rss
Trojan win 32.Agent.ha
par christob
 Fil de Discussions
Statut : Résolu
lundi 19 décembre 2005 à 16:55:27
Bonjour,

En scannant mon PC avec A2 en mode normal, il découvre:

Trojan win 32.Agent.ha
dans:
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1e2c808853.....
-C\Windows\Systeme32\Winlogon.exe

Je retire tout. Je rescanne en mode sans echec, le trojan est toujours là dans: C\Windows\Systeme32\Winlogon.exe

e retire de nouveau, rescanne et de nouveau apparait dans C\Windows\Systeme32\Winlogon.exe

Comment m'en débarasser définitivement?
Merci pour votre aide.

A+
Christob
Répondre à christob  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par regis59, le lundi 19 décembre 2005 à 17:04:16 Fil de Discussions
salut

pour l instant t y touche pas
Sujet traité sur un autre forum, possibilité que ce soit un faux positif

a suivre Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)
Répondre à regis59

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par jean38, le lundi 19 décembre 2005 à 17:05:03 Fil de Discussions
salut,


telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis

Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

a+
Répondre à jean38

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par christob, le lundi 19 décembre 2005 à 17:21:43 Fil de Discussions
Merci pour vos réponses rapides.

Logfile of HijackThis v1.99.1
Scan saved at 21:42:41, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Startup Mechanic\StartupMonitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\ANTI VIRUS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANTIVI~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\ANTI VIRUS\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\ANTI VIRUS\SpoofStick\SpoofStick.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Startup Manager Scanner] C:\Program Files\Startup Mechanic\StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\ANTI VIRUS\Ad Adware\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

A+

Christob
Répondre à christob

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par jean38, le lundi 19 décembre 2005 à 17:25:46 Fil de Discussions
Re,

je suis en accord avec regis, ton log est clean sous reserve de ce possible faux positif.

j'opterai bien pour.

A+

Jean
Répondre à jean38

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par njn, le lundi 19 décembre 2005 à 17:55:07 Fil de Discussions
Bonsoir,
Pardon d'intervenir dans ce post et de ne pas apporter de solution mais j'ai exactement le même Trojan (Trojan.Win32.Agent.ha) trouvé uniquement avec a²; ad-aware, spybot et Bitdefender ne l'ont pas trouvé, il se trouve dans le même répertoire cité au-dessus:
C:\WINDOWS\system32\winlogon.exe
mais aussi dans:
C:\System Volume Information\_restore{CE51C025-C30A-45F1-ACAC-9FAA03ACAE23}\RP138\A0015660.exe
En faisant "Effacer les malwares sélectionnés", ça les efface d'après a² mais en refaisant un scan, on les retouve. En tapant le nom sur Google, on tombe sur des réponses en allemand sur des forums sécurité mais ne comprenant pas la langue...
Merci de votre aide.
PS: Si c'est un "faux" à quoi sert-il?
Répondre à njn

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par christob, le lundi 19 décembre 2005 à 17:58:18 Fil de Discussions
Re re

Vous ne pensez pas que je devrais supprimer pas les 2 lignes 20 ?

Sinon où trouver un tool remover pour iradiquer le Trojan win 32.Agent.ha
par sécurité au cas où cela ne serait pas un faux positif ?

Sur quel autre forum le sujet est il traité ?

A+
Christob
Répondre à christob

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par regis59, le lundi 19 décembre 2005 à 18:49:35 Fil de Discussions
salut

tu veux verifier par toi meme?regardes sur pcastuces.com

laisse les 020

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)
Répondre à regis59

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par njn, le lundi 19 décembre 2005 à 19:41:25 Fil de Discussions
Re,
Effectivement sur le forum de PC Astuces, plusieurs personnes ont eu ce "faux positif" qui a pour but apparemment de supprimer le fichier "winlogon" et il n'y a que a² qui le trouve!
Répondre à njn

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par christob, le lundi 19 décembre 2005 à 19:50:54 Fil de Discussions
OK

Certainement une fausse alerte.

Quelles peuvent être les conséquences d'avoir avec A2, effacé :
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1e2c808853.....


Et d'avoir essayer d'effacé aussi:
C\Windows\Systeme32\Winlogon.exe

Cette ligne (file missing) a t elle un rapport?
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

????

A+
Christob
Répondre à christob

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par regis59, le mardi 20 décembre 2005 à 00:41:48 Fil de Discussions
salut

non cette 020 est bonne
le file missing est un beug d hijack this

Si tu n as pas de soucis, tant mieux, n y prete pas attention

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)
Répondre à regis59

11


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par julie85, le mardi 20 décembre 2005 à 01:18:42 Fil de Discussions
bsr

jai supprimé C\Windows\Systeme32\Winlogon.exe avec a2!arffff

je risque quoi ???je doit faire quoi
Répondre à julie85

12


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par regis59, le mardi 20 décembre 2005 à 01:20:29 Fil de Discussions
salut

rien,ne t inquietes pas

si tu rencontres des soucis, rend toi sur un forum

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)
Répondre à regis59

13


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par julie85, le mardi 20 décembre 2005 à 01:26:50 Fil de Discussions
merci
Répondre à julie85

14


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par regis59, le mardi 20 décembre 2005 à 01:29:07 Fil de Discussions
de rien julie

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)
Répondre à regis59

15


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par christob, le mardi 20 décembre 2005 à 09:14:21 Fil de Discussions
Bonjour,

Merci à vous tous.

Bonne journée.

A+

Christob
Répondre à christob

16


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par julie85, le mardi 20 décembre 2005 à 12:06:48 Fil de Discussions
bjr aver vous eu des news sur ce trojan svp ???
Répondre à julie85

17


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par regis59, le mardi 20 décembre 2005 à 12:26:29 Fil de Discussions
salut

ca semble etre un faux positif

http://forum.pcastuces.com/sujet.asp?SUJET_ID=230799&page=1�

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)
Répondre à regis59

18


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par afideg, le mardi 20 décembre 2005 à 21:47:58 Fil de Discussions 
Répondre à afideg
Discussions pertinentes trouvées dans le forum
08/12 22h27infection par trojan win 32 agent variableVirus/Sécurité14/12 19h0219
21/05 14h16trojan win 32 Agent CPVirus/Sécurité08/03 13h1519
25/11 08h45trojan win 32 agent hoVirus/Sécurité13/12 19h4815
28/05 21h50TROJAN win 32 agent variantVirus/Sécurité28/05 21h561
Plus de discussions sur « Trojan win 32.Agent.ha » Discussion en cours Discussion fermée Problème résolu
Logiciels pertinents trouvés dans les téléchargements
Télécharger Trojan Remover 6.5.9Trojan Remover - Spécialement conçu pour éliminer les trojans (aussi appelés troyens ou chevaux de Troie ) ainsi que les intrus de type ...Catégorie: Anti-Spyware
Licence: Demo
Télécharger Virtual Magnifying Glass 3.2.1Virtual Magnifying Glass - Virtual Magnifying Glass est une loupe gratuite et libre pour les système Windows et Linux. Très simple d'emploi, elle est...Catégorie: Loupe
Licence: Freeware/gratuit
Télécharger 7Zip 4.577Zip - 7-Zip est un utilitaire de compression/décompression libre pour systèmes Windows 32-bit. Il est très simple à utiliser:...Catégorie: Compression/Décompression
Licence: Open Source
Télécharger ICEOWS 4.20bICEOWS - ICEOWS a été créé pour vous rendre la vie plus facile dans la manipulation de fichiers d'archives en particulier avec des...Catégorie: Compression/Décompression
Licence: Freeware/gratuit
Plus de logiciels gratuits sur « Trojan win 32.Agent.ha »
Répondre
Titre du message :
Votre pseudo:
Votre email :
Message: 
  •  
  •  
Options: Recevoir les réponses par mail.
 

Aide