Trojan.agent
Résolu
Fréd du 52
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
bonsoir,
En effectuant un scan avec Malwerbyte, celui-ci m'a trouvé un trojan.agent que j'ai donc supprimé. Hier mon antivir avait trouvé un truc du genre "exploit:java/CVE", supprimés également.
A priori, ça a l'air de fonctionner, plus de déconnexion réseau intempestive comme j'avais.
J'ai passé un coup de CCLeaner.
Est-ce que cela suffit à éradiquer ou bien faut-il finaliser la chose ?
Fréd
bonsoir,
En effectuant un scan avec Malwerbyte, celui-ci m'a trouvé un trojan.agent que j'ai donc supprimé. Hier mon antivir avait trouvé un truc du genre "exploit:java/CVE", supprimés également.
A priori, ça a l'air de fonctionner, plus de déconnexion réseau intempestive comme j'avais.
J'ai passé un coup de CCLeaner.
Est-ce que cela suffit à éradiquer ou bien faut-il finaliser la chose ?
Fréd
21 réponses
salut y'a du boulot
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
re,
Aïe, gros problème !
J'ai du essayé les 3 possibilités de pré-scan et à chaque fois ça m'indique : G3n-H4ckm4n a cessé de fonctionner.
J'ai bien un début de rapport mais impossible à mettre dans cjoint en plus.
Fréd
Aïe, gros problème !
J'ai du essayé les 3 possibilités de pré-scan et à chaque fois ça m'indique : G3n-H4ckm4n a cessé de fonctionner.
J'ai bien un début de rapport mais impossible à mettre dans cjoint en plus.
Fréd
Bonjour G3n,
Bon j'ai essayé en mode sans échec, les deux versions, mais rien à faire ça bloque avec toujours le même message "cessé de fonctionné, Windows essaie de trouver etc..."
Pre_scan bloque toujours au même endroit à savoir :
C:\program files\windows sidebar\wlsrvc.dll
Ci-joint le rapport incomplet, enfin je pense :
http://cjoint.com/?BLwjz23Bzyk
A plus
Bon j'ai essayé en mode sans échec, les deux versions, mais rien à faire ça bloque avec toujours le même message "cessé de fonctionné, Windows essaie de trouver etc..."
Pre_scan bloque toujours au même endroit à savoir :
C:\program files\windows sidebar\wlsrvc.dll
Ci-joint le rapport incomplet, enfin je pense :
http://cjoint.com/?BLwjz23Bzyk
A plus
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\program files\windows sidebar\wlsrvc.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\program files\windows sidebar\wlsrvc.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Re,
Voici le lien de Virus Total :
https://www.virustotal.com/file/82ebb16ff5fc09455f4823cca0b0d427acce12310b31a45ac67fc296c006e223/analysis/1356169786/
La petite balance est neutre...
Voici le lien de Virus Total :
https://www.virustotal.com/file/82ebb16ff5fc09455f4823cca0b0d427acce12310b31a45ac67fc296c006e223/analysis/1356169786/
La petite balance est neutre...
Re,
Diag sous pre_scan c'est encore pire, l'outil cesse de fonctionner de suite, et en mode sans échec comment dire, j'ai pu y accéder ce matin mais là j'ai essayé cinq fois de suite pour tester Diag mais impossible, fausse manip surement.
Je vais tenter plus tard, une fois calmé...
Diag sous pre_scan c'est encore pire, l'outil cesse de fonctionner de suite, et en mode sans échec comment dire, j'ai pu y accéder ce matin mais là j'ai essayé cinq fois de suite pour tester Diag mais impossible, fausse manip surement.
Je vais tenter plus tard, une fois calmé...
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
Desactive tes protections : https://forum.pcastuces.com/default.asp
clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux
Avant d'utiliser ComboFix :
Utilise Defogger pour désactiver temporairement les logiciels d'emulation :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
qu'est-ce qu'il me fait combofix là ? il me vire des services qui sont sencés fonctionner en mode sans echec il a craqué ou quoi ?
SafeBoot-WudfPf
SafeBoot-WudfRd
SafeBoot-SRService
======================
bref...le diag avec pre_scan devrait passer maintenant
SafeBoot-WudfPf
SafeBoot-WudfRd
SafeBoot-SRService
======================
bref...le diag avec pre_scan devrait passer maintenant
Re,
Ouf c'est bon !
Bon ça ne marchai toujours pas mais j'ai eu le temps de voir une petite icône en bas à droite (ce matin aussi) qui disparaît d'ailleurs très vite, j'ai eu le temps de cliquer dessus et ce qui bloquait c'est la Prévention de l'Exécution des Données.
Et là en suivant la procédure de l'aide, Pre_Scan est passé. Désolé de t'avoir fait perdre du temps.
Bref voici le rapport Pre_Diag :
http://cjoint.com/?BLwoMbQ67Ap
Ouf c'est bon !
Bon ça ne marchai toujours pas mais j'ai eu le temps de voir une petite icône en bas à droite (ce matin aussi) qui disparaît d'ailleurs très vite, j'ai eu le temps de cliquer dessus et ce qui bloquait c'est la Prévention de l'Exécution des Données.
Et là en suivant la procédure de l'aide, Pre_Scan est passé. Désolé de t'avoir fait perdre du temps.
Bref voici le rapport Pre_Diag :
http://cjoint.com/?BLwoMbQ67Ap
vista etant sorti en 2005 je me demande bien ce que fout ce fichier de 1993 la-dedans !
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\UZXC1632.DLL
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\UZXC1632.DLL
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Bon, pour une fois j'ai pris la bonne caisse il n'y avait la queue,
voilà le lien :
https://www.virustotal.com/file/3183d3a2c90c7b58d06eae93e4226995998158ab12379f6a3d691c9196e65cf1/analysis/1356188645/
voilà le lien :
https://www.virustotal.com/file/3183d3a2c90c7b58d06eae93e4226995998158ab12379f6a3d691c9196e65cf1/analysis/1356188645/
ca roule !
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
Bonsoir,
Voilà le rapport, il m'a trouvé un truc en plus de l'agent Trojan d'hier
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.22.03
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
corine :: PC-DE-LA-MAISON [administrateur]
22/12/2012 16:17:49
mbam-log-2012-12-22 (16-17-49).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 345910
Temps écoulé: 1 heure(s), 20 minute(s), 34 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Users\corine\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin)
Voilà le rapport, il m'a trouvé un truc en plus de l'agent Trojan d'hier
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.22.03
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
corine :: PC-DE-LA-MAISON [administrateur]
22/12/2012 16:17:49
mbam-log-2012-12-22 (16-17-49).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 345910
Temps écoulé: 1 heure(s), 20 minute(s), 34 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Users\corine\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin)
ça me disait quelque chose winlogon, mais je pensais plus à pre_scan :)
Sinon a priori ça à l'air pas mal, déjà Malwarebyte n'a plus détecté Trojan.agent donc c'est qu'il doit être vaincu ?
après j'ai trouvé long lors des redémarrages suite aux différents scan mais j'ai quand même l'impression que pour l'instant ça tourne bien.
Sinon a priori ça à l'air pas mal, déjà Malwarebyte n'a plus détecté Trojan.agent donc c'est qu'il doit être vaincu ?
après j'ai trouvé long lors des redémarrages suite aux différents scan mais j'ai quand même l'impression que pour l'instant ça tourne bien.
