Trojan win 32.Agent.ha
Résolu
christob
Messages postés
26
Statut
Membre
-
afideg Messages postés 10970 Statut Contributeur sécurité -
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour,
En scannant mon PC avec A2 en mode normal, il découvre:
Trojan win 32.Agent.ha
dans:
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1e2c808853.....
-C\Windows\Systeme32\Winlogon.exe
Je retire tout. Je rescanne en mode sans echec, le trojan est toujours là dans: C\Windows\Systeme32\Winlogon.exe
e retire de nouveau, rescanne et de nouveau apparait dans C\Windows\Systeme32\Winlogon.exe
Comment m'en débarasser définitivement?
Merci pour votre aide.
A+
Christob
En scannant mon PC avec A2 en mode normal, il découvre:
Trojan win 32.Agent.ha
dans:
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1e2c808853.....
-C\Windows\Systeme32\Winlogon.exe
Je retire tout. Je rescanne en mode sans echec, le trojan est toujours là dans: C\Windows\Systeme32\Winlogon.exe
e retire de nouveau, rescanne et de nouveau apparait dans C\Windows\Systeme32\Winlogon.exe
Comment m'en débarasser définitivement?
Merci pour votre aide.
A+
Christob
A voir également:
- Trojan win 32.Agent.ha
- 32 bits - Guide
- Power iso 32 bit - Télécharger - Gravure
- Win rar - Télécharger - Compression & Décompression
- Télécharger windows 7 32 bits usb - Télécharger - Systèmes d'exploitation
- Clé de produit windows 7 professionnel 32 bits gratuit - Guide
18 réponses
salut
pour l instant t y touche pas
Sujet traité sur un autre forum, possibilité que ce soit un faux positif
a suivre
pour l instant t y touche pas
Sujet traité sur un autre forum, possibilité que ce soit un faux positif
a suivre
salut,
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
a+
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
a+
Merci pour vos réponses rapides.
Logfile of HijackThis v1.99.1
Scan saved at 21:42:41, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Startup Mechanic\StartupMonitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\ANTI VIRUS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANTIVI~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\ANTI VIRUS\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\ANTI VIRUS\SpoofStick\SpoofStick.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Startup Manager Scanner] C:\Program Files\Startup Mechanic\StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\ANTI VIRUS\Ad Adware\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A+
Christob
Logfile of HijackThis v1.99.1
Scan saved at 21:42:41, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Startup Mechanic\StartupMonitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\ANTI VIRUS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANTIVI~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\ANTI VIRUS\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\ANTI VIRUS\SpoofStick\SpoofStick.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Startup Manager Scanner] C:\Program Files\Startup Mechanic\StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\ANTI VIRUS\Ad Adware\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A+
Christob
Re,
je suis en accord avec regis, ton log est clean sous reserve de ce possible faux positif.
j'opterai bien pour.
A+
Jean
je suis en accord avec regis, ton log est clean sous reserve de ce possible faux positif.
j'opterai bien pour.
A+
Jean
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir,
Pardon d'intervenir dans ce post et de ne pas apporter de solution mais j'ai exactement le même Trojan (Trojan.Win32.Agent.ha) trouvé uniquement avec a²; ad-aware, spybot et Bitdefender ne l'ont pas trouvé, il se trouve dans le même répertoire cité au-dessus:
C:\WINDOWS\system32\winlogon.exe
mais aussi dans:
C:\System Volume Information\_restore{CE51C025-C30A-45F1-ACAC-9FAA03ACAE23}\RP138\A0015660.exe
En faisant "Effacer les malwares sélectionnés", ça les efface d'après a² mais en refaisant un scan, on les retouve. En tapant le nom sur Google, on tombe sur des réponses en allemand sur des forums sécurité mais ne comprenant pas la langue...
Merci de votre aide.
PS: Si c'est un "faux" à quoi sert-il?
Pardon d'intervenir dans ce post et de ne pas apporter de solution mais j'ai exactement le même Trojan (Trojan.Win32.Agent.ha) trouvé uniquement avec a²; ad-aware, spybot et Bitdefender ne l'ont pas trouvé, il se trouve dans le même répertoire cité au-dessus:
C:\WINDOWS\system32\winlogon.exe
mais aussi dans:
C:\System Volume Information\_restore{CE51C025-C30A-45F1-ACAC-9FAA03ACAE23}\RP138\A0015660.exe
En faisant "Effacer les malwares sélectionnés", ça les efface d'après a² mais en refaisant un scan, on les retouve. En tapant le nom sur Google, on tombe sur des réponses en allemand sur des forums sécurité mais ne comprenant pas la langue...
Merci de votre aide.
PS: Si c'est un "faux" à quoi sert-il?
Re re
Vous ne pensez pas que je devrais supprimer pas les 2 lignes 20 ?
Sinon où trouver un tool remover pour iradiquer le Trojan win 32.Agent.ha
par sécurité au cas où cela ne serait pas un faux positif ?
Sur quel autre forum le sujet est il traité ?
A+
Christob
Vous ne pensez pas que je devrais supprimer pas les 2 lignes 20 ?
Sinon où trouver un tool remover pour iradiquer le Trojan win 32.Agent.ha
par sécurité au cas où cela ne serait pas un faux positif ?
Sur quel autre forum le sujet est il traité ?
A+
Christob
Re,
Effectivement sur le forum de PC Astuces, plusieurs personnes ont eu ce "faux positif" qui a pour but apparemment de supprimer le fichier "winlogon" et il n'y a que a² qui le trouve!
Effectivement sur le forum de PC Astuces, plusieurs personnes ont eu ce "faux positif" qui a pour but apparemment de supprimer le fichier "winlogon" et il n'y a que a² qui le trouve!
OK
Certainement une fausse alerte.
Quelles peuvent être les conséquences d'avoir avec A2, effacé :
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1e2c808853.....
Et d'avoir essayer d'effacé aussi:
C\Windows\Systeme32\Winlogon.exe
Cette ligne (file missing) a t elle un rapport?
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
????
A+
Christob
Certainement une fausse alerte.
Quelles peuvent être les conséquences d'avoir avec A2, effacé :
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1e2c808853.....
Et d'avoir essayer d'effacé aussi:
C\Windows\Systeme32\Winlogon.exe
Cette ligne (file missing) a t elle un rapport?
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
????
A+
Christob
salut
non cette 020 est bonne
le file missing est un beug d hijack this
Si tu n as pas de soucis, tant mieux, n y prete pas attention
a+
non cette 020 est bonne
le file missing est un beug d hijack this
Si tu n as pas de soucis, tant mieux, n y prete pas attention
a+
bsr
jai supprimé C\Windows\Systeme32\Winlogon.exe avec a2!arffff
je risque quoi ???je doit faire quoi
jai supprimé C\Windows\Systeme32\Winlogon.exe avec a2!arffff
je risque quoi ???je doit faire quoi
Cela ressemble fort à ceci: http://www.commentcamarche.net/forum/affich-1982691-virus-trojan-downloader-win32-Ag...
Oh,pardon.
Oh,pardon.
