Trojan.Win32.Agenb.abdf setup.exe qui revient à chaque boot
Résolu/Fermé
Zertjn
Messages postés
5
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
27 juillet 2013
-
27 juil. 2013 à 14:43
Zertjn Messages postés 5 Date d'inscription samedi 27 juillet 2013 Statut Membre Dernière intervention 27 juillet 2013 - 27 juil. 2013 à 15:42
Zertjn Messages postés 5 Date d'inscription samedi 27 juillet 2013 Statut Membre Dernière intervention 27 juillet 2013 - 27 juil. 2013 à 15:42
A voir également:
- Trojan.Win32.Agenb.abdf setup.exe qui revient à chaque boot
- Dual boot - Guide
- Boot camp - Télécharger - Systèmes d'exploitation
- Hiren's boot cd - Télécharger - Divers Utilitaires
- Clé boot windows - Guide
- Please select boot device ✓ - Forum BIOS
8 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
27 juil. 2013 à 14:44
27 juil. 2013 à 14:44
Salut,
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
27 juil. 2013 à 15:18
27 juil. 2013 à 15:18
Spybot est dépassé, désinstalle le.
Envoie G:\Users\Casper\AppData\Local\Temp\GoogleUpdateSetup\setup.exe
sur http://upload.malekal.com
pour que je puisse regarder.
Envoie G:\Users\Casper\AppData\Local\Temp\GoogleUpdateSetup\setup.exe
sur http://upload.malekal.com
pour que je puisse regarder.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
27 juil. 2013 à 15:28
27 juil. 2013 à 15:28
c'est un miner - https://www.malekal.com/bitcoin-monetisation-de-botnet/
SHA256: 1ed5f7e3da1f7926da9d3174bf269419f52c178233332f5a6ba499e06af9f4e7
Nom du fichier : SearchIndexer.exe
Ratio de détection : 14 / 46
Date d'analyse : 2013-07-24 18:07:01 UTC (il y a 2 jours, 19 heures)
AhnLab-V3 Trojan/Win32.BitMiner 20130724
AntiVir ? 20130724
Avast Win32:BitCoinMiner-CZ [Trj] 20130724
AVG Skodna.BitCoinMiner.DP 20130724
BitDefender Gen:Variant.Graftor.100445 20130724
Commtouch W32/Trojan.EKSP-8112 20130724
Comodo ? 20130724
DrWeb Tool.BtcMine.121 20130724
Emsisoft Gen:Variant.Graftor.100445 (B) 20130724
ESET-NOD32 probably a variant of Win32/BitCoinMiner.D 20130724
F-Secure Gen:Variant.Graftor.100445 20130724
GData Gen:Variant.Graftor.100445 20130724
Ikarus Trojan.SuspectCRC 20130724
MicroWorld-eScan Gen:Variant.Graftor.100445 20130724
TrendMicro-HouseCall TROJ_GEN.RFFFH01FU13 20130724
VIPRE Trojan.Win32.Generic!BT 20130724
~~
Tu as eu ces alertes après avoir téléchargé un fichier pourri ?
un peu bizarre ce fichier :
[2013/06/30 03:31:45 | 002,270,221 | ---- | M] () -- G:\Windows\GoogleSetup.exe
tu peux l'envoyer sur http://upload.malekal.com aussi pour voir ?
SHA256: 1ed5f7e3da1f7926da9d3174bf269419f52c178233332f5a6ba499e06af9f4e7
Nom du fichier : SearchIndexer.exe
Ratio de détection : 14 / 46
Date d'analyse : 2013-07-24 18:07:01 UTC (il y a 2 jours, 19 heures)
AhnLab-V3 Trojan/Win32.BitMiner 20130724
AntiVir ? 20130724
Avast Win32:BitCoinMiner-CZ [Trj] 20130724
AVG Skodna.BitCoinMiner.DP 20130724
BitDefender Gen:Variant.Graftor.100445 20130724
Commtouch W32/Trojan.EKSP-8112 20130724
Comodo ? 20130724
DrWeb Tool.BtcMine.121 20130724
Emsisoft Gen:Variant.Graftor.100445 (B) 20130724
ESET-NOD32 probably a variant of Win32/BitCoinMiner.D 20130724
F-Secure Gen:Variant.Graftor.100445 20130724
GData Gen:Variant.Graftor.100445 20130724
Ikarus Trojan.SuspectCRC 20130724
MicroWorld-eScan Gen:Variant.Graftor.100445 20130724
TrendMicro-HouseCall TROJ_GEN.RFFFH01FU13 20130724
VIPRE Trojan.Win32.Generic!BT 20130724
~~
Tu as eu ces alertes après avoir téléchargé un fichier pourri ?
un peu bizarre ce fichier :
[2013/06/30 03:31:45 | 002,270,221 | ---- | M] () -- G:\Windows\GoogleSetup.exe
tu peux l'envoyer sur http://upload.malekal.com aussi pour voir ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
27 juil. 2013 à 15:31
27 juil. 2013 à 15:31
tu as renvoyé un autre setup ?
https://www.virustotal.com/gui/file/ae6b60f391843fd88706aa255066be37986b0870e37908c29b42a7c6e0441ae4
Kaspersky Trojan.Win32.Agentb.abdf 20130724
ça correspond à tes détections.
Ca semble encore être un miner :)
https://www.virustotal.com/gui/file/ae6b60f391843fd88706aa255066be37986b0870e37908c29b42a7c6e0441ae4
Kaspersky Trojan.Win32.Agentb.abdf 20130724
ça correspond à tes détections.
Ca semble encore être un miner :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
27 juil. 2013 à 15:39
27 juil. 2013 à 15:39
nan c'est pas toi qui l'a mis.
C'est un malware, ça mine pour quelqu'un et il gagne de la thune en utilisant ton PC.
GoogleSetup, c'est le dropper, vire le :
Child process:
Path: C:\Documents and Settings\Mak\Local Settings\Temp\GoogleSetup\setup.exe
Command line:C:\DOCUME~1\Mak\LOCALS~1\Temp\GoogleSetup\setup.exe --algo scrypt --url stratum+tcp://stratum.give-me-ltc.com:3334 --userpass voltage.84:123456 --threads 4 -s 3
La détection est moisie, mais le fichier droppé est bien détecté.
https://www.virustotal.com/gui/file/51849781c6c990296f14dd072d2abd8cf37c47f45dc0daf4ce60a960a765b648
SHA256: 51849781c6c990296f14dd072d2abd8cf37c47f45dc0daf4ce60a960a765b648
Nom du fichier : GoogleSetup.exe
Ratio de détection : 1 / 46
Date d'analyse : 2013-07-27 13:33:40 UTC (il y a 0 minute)
AntiVir TR/Dropper.Gen 20130727
C'est un malware, ça mine pour quelqu'un et il gagne de la thune en utilisant ton PC.
GoogleSetup, c'est le dropper, vire le :
Child process:
Path: C:\Documents and Settings\Mak\Local Settings\Temp\GoogleSetup\setup.exe
Command line:C:\DOCUME~1\Mak\LOCALS~1\Temp\GoogleSetup\setup.exe --algo scrypt --url stratum+tcp://stratum.give-me-ltc.com:3334 --userpass voltage.84:123456 --threads 4 -s 3
La détection est moisie, mais le fichier droppé est bien détecté.
https://www.virustotal.com/gui/file/51849781c6c990296f14dd072d2abd8cf37c47f45dc0daf4ce60a960a765b648
SHA256: 51849781c6c990296f14dd072d2abd8cf37c47f45dc0daf4ce60a960a765b648
Nom du fichier : GoogleSetup.exe
Ratio de détection : 1 / 46
Date d'analyse : 2013-07-27 13:33:40 UTC (il y a 0 minute)
AntiVir TR/Dropper.Gen 20130727
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Zertjn
Messages postés
5
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
27 juillet 2013
27 juil. 2013 à 15:12
27 juil. 2013 à 15:12
Merci de ton aide
Le rapport AdwCleaner :
# AdwCleaner v2.306 - Logfile created 07/27/2013 at 14:48:20
# Updated 19/07/2013 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)
# User : Casper - CASPER-PC
# Boot Mode : Normal
# Running from : I:\adwcleaner.exe
# Option [Delete]
***** [Services] *****
***** [Files / Folders] *****
Deleted on reboot : G:\Users\Casper\AppData\Roaming\CheckPoint\ZoneAlarm LTD Toolbar
Folder Deleted : G:\Users\Casper\AppData\Roaming\Mozilla\Firefox\Profiles\fhefzttn.default\jetpack
***** [Registry] *****
***** [Internet Browsers] *****
-\\ Internet Explorer v9.0.8112.16496
[OK] Registry is clean.
-\\ Mozilla Firefox v22.0 (en-US)
File : G:\Users\Casper\AppData\Roaming\Mozilla\Firefox\Profiles\fhefzttn.default\prefs.js
[OK] File is clean.
*************************
AdwCleaner[S1].txt - [952 octets] - [27/07/2013 14:48:20]
########## EOF - G:\AdwCleaner[S1].txt - [1011 octets] ##########
Et les rapports OTL :
OTL.txt https://pjjoint.malekal.com/files.php?id=20130727_o5j11n12m7r11
Extras.txt https://pjjoint.malekal.com/files.php?id=20130727_h15o11y14u11k13
Du coup j'ai terminé le processus setup.exe avant les deux scans je sais pas si ca pause probleme.
Le rapport AdwCleaner :
# AdwCleaner v2.306 - Logfile created 07/27/2013 at 14:48:20
# Updated 19/07/2013 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)
# User : Casper - CASPER-PC
# Boot Mode : Normal
# Running from : I:\adwcleaner.exe
# Option [Delete]
***** [Services] *****
***** [Files / Folders] *****
Deleted on reboot : G:\Users\Casper\AppData\Roaming\CheckPoint\ZoneAlarm LTD Toolbar
Folder Deleted : G:\Users\Casper\AppData\Roaming\Mozilla\Firefox\Profiles\fhefzttn.default\jetpack
***** [Registry] *****
***** [Internet Browsers] *****
-\\ Internet Explorer v9.0.8112.16496
[OK] Registry is clean.
-\\ Mozilla Firefox v22.0 (en-US)
File : G:\Users\Casper\AppData\Roaming\Mozilla\Firefox\Profiles\fhefzttn.default\prefs.js
[OK] File is clean.
*************************
AdwCleaner[S1].txt - [952 octets] - [27/07/2013 14:48:20]
########## EOF - G:\AdwCleaner[S1].txt - [1011 octets] ##########
Et les rapports OTL :
OTL.txt https://pjjoint.malekal.com/files.php?id=20130727_o5j11n12m7r11
Extras.txt https://pjjoint.malekal.com/files.php?id=20130727_h15o11y14u11k13
Du coup j'ai terminé le processus setup.exe avant les deux scans je sais pas si ca pause probleme.
Zertjn
Messages postés
5
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
27 juillet 2013
27 juil. 2013 à 15:25
27 juil. 2013 à 15:25
Ok j'ai envoyé GoogleUpdateSetup\setup.exe et GoogleSetup\setup.exe, mais j'ai pas recu de lien à copier ici.
Zertjn
Messages postés
5
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
27 juillet 2013
Modifié par Zertjn le 27/07/2013 à 15:39
Modifié par Zertjn le 27/07/2013 à 15:39
Envoyé.
ok je voit, nan j'ai pas eu d'alerte en telechargant, juste un jour au demarrage par Zonealarm
mais jcrois me rappeler avoir telechargé un bitcoin miner un jour mais l'avoir jamais utilisé et supprimé pas longtemps apres, mais cetait bien avant que je voit les processus au demarrage
Edit : oui j'ai envoyé G:\Windows\GoogleSetup.exe du coup
J'ai pas été clair j'ai envoyé 4 fichiers en tout :
2 fois GoogleUpdateSetup\setup.exe,
1 fois GoogleSetup\setup.exe
et 1 fois G:\Windows\GoogleSetup.exe
ok je voit, nan j'ai pas eu d'alerte en telechargant, juste un jour au demarrage par Zonealarm
mais jcrois me rappeler avoir telechargé un bitcoin miner un jour mais l'avoir jamais utilisé et supprimé pas longtemps apres, mais cetait bien avant que je voit les processus au demarrage
Edit : oui j'ai envoyé G:\Windows\GoogleSetup.exe du coup
J'ai pas été clair j'ai envoyé 4 fichiers en tout :
2 fois GoogleUpdateSetup\setup.exe,
1 fois GoogleSetup\setup.exe
et 1 fois G:\Windows\GoogleSetup.exe
Zertjn
Messages postés
5
Date d'inscription
samedi 27 juillet 2013
Statut
Membre
Dernière intervention
27 juillet 2013
Modifié par Zertjn le 27/07/2013 à 15:47
Modifié par Zertjn le 27/07/2013 à 15:47
Ok super merci, je l'ai viré je redemarre voir ce que ca donne.
Ca à l'air tout bon :) les 2 setup.exe sont pas revenu et GoogleSetup.exe est bien parti aussi
Merci beaucoup en tout cas ca faisait un moment que ces process me faisait chier!
Ca à l'air tout bon :) les 2 setup.exe sont pas revenu et GoogleSetup.exe est bien parti aussi
Merci beaucoup en tout cas ca faisait un moment que ces process me faisait chier!