Sujet Précédent Sujet Suivant

Trojan win 32.Agent.ha

Résolu/Fermé
christob Messages postés 26 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 9 avril 2009 - 19 déc. 2005 à 16:55
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 20 déc. 2005 à 21:47
Bonjour,

En scannant mon PC avec A2 en mode normal, il découvre:

Trojan win 32.Agent.ha
dans:
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1e2c808853.....
-C\Windows\Systeme32\Winlogon.exe

Je retire tout. Je rescanne en mode sans echec, le trojan est toujours là dans: C\Windows\Systeme32\Winlogon.exe

e retire de nouveau, rescanne et de nouveau apparait dans C\Windows\Systeme32\Winlogon.exe

Comment m'en débarasser définitivement?
Merci pour votre aide.

A+
Christob
A voir également:

18 réponses

Réponse 1 / 18
Utilisateur anonyme
19 déc. 2005 à 17:04
salut

pour l instant t y touche pas
Sujet traité sur un autre forum, possibilité que ce soit un faux positif

a suivre
0
Réponse 2 / 18
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
19 déc. 2005 à 17:05
salut,


telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis

Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

a+
0
Réponse 3 / 18
christob Messages postés 26 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 9 avril 2009
19 déc. 2005 à 17:21
Merci pour vos réponses rapides.

Logfile of HijackThis v1.99.1
Scan saved at 21:42:41, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Startup Mechanic\StartupMonitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\ANTI VIRUS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANTIVI~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\ANTI VIRUS\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\ANTI VIRUS\SpoofStick\SpoofStick.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Startup Manager Scanner] C:\Program Files\Startup Mechanic\StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\ANTI VIRUS\Ad Adware\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\ANTI VIRUS\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

A+

Christob
0
Réponse 4 / 18
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
19 déc. 2005 à 17:25
Re,

je suis en accord avec regis, ton log est clean sous reserve de ce possible faux positif.

j'opterai bien pour.

A+

Jean
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
njn
19 déc. 2005 à 17:55
Bonsoir,
Pardon d'intervenir dans ce post et de ne pas apporter de solution mais j'ai exactement le même Trojan (Trojan.Win32.Agent.ha) trouvé uniquement avec a²; ad-aware, spybot et Bitdefender ne l'ont pas trouvé, il se trouve dans le même répertoire cité au-dessus:
C:\WINDOWS\system32\winlogon.exe
mais aussi dans:
C:\System Volume Information\_restore{CE51C025-C30A-45F1-ACAC-9FAA03ACAE23}\RP138\A0015660.exe
En faisant "Effacer les malwares sélectionnés", ça les efface d'après a² mais en refaisant un scan, on les retouve. En tapant le nom sur Google, on tombe sur des réponses en allemand sur des forums sécurité mais ne comprenant pas la langue...
Merci de votre aide.
PS: Si c'est un "faux" à quoi sert-il?
0
Réponse 6 / 18
christob Messages postés 26 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 9 avril 2009
19 déc. 2005 à 17:58
Re re

Vous ne pensez pas que je devrais supprimer pas les 2 lignes 20 ?

Sinon où trouver un tool remover pour iradiquer le Trojan win 32.Agent.ha
par sécurité au cas où cela ne serait pas un faux positif ?

Sur quel autre forum le sujet est il traité ?

A+
Christob
0
Réponse 7 / 18
Utilisateur anonyme
19 déc. 2005 à 18:49
salut

tu veux verifier par toi meme?regardes sur pcastuces.com

laisse les 020

a+
0
Réponse 8 / 18
njn Messages postés 3 Date d'inscription lundi 19 décembre 2005 Statut Membre Dernière intervention 7 novembre 2006
19 déc. 2005 à 19:41
Re,
Effectivement sur le forum de PC Astuces, plusieurs personnes ont eu ce "faux positif" qui a pour but apparemment de supprimer le fichier "winlogon" et il n'y a que a² qui le trouve!
0
Réponse 9 / 18
christob Messages postés 26 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 9 avril 2009
19 déc. 2005 à 19:50
OK

Certainement une fausse alerte.

Quelles peuvent être les conséquences d'avoir avec A2, effacé :
-C\Windows\ServicePackFiles\i386\Winlogon.exe
-C\Windows\SoftwareDistribution\Download\df63227c75f2f41fff1e2c808853.....


Et d'avoir essayer d'effacé aussi:
C\Windows\Systeme32\Winlogon.exe

Cette ligne (file missing) a t elle un rapport?
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

????

A+
Christob
0
Réponse 10 / 18
Utilisateur anonyme
20 déc. 2005 à 00:41
salut

non cette 020 est bonne
le file missing est un beug d hijack this

Si tu n as pas de soucis, tant mieux, n y prete pas attention

a+
0
Réponse 11 / 18
julie85 Messages postés 131 Date d'inscription jeudi 15 décembre 2005 Statut Membre Dernière intervention 8 juin 2006 15
20 déc. 2005 à 01:18
bsr

jai supprimé C\Windows\Systeme32\Winlogon.exe avec a2!arffff

je risque quoi ???je doit faire quoi
0
Réponse 12 / 18
Utilisateur anonyme
20 déc. 2005 à 01:20
salut

rien,ne t inquietes pas

si tu rencontres des soucis, rend toi sur un forum

a+
0
Réponse 13 / 18
julie85 Messages postés 131 Date d'inscription jeudi 15 décembre 2005 Statut Membre Dernière intervention 8 juin 2006 15
20 déc. 2005 à 01:26
merci
0
Réponse 14 / 18
Utilisateur anonyme
20 déc. 2005 à 01:29
de rien julie

a+
0
Réponse 15 / 18
christob Messages postés 26 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 9 avril 2009
20 déc. 2005 à 09:14
Bonjour,

Merci à vous tous.

Bonne journée.

A+

Christob
0
Réponse 16 / 18
julie85 Messages postés 131 Date d'inscription jeudi 15 décembre 2005 Statut Membre Dernière intervention 8 juin 2006 15
20 déc. 2005 à 12:06
bjr aver vous eu des news sur ce trojan svp ???
0
Réponse 17 / 18
Utilisateur anonyme
20 déc. 2005 à 12:26
salut

ca semble etre un faux positif

http://forum.pcastuces.com/sujet.asp?SUJET_ID=230799&page=1�

a+
0
Réponse 18 / 18
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 déc. 2005 à 21:47
Cela ressemble fort à ceci: http://www.commentcamarche.net/forum/affich-1982691-virus-trojan-downloader-win32-Ag...
Oh,pardon.
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Problème de décodeur TV Bouygues Telecom
Massi119 -
Turone37 -

188 réponses