Trojan-Downloader.Win32.Agentvariant Fermé

Question

Bonsoir,

Comme beaucoup d'autres avant moi, j'ai été infecté par "Trojan-Downloader.Win32.Agentvariant"
En me basant sur de précédentes explications données, j'ai installé HijackThis version 2.0.2 et j'obtiens ce qui suit après avoir lancé le 
"Do a system scan and save a logfile" :

Merci d'avance pour votre aide! :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:46, on 11/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\qttask.exe
C:\Program Files\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Philips\Philips Lime Service\bin\LimeAlive.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Philips\Philips Lime Service\bin\Lime.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\PROGRA~1\NETWOR~1\COMMON~1
aPrdMgr.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wupdmgr.exe
D:\World of Warcraft\WoW.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PhilipsDM] "C:\Program Files\Philips\Philips Device Manager\Bin\DeviceManager.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [PhilipsLime] "C:\Program Files\Philips\Philips Lime Service\bin\LimeAlive.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Program Files\Octoshape Streaming Services\PropriÃ©taire\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1788DD9B-EC6A-491B-9759-F8B716C39FD5}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{286E1A27-DFEB-441C-A809-E0567FDF2BBA}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF777C1-317A-4FA2-AFCD-A1C9F7449D0C}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{917DAE2C-60DF-464B-BD08-D26BC2F04E38}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{B152D365-C031-4DA3-BC01-AC24CDE4DD60}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\..\{1788DD9B-EC6A-491B-9759-F8B716C39FD5}: NameServer = 85.255.114.101,85.255.112.74
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.74
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

Bonjour

Qu'as-tu comme anti-spywares et pare-feu ?


Télécharge FixWareout sur le bureau
---> https://www.bleepingcomputer.com/download/linux/ 

Double clic dessus.
Clic sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clic sur Finish. 
Le fix va commencer, suis les messages à l'écran. 
Il te sera demandé de redémarrer ton ordinateur, fais-le. 
Ton système mettra un peu plus de temps au démarrage, c'est normal.
Copie et colle ici le contenu du fichier report.txt qui s'affichera à l'écran aussi présent dans C:\fixwareout\report.txt

pierre22 · Answer

Re,

Merci de répondre si vite!

Alors j'ai VirusScan et ça doit être à peu près tout.  J'ai pu lire sur le forum qu'il était vivement déconseillé d'être en mode Administrateur, comment puis-je modifier ce status?

Voici le résultat de FixWareout :

Encore merci d'avance!



Username "Propri‚taire" - 11/09/2007 19:17:39 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdjpr.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.114.101 85.255.112.74" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{1788DD9B-EC6A-491B-9759-F8B716C39FD5} 
"nameserver"="85.255.114.101,85.255.112.74" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{286E1A27-DFEB-441C-A809-E0567FDF2BBA} 
"nameserver"="85.255.114.101,85.255.112.74" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{8EF777C1-317A-4FA2-AFCD-A1C9F7449D0C} 
"nameserver"="85.255.114.101,85.255.112.74" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{917DAE2C-60DF-464B-BD08-D26BC2F04E38} 
"nameserver"="85.255.114.101,85.255.112.74" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{B152D365-C031-4DA3-BC01-AC24CDE4DD60} 
"nameserver"="85.255.114.101,85.255.112.74" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{1788DD9B-EC6A-491B-9759-F8B716C39FD5}
"DhcpNameServer"="85.255.114.101,85.255.112.74" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{286E1A27-DFEB-441C-A809-E0567FDF2BBA}
"DhcpNameServer"="85.255.114.101,85.255.112.74" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{917DAE2C-60DF-464B-BD08-D26BC2F04E38}
"DhcpNameServer"="85.255.114.101,85.255.112.74" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{B152D365-C031-4DA3-BC01-AC24CDE4DD60}
"DhcpNameServer"="85.255.114.101,85.255.112.74" <Value cleared.

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "system"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\Temp\kdjpr.ren 71203 13/06/2007 


C:\Program Files\XXXPlugin < Found 
Additional tools are recommended.  

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe"
"SoundMan"="SOUNDMAN.EXE"
"Control Center"="C:\Program Files\ASUS\WLAN Card Utilities\Center.exe"
"DiskeeperSystray"="\"C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe\""
"ShStatEXE"="\"C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe\" /StartedFromRunKey"
"Network Associates Error Reporting Service"="\"C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe\""
"QuickTime Task"="\"C:\WINDOWS\system32\qttask.exe\" -atboottime"
"PhilipsDM"="\"C:\Program Files\Philips\Philips Device Manager\Bin\DeviceManager.exe\""
"Adobe Photo Downloader"="\"C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe\""
"Adobe Reader Speed Launcher"="\"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe"
"PhilipsLime"="\"C:\Program Files\Philips\Philips Lime Service\bin\LimeAlive.exe\""
"Octoshape Streaming Services"="\"C:\Program Files\Octoshape Streaming Services\PropriÃ©taire\OctoshapeClient.exe\" -inv:bootrun"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Utilisateur anonyme · Answer

Tu peux jeter Fixwareout.

Pour le mode administrateur, regarde ici, mais pour le moment ne fait rien, attends que ton PC soit propre.
---> https://kerio.probb.fr/t231-compte-administrateur-danger-xp-et-vista


¤ Clic sur démarrer, poste de travail, C:, program files, cherche et supprime :

- XXXPlugin 

**Si un fichier/dossier persiste lors de la suppression fait ceci:
- Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu.. 
Puis va supprimer les fichiers/dossiers, vide ta corbeille et redémarre ton PC normalement.



¤ Télécharge et installe AVG anti-spyware : mets le à jour
Tu fais un scan complet de ton système, dès qu'il a fini.
Si il te trouve des espions,supprime les. Enregistre le rapport et colle le ici stp 

Téléchargeable et tutoriel sur cette page :
--> http://redir.fr/gsel

pierre22 · Answer

Re,

Ca a pris un peu de temps ;)

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	20:18:50 11/09/2007

 + Résultat de l'analyse:	



:mozilla.16:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\96ch484y.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.19:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\96ch484y.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.14:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\96ch484y.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.17:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\96ch484y.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.12:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\96ch484y.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.13:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\96ch484y.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.18:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\96ch484y.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.


Fin du rapport


Reste-t-il quelque chose à faire comme par exemple installer l'un ou l'autre programme de protection?

Merci!

Utilisateur anonyme · Answer

Très bien, tu peux garder AVG antispywares, il est gratuit utilise-le de temps en temps.

Installe un pare-feu celui de Windows ne sert à rien
Désactive le pare-feu de Windows(SP2) il ne sert à rien puis installe Kerio pour plus de sécurité 

Téléchargeable et tutoriel sur cette page :
--> http://redir.fr/gbom

Plus d'info :
-> https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall


Puis :

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip 

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1. 
Un rapport va s'ouvrir, copie et colle le contenu ici stp

pierre22 · Answer

Voici le rapport de Clean.  Merci pour les autres conseils.



 11/09/2007 a 20:47:40,40 
 
*** Recherche des fichiers dans C: 
C:\StubInstaller.exe FOUND 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport ! 


Apparement tout est bon.


Une bonne soirée!

Utilisateur anonyme · Answer

Nan, tout est pas bon 

- Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu.. 
Entre dans le dossier Clean
Double clic sur clean ou clean.cmd et choisis l'option 2
Dès qu'il a terminé redémarre normalement.


Désinstalle :

- Java jre1.5.0_10 (obsoléte)
et télécharge la dernière version ici
---> https://www.java.com/fr/download/manual.jsp


Je te conseille de faire un scan anti-virus en ligne avec Bitdefender, tout est expliqué ici
--> https://kerio.probb.fr/t673-bitdefender-antivirus-en-ligne

Trojan-Downloader.Win32.Agentvariant

7 réponses

Discussions similaires