troyan TR/RKit.Agent.Q

topaziane

New Member
cette fois ci c'est pour moi :laugh:
cette gentille bestiole m'enquiquine depuis quelques semaines (sans faire de grand mal - à priori - vu que mon antivirus veille) mais j'aimerais tout de même m'en débarrasser, l'alerte (antivirus) se déclenche dès que je laisse mon PC se mettre en veille. j'ai déjà effectué un scan avec antivir et adaware.... je n'arrive pas à faire fonctionner secuser en ligne (il me manque activeX ... :blink: je l'avais pourtant avant mais je n'arrive plus à l'installer, que ce soit avec IE ou avec mozilla...).
que faire ? merci de votre aide :wink2:
 

patrice084

Best Member
Z'avez pas fini toi et ta copine d'aller trainer dans les forums allemants :biggrin:
Apparemment le coupable serait lui : C:\WINDOWS\SYSTEM32\DRIVERS\WINIK.SYS

Il faut le supprimer, mais en mode sans échec.

Pour XP :

1) clic droit sur poste de travail
- propriété
- restauration systeme
- cocher desactivé

2) demarrer
- panneau de configuration
- outil
- option des dossiers
- affichage, cocher afficher dossier cachés et décocher masquer extension des fichiers dont le type est connu et masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
F8 au lancement de Windows et choisir sans echec

4) Relancer le scan avec l'anti virus

5) Vider la poubelle
 

topaziane

New Member
merciii je vais faire ça dans la soirée :smile: par contre dois je recliquer sur certaines choses pour réactiver la restauration système ou n'est ce pas la peine (je ne suis pas très forte en mode sans échec, pour tout dire je ne connais rien.... :blink: :laugh:)
merci beaucoup car les sites en allemand ça me dépasse effectivement :biggrin:
 

patrice084

Best Member
topaziane link=topic=849.msg8509#msg8509 date=1124884199 a dit:
merciii je vais faire ça dans la soirée  :smile: par contre dois je recliquer sur certaines choses pour réactiver la restauration système ou n'est ce pas la peine (je ne suis pas très forte en mode sans échec, pour tout dire je ne connais rien....  :blink: :laugh:)
merci beaucoup car les sites en allemand ça me dépasse effectivement  :biggrin:

Si tu arrives à le supprimer, tu n'as pas besoin de la restauration système, mais bon, je ne travaille que rarement sur XP.
 

topaziane

New Member
ok merci :blush: bon si vous ne me revoyez pas c'est que patrice se sera planté :laugh:
ralala j'aime pas les troyans décidément.
 

topaziane

New Member
bon alors je viens d'essayer, le seul soucis c'est que en cliquant droit sur le poste de travail je n'ai pas d'options concernant la restauration système... :mellow:
que faire ?
 

patrice084

Best Member
topaziane link=topic=849.msg15365#msg15365 date=1125662959 a dit:
bon alors je viens d'essayer, le seul soucis c'est que en cliquant droit sur le poste de travail je n'ai pas d'options concernant la restauration système... :mellow:

Passe outre et supprime le coupable :biggrin:
 

topaziane

New Member
il ne veut pas se mettre en mode sans échec :cry: :cry: j'ai beau insister sur F8 dès le démarrage jusqu'au bout..... il ne veut pas.... :mad: y a t il une autre méthode ? :unsure:
 

patrice084

Best Member
topaziane link=topic=849.msg16024#msg16024 date=1125750612 a dit:
il ne veut pas se mettre en mode sans échec :cry: :cry: j'ai beau insister sur F8 dès le démarrage jusqu'au bout..... il ne veut pas.... :mad: y a t il une autre méthode ? :unsure:

Tu démarres en restant appuyer ou en tapotant sur la touche F8 ? C'est la seconde solution qu'il faut faire.
 

topaziane

New Member
en tapotant :unsure: mais je commence à enfoncer la touche à quel moment ? j'ai commencé dès le premier affichage... (écriture windows XP démarrage sur fond noir)
 

patrice084

Best Member
topaziane link=topic=849.msg16042#msg16042 date=1125751444 a dit:
en tapotant :unsure: mais je commence à enfoncer la touche à quel moment ? j'ai commencé dès le premier affichage... (écriture windows XP démarrage sur fond noir)

Tu arrêtes l'ordi. Tu le redémarres, puis dès que du texte apparait à l'écran tu tapotes sur F8 sans t'arrêter (ne pas laisser appuyer). Tu devrais obtenir l'écran permettant de choisir le mode sans échec;
 

topaziane

New Member
de retour de 3h de scan.... bon à la fin du scan le troyan a été repéré et on m'a proposé la suppression, ensuite un message m'indiquait qu'il ne pouvait être supprimé qu'au redémarrage, puis un autre message qui dit
Accès refusé
The file could not be marked to be copied or to be deleted following a restart of Windows ! The Update service is not available, you need administrator rights to copy or to delete this file !
j'ai cliqué sur "ok" (seule option) et ensuite
The file will be deleted following a restart of Windows. would you like to confirm further the deletion of locked files ?
j'ai cliqué sur "Yes"...
j'ai éteint et redémarré, puis je l'ai laissé se mettre en veille... il est toujours là, j'ai eu de nouveau une alerte....
que faire ? :embarassed:
 

patrice084

Best Member
topaziane link=topic=849.msg16947#msg16947 date=1125926396 a dit:

Sorry ! Mon modem et mon alim ont laché samedi. Dimanche, j'ai changé l'alim mais j'ai du attendre que l'agence FT ouvre pour prendre une liveBox. je finis les configurations et je reviens :biggrin:
 

patrice084

Best Member
topaziane link=topic=849.msg16101#msg16101 date=1125764741 a dit:
j'ai éteint et redémarré, puis je l'ai laissé se mettre en veille... il est toujours là, j'ai eu de nouveau une alerte....
que faire ? :embarassed:

Je pense qu'il faut aller voir dans la base de registre pour l'enlever au démarrage. Si tu es d'accord on se fait cela sur le chat (avant 22h30 :biggrin: )

Sinon, je te donne la procédure :
1 - Démarrer Exécuter REGEDIT
2 - Cliquer sur le + de Hkey_Current_User
3 - Cliquer sur le + de software, puis sur celui de Microsoft, sur celui de windows, et sur celui de Current_version
4 - Cliquer sur run
5 - Regarder à droite les clés enregistrées et si tu n'y détectes pas ton intrus. Dans ce cas, supprimer la clé (mais faut être sure)
6 - Refaire la même chose pour les entrées dans Kkey_local_machine

Si tu supprimes l'entrée dans la BdR, tu dois pouvoir ensuite le supprimer.
 

topaziane

New Member
zut je viens à peine de voir ton post :unsure: ralala :spam1: on verra ça demain si je n'arrive pas à faire cela toute seule :smile:
merci :wink2: