[Virus] dropper DR/Click.Agent.FB
Z3uS-Su3Z
Messages postés
96
Statut
Membre
-
Z3uS-Su3Z Messages postés 96 Statut Membre -
Z3uS-Su3Z Messages postés 96 Statut Membre -
Salut à tous,
Je ne me qualifierai pas d'expert en sécurité mais j'ai un bac +3 en info. (C'est pas pour me vanter, juste pour préciser que je ne suis pas un noobs).
Donc voilà, AntiVirXP vient à l'instant de me trouver un virus (en mode détection en temps réel, pas après un scan...) :
dropper DR/Click.Agent.FB dans le fichier : ANTRENAMER2_INSTALL.EXE
Ce qui est bizarre :
-Sur un fichier qui est depuis plus d'une semaine sur mon PC
-Alors que AntiVirXP est en permanence lancé
-Un virus dont je n'ai trouvé aucun echo sur Internet
-Et dont j'ai aucune idée quand à sa provenance (source de contamination : je ne surfais pas et ne lisais pas mes E-Mails, et j'avais comme toujours un firewall de lancé)
Donc si quelqu'un à quellques infos :
-Type de Virus
-Source de contamination
Ben je suis preneur....
Merci d'avance
Je ne me qualifierai pas d'expert en sécurité mais j'ai un bac +3 en info. (C'est pas pour me vanter, juste pour préciser que je ne suis pas un noobs).
Donc voilà, AntiVirXP vient à l'instant de me trouver un virus (en mode détection en temps réel, pas après un scan...) :
dropper DR/Click.Agent.FB dans le fichier : ANTRENAMER2_INSTALL.EXE
Ce qui est bizarre :
-Sur un fichier qui est depuis plus d'une semaine sur mon PC
-Alors que AntiVirXP est en permanence lancé
-Un virus dont je n'ai trouvé aucun echo sur Internet
-Et dont j'ai aucune idée quand à sa provenance (source de contamination : je ne surfais pas et ne lisais pas mes E-Mails, et j'avais comme toujours un firewall de lancé)
Donc si quelqu'un à quellques infos :
-Type de Virus
-Source de contamination
Ben je suis preneur....
Merci d'avance
A voir également:
- [Virus] dropper DR/Click.Agent.FB
- Dr fone - Télécharger - Récupération de données
- Virus mcafee - Accueil - Piratage
- Dr web cureit - Télécharger - Antivirus & Antimalwares
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
4 réponses
jai faite une recherche sur google en éliminent des mot et sur nod32 il parle de trojan downloader exemple de trojan semblable au tien
Win32/TrojanDropper.Agent.OC,
ceci est un exemple que jai trouver bonne chance je continue a checker mais toi regarde dans dossier win32
jim a plus et bonne chance
Win32/TrojanDropper.Agent.OC,
ceci est un exemple que jai trouver bonne chance je continue a checker mais toi regarde dans dossier win32
jim a plus et bonne chance
salut,
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
a+
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
a+
Bon ben hier dans la foulée j'avais supprimer purement et simplement le fichier incriminé, plus de nouvelle, malgré un scan d'antivirus et de spyware.
Je sais pas ce qui c'est passé, mais je considere mon systeme comme sain.
Peut-etre un bug dans l'anti virus....
A tout hasard je colle le log de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 23:42:32, on 27/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Securite\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Utilitaires\Diskeeper8.0.459\DkService.exe
C:\PROGRAM FILES\SECURITE\AVPERSONAL\AVGUARD.EXE
C:\Documents and Settings\ZeuS_2\Bureau\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://r.wanadoo.fr/r/WGrecherche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Utilitaires\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\Internet\STARDO~1\SDIEInt.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Securite\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Programmation\Java\eclipse\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\MSN Plus\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Gravure\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ADS TVR Agent] C:\Program Files\Video\INSTANT TV PVR\Scheduled.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\Securite\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TV Remote Control.lnk = C:\Program Files\ADS Tech\Instant TV Remote\ADSRMT.exe
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Internet\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Programmation\Java\eclipse\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Programmation\Java\eclipse\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112752884423
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E27EE53-8AAE-43D9-9637-0EA51DFA0082}: NameServer = 212.27.39.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{5091E427-FAA8-4743-B392-02B41AFA0D1A}: NameServer = 212.27.39.134
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\SECURITE\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\Securite\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Utilitaires\Diskeeper8.0.459\DkService.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Program Files\Programmation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Je sais pas ce qui c'est passé, mais je considere mon systeme comme sain.
Peut-etre un bug dans l'anti virus....
A tout hasard je colle le log de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 23:42:32, on 27/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Securite\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Utilitaires\Diskeeper8.0.459\DkService.exe
C:\PROGRAM FILES\SECURITE\AVPERSONAL\AVGUARD.EXE
C:\Documents and Settings\ZeuS_2\Bureau\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://r.wanadoo.fr/r/WGrecherche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Utilitaires\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\Internet\STARDO~1\SDIEInt.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Securite\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Programmation\Java\eclipse\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\MSN Plus\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Gravure\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ADS TVR Agent] C:\Program Files\Video\INSTANT TV PVR\Scheduled.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\Securite\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TV Remote Control.lnk = C:\Program Files\ADS Tech\Instant TV Remote\ADSRMT.exe
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Internet\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Programmation\Java\eclipse\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Programmation\Java\eclipse\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112752884423
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E27EE53-8AAE-43D9-9637-0EA51DFA0082}: NameServer = 212.27.39.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{5091E427-FAA8-4743-B392-02B41AFA0D1A}: NameServer = 212.27.39.134
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\SECURITE\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\Securite\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Utilitaires\Diskeeper8.0.459\DkService.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Program Files\Programmation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
