.nai.com/vil/stinger</A> et fais un scan complet de ton disque. Ensuite, tu clique sur démarrer puis executer et tu tape regedit. Va dans HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run et HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices et supprime toutes les clés sauf celles qui lance ton antivirus (FSecure dans ton cas).
Corsica nazione
fanta

Mercredi 01 Septembre 2004 14:25

Bon, je suis impressionné par ventutangclan. Richard75 si c'est ton job <IMG SRC=smilies/rire.gif> prépare-toi à te faire virer :o)
Ensuite tu peux avoir des infos claires sur <A HREF="http://fr.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=60152&VName=BKDR_AGENT.AY&VSect=O" TARGET=_blank CLASS=lien_noir>http://fr.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=60152&VName=BKDR_AGENT.AY&VSect=O</A>
Traduction possible sur Google avec l'outil linguistique.
Maintenant, je te conseille de patienter avant de suivre, les instructions de ventutangclan qui me semblent claires et très avisées.

Juste une question pour Ventutangclan, il va supprimer l'intégralité des programmes qui sont en démarrage automatique avec Windows donc il va supprimer tous ses programmes résidants. Je pencherai plutôt pour une suppression des fichiers incriminés par l'antivirus d'abord et seulement après une suppression totale ( sauf l'anti-virus ) si le trojan reste.

Qu'en penses-tu Ventutangclan ?

Bon courage runman974. Et en dernier recours,
<IMG SRC=smilies/rire.gif> il reste le bon vieux Format c: mais il faut demander à Richard75 pour ça <IMG SRC=smilies/rire.gif>
tozzato

Mercredi 01 Septembre 2004 14:40

je suis d'accord avec fanta : supprime d'abord les clé dont le nom sont bizarre, ou n'ont a voir avec des truc du genre : nwiz (carte nvidia), ati..., logitech... des marques de périphérique.

malheurement, ce n'est pas le seul endroit ou ces saloperies peuvent démarrer. J'ai eu un cas avec un trojan qui démarrer par un service (pas bombe , ni coupé <IMG SRC=smilies/rire.gif> ).

je pense que ton antivirus n'arrive pas a les supprimer car ils sont en mémoire. En effet, comme le programme est en mémoire, il est impossible d'effacer le fichier concerné.

Exemple : ouvre word. tu pourras pas suprimer winword.exe tant qu'il est ouvert (exécuté).
Là, c'est la même chose avec ton fichier incriminé.

tu peux tenter un ctrl+alt+suppr pour voir la liste des programmes ouvert. Repère le nom du fichier donné par l'antivirus et s'il y est, ferme le.
Maintenant, tu devrais pouvoir le supprimer, à la main même.

Tu es sous qu'elle version de windows ??
magic

Mercredi 01 Septembre 2004 14:46

"tu peux tenter un ctrl+alt+suppr pour voir la liste des programmes ouvert. Repère le nom du fichier donné par l'antivirus et s'il y est, ferme le.
Maintenant, tu devrais pouvoir le supprimer, à la main même."

Il me semble effectivement que c'est la première manip. à faire.
Soyons désinvoltes, n'ayons l'air de rien.
runman974

Mercredi 01 Septembre 2004 14:48

Trendmicro dit :
Systems infected with this malware can be cleaned by simply scanning for and deleting files detected as BKDR_AGENT.AY.

Dans mon cas, j'ai beau supprimer les fichiers infectés, ca revient le lendemain.

J'ai lancé stinger, il a rien trouvé d'anormal (mais j'avais passé fsecure en debut d'apres midi, je vais reessayer demain).

Apres, pour la manip regedit, j'ai un peu peur de faire une connerie et rendre mon ordi inutilisable, c'est au dessus de mon niveau en info.

Quand au format c:, je prefererais eviter si possible...

<IMG SRC=smilies/gne.gif>
ventutangclan

Mercredi 01 Septembre 2004 16:11

Tu n'a rien à craindre, aucun des programmes qui se lance au démarrage dans les endroits que je t'es donné n'empêcheront ton pc de démarrer.
En effet fanta, il faut supprimer les clés bizares mais pour quelqu'un qui ne connait pas trop la base de registre il est impossible de savoir ce qu'est une clé "bizare", c'est pourquoi j'ai conseillé de toutes les supprimer sauf celles ayant un rapport avec l'antivirus. Même les clés ayant un rapport avec la carte vidéo ou autre périphérique ne sont que des agents et ne sont pas nécessaires.

Runman974> Télecharge ad-aware 6, installe-le et met le à jour. Ensuite fais un scan complet de ton disque.
Corsica nazione
draculito

Mercredi 01 Septembre 2004 16:26

"Dans mon cas, j'ai beau supprimer les fichiers infectés, ca revient le lendemain"

Fais un petit coup de Windows Update également. Tu le rechopes peut-être à chaque fois.
A moins que le virus (d'après ce que j'ai lu, c'est un trojan) ne soit pas complétement effacé.
tozzato

Mercredi 01 Septembre 2004 16:39

"c'est pourquoi j'ai conseillé de toutes les supprimer sauf celles ayant un rapport avec l'antivirus. "

comme tu as peur de te tromper, n'hésite pas a appliquer ce conseil. au pire, tu auras simplement un programme qui ne se lancera pas au démarrage : il te suffira de le réinstaller <IMG SRC=smilies/clindoeil.gif>

Windows marchera quand meme.

Il y a plusieurs endroit : la base de registre comme indiqué, couvre bien 90% des cas. tente effectivement de tout enlever

quelque part dans windows, ce truc s'est programmé pour s'exécuter tout seul, comme un grand à chaque démarrage de windows. L'astuce est de trouver où et de le supprimer.

NB : je viens de penser à un utilitaire fort pratique :
<A HREF="http://www.mlin.net/files/StartupCPL_EXE.zip" TARGET=_blank CLASS=lien_noir>http://www.mlin.net/files/StartupCPL_EXE.zip</A>

fait un copier coller ou recopie cette adresse. charge le programme et décompresse le (format ZIP). Il permet de savoir tous les programmes exécuté au démmarage de windows., dans tous les endroits possibles (ou presque). dont la base, le menu démarrer...

Chose intéressante, tu peux les annuler SANS les supprimer en décochant ce que tu veux. Du coup :
décoche tout sans supprimer et tu verras. S'il ne revient pas, faut effacer une donnée en particulier.
S'il revient, je pense au service (programme lancé sans intervention humaine).

a+
Francis

Mercredi 01 Septembre 2004 19:15

Si ce n'est déjà fait, installe aussi un firewall gratuit (Zone Alarm ou Sygate), tu auras une protection supplémentaire, car Ad-aware, c'est très bien pour repérer les spywares installés, mais ça n'empêche pas l'infection.
Hardbat France, pour le développement du hardbat en France http://www.hardbat-france.fr
kobe

Jeudi 02 Septembre 2004 00:07

FORMAT C :

<IMG SRC=smilies/mdr.gif>
runman974

Jeudi 02 Septembre 2004 12:46

J'ai appliqué la méthode "ventutangclan", peut-etre avec un peu trop d'enthousiasme, car fsecure ne marchait plus, j'ai du le reinstaller, maintenant c'est bon. Enfin bref, j'espere que cette fois le virus ne reviendra plus, je vous tiens au courant si ca revient.

Sinon, fanta et magic m'avaient suggéré de faire controle+alt+suppr, effacer tous les process en memoire puis effacer les fichiers infectés. J'ai essayé, mais je ne suis pas arrivé a effacer tous les process (certains oui, d'autres non), et j'ai l'impression que les process du virus n'étaient pas effacable comme ca, puisque le virus est revenu...

En tout cas, d'hors et deja merci a tous ceux qui m'ont aidé, (et ce n'est peut-etre pas fini...)

runman
runman974

Jeudi 02 Septembre 2004 12:53

Je crais que le virus ne revienne, car le répertoire contenant les 2 fichiers infectés a réapparu après que je l'ai effacé (C:\Program Files\Fichiers communs\bfpbhfrn).

Pour l'instant, fsecure ne trouve pas que les fichiers contenus dans le répertoire sont infectés.
Richard75

Lundi 06 Septembre 2004 18:28

vous osez me critiquer alors que c est moi qui ai en colaboration avec dell crée windows xp,alors si tu veux que ton ordi marche tu ferai mieux a m ecouter!
Diabolosyl

Lundi 06 Septembre 2004 23:19

Mince alors! Excuse nous Bill! Tu vas pas nous faire un procès au moins...
"Brule la gomme, pas ton âme" http://www.objectif-moto.com
0
0
16 messages

Vous êtes ici : Accueil > Forums > Machine à café