High-Tech Santé Médecine Droit-Finances

Auto-Entrepreneur

Comment faire ?

Rechercher : dans
Par :

Trojan win 32.Agent.ha

Dernière réponse le 20 déc 2005 à 21:47:58 christob, le 19 déc 2005 à 16:55:27 
 Signaler ce message aux modérateurs

Bonjour,

En scannant mon PC avec A2 en mode normal, il découvre:

Trojan win 32.Agent.ha
dans:
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1­e2c808853.....
-C\Windows\Systeme32\Winlogon.exe

Je retire tout. Je rescanne en mode sans echec, le trojan est toujours là dans: C\Windows\Systeme32\Winlogon.exe

e retire de nouveau, rescanne et de nouveau apparait dans C\Windows\Systeme32\Winlogon.exe

Comment m'en débarasser définitivement?
Merci pour votre aide.

A+
Christob

Posez votre question Répondre

1

regis59, le 19 déc 2005 à 17:04:16

Salut

pour l instant t y touche pas
Sujet traité sur un autre forum, possibilité que ce soit un faux positif

a suivre Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

2

jean38, le 19 déc 2005 à 17:05:03

Salut,


telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis

Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

a+

   
Répondre à jean38

3

christob, le 19 déc 2005 à 17:21:43

Merci pour vos réponses rapides.

Logfile of HijackThis v1.99.1
Scan saved at 21:42:41, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Startup Mechanic\StartupMonitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\ANTI VIRUS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANTIVI~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\ANTI VIRUS\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\ANTI VIRUS\SpoofStick\SpoofStick.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Startup Manager Scanner] C:\Program Files\Startup Mechanic\StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\ANTI VIRUS\Ad Adware\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

A+

Christob

   
Répondre à christob

4

jean38, le 19 déc 2005 à 17:25:46

Re,

je suis en accord avec regis, ton log est clean sous reserve de ce possible faux positif.

j'opterai bien pour.

A+

Jean

   
Répondre à jean38

5

njn, le 19 déc 2005 à 17:55:07

Bonsoir,
Pardon d'intervenir dans ce post et de ne pas apporter de solution mais j'ai exactement le même Trojan (Trojan.Win32.Agent.ha) trouvé uniquement avec a²; ad-aware, spybot et Bitdefender ne l'ont pas trouvé, il se trouve dans le même répertoire cité au-dessus:
C:\WINDOWS\system32\winlogon.exe
mais aussi dans:
C:\System Volume Information\_restore{CE51C025-C30A-45F1-ACAC-9FAA03ACAE23}\R­P138\A0015660.exe
En faisant "Effacer les malwares sélectionnés", ça les efface d'après a² mais en refaisant un scan, on les retouve. En tapant le nom sur Google, on tombe sur des réponses en allemand sur des forums sécurité mais ne comprenant pas la langue...
Merci de votre aide.
PS: Si c'est un "faux" à quoi sert-il?

   
Répondre à njn

6

christob, le 19 déc 2005 à 17:58:18

Re re

Vous ne pensez pas que je devrais supprimer pas les 2 lignes 20 ?

Sinon où trouver un tool remover pour iradiquer le Trojan win 32.Agent.ha
par sécurité au cas où cela ne serait pas un faux positif ?

Sur quel autre forum le sujet est il traité ?

A+
Christob

   
Répondre à christob

7

regis59, le 19 déc 2005 à 18:49:35

Salut

tu veux verifier par toi meme?regardes sur pcastuces.com

laisse les 020

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

8

njn, le 19 déc 2005 à 19:41:25

Re,
Effectivement sur le forum de PC Astuces, plusieurs personnes ont eu ce "faux positif" qui a pour but apparemment de supprimer le fichier "winlogon" et il n'y a que a² qui le trouve!

   
Répondre à njn

9

christob, le 19 déc 2005 à 19:50:54

OK

Certainement une fausse alerte.

Quelles peuvent être les conséquences d'avoir avec A2, effacé :
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1­e2c808853.....


Et d'avoir essayer d'effacé aussi:
C\Windows\Systeme32\Winlogon.exe

Cette ligne (file missing) a t elle un rapport?
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

????

A+
Christob

   
Répondre à christob

10

regis59, le 20 déc 2005 à 00:41:48

Salut

non cette 020 est bonne
le file missing est un beug d hijack this

Si tu n as pas de soucis, tant mieux, n y prete pas attention

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

11

julie85, le 20 déc 2005 à 01:18:42

Bsr

jai supprimé C\Windows\Systeme32\Winlogon.exe avec a2!arffff

je risque quoi ???je doit faire quoi

   
Répondre à julie85

12

regis59, le 20 déc 2005 à 01:20:29

Salut

rien,ne t inquietes pas

si tu rencontres des soucis, rend toi sur un forum

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

13

julie85, le 20 déc 2005 à 01:26:50

Merci

   
Répondre à julie85

14

regis59, le 20 déc 2005 à 01:29:07

De rien julie

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

15

christob, le 20 déc 2005 à 09:14:21

Bonjour,

Merci à vous tous.

Bonne journée.

A+

Christob

   
Répondre à christob

16

julie85, le 20 déc 2005 à 12:06:48

Bjr aver vous eu des news sur ce trojan svp ???

   
Répondre à julie85

17

regis59, le 20 déc 2005 à 12:26:29

Salut

ca semble etre un faux positif

http://forum.pcastuces.com/sujet.asp?SUJET_ID=230799&page=1�

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

   
Répondre à regis59

18

 afideg, le 20 déc 2005 à 21:47:58
   
Répondre à afideg
Posez votre question Répondre
Ils ont besoin de votre aide