Trojan-downloader.win32.agent variant

Résolu
psg95 -  
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour,
mon lanceur de jeu "world of warcraft" detecte la presence du cheval de troie "trojan-downloader.win32.agent variant" dans mon pc. je ne c'est pa comment le suprimer merci de maider svp. je suis sous windows vista .
Configuration: Windows Vista
Internet Explorer 7.0

44 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le lanceur de jeu détecte la présence d'un cheval de Troie nommé trojan-downloader.win32.agent variant sur un PC fonctionnant sous Windows Vista, et la suppression s'avère compliquée sans instruction claire.
Plusieurs intervenants recommandent des outils spécialisés comme Trojan Remover ou Malwarebytes pour désinfecter le système, avec scans et mises à jour, et des rapports HijackThis pour détecter les éléments indésirables.
Des conseils couvrent aussi la désactivation temporaire du contrôle des comptes utilisateurs lors de la désinfection, puis une réactivation nécessaire après les opérations, afin d'éviter des blocages lors de l'installation.
En complément, les rapports techniques montrent des éléments détectés par HijackThis et des analyses en ligne, avec traces dans les cookies et répertoires, nécessitant des vérifications complémentaires pour confirmer la désinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    dsl mais j étais pas chez moi...

    coches ceci : Prevent this program from running, and rename the program file
    1
  2. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Salut !!

    Télécharger sur le bureau malware bytes : http://ww.commentcamarche.net/telecharger/telechargement 34055379 malwarebyte s anti malware?thread

    = double-clic sur mbam-setup pour lancer l'installation
    = Installer simplement sans rien modifier
    = Quand le programme lancé ==> faire une mise à jour ensuite cocher Exécuter un examen complet
    = Clic Rechercher
    = Eventuellement décocher les disque à ne pas analyser
    = Clic Lancer l'examen
    = En fin de scan , si infection trouvée
    ==> Clic Afficher résultat
    = Fermer vos applications en cours
    = Vérifier si tout est coché et clic Supprimer la sélection

    un rapport s'ouvre le copier et le coller dans la réponse

    Puis redémarrer le pc !!

    ensuite :

    Télécharge hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

    voici un tuto pour bien l installer : https://forums.cnetfrance.fr

    -une fois installé, le renommer HJT.exe pour contrer une éventuelle infection vundo
    -Double-clic dessus
    - Clic sur "Do a system scan and save the log"
    - copier le rapport, le coller dans la réponse
    0
  3. psg95
     
    sa maffihe " mise a jour de malwarebytes' anti-malaware" connexion a It-Mate.co.uk . la bare de chargement ne bouge pas
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    passe à hijackthis, on reviendra sur malwarebytes plus tard
    0
  6. psg95
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:23:09, on 20/07/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16681)
    Boot mode: Normal

    Running processes:
    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Windows\system32\svchost.exe
    C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Windows\system32\DRIVERS\xaudio.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\rundll32.exe
    C:\Windows\RtHDVCpl.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\Power Manager\PM.exe
    C:\Program Files\Apoint2K\ApMsgFwd.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
    C:\spftray.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\spfprc.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    c:\Program Files\Norton Internet Security\Norton AntiVirus\navw32.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Symantec Shared\NPC\uiStub.exe
    c:\Program Files\Norton Internet Security\Norton AntiVirus\navw32.exe
    C:\Program Files\Trend Micro\HijackThis\HJT.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Windows\system32\SearchFilterHost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [recinfo208] c:\RecInfo\RecInfo.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [calc.exe] C:\Users\ROSEMA~1\AppData\Local\Temp\calc.exe
    O4 - HKLM\..\Run: [spywarefighterguard] C:\spftray.exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{169519A3-5362-45BB-83F0-A240487604BD}: NameServer = 85.255.115.101,85.255.112.68
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CE6A8D1-05EF-4D15-BEC3-010062EA08BA}: NameServer = 85.255.115.101,85.255.112.68
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE898787-6A9A-4D6A-A7FE-E1A680553E39}: NameServer = 202.123.2.6 202.123.2.11
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DD803654-AD8C-4827-B694-E78316C30B92}: NameServer = 85.255.115.101,85.255.112.68
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
    O17 - HKLM\System\CS1\Services\Tcpip\..\{169519A3-5362-45BB-83F0-A240487604BD}: NameServer = 85.255.115.101,85.255.112.68
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\spfprc.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
    O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
    O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdnfp.exe
    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
    0
  7. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    tu as une infection wareout...fais ceci stp :

    Télécharge Fixwareout : http://downloads.subratam.org/Fixwareout.exe

    Double clique sur Fixwareout.exe
    Clique "Next", puis "Install", et vérifie que "Run fixit" soit coché, puis tu cliques "Finish".
    Suivre les directives à l'écran.
    L'outils va te demander de redémarrer ton PC, tu redémarres.

    Le redémarrage risque de prendre un peu plus de temps, ceci est normal.

    Le rapport va t'être dans le bloc note lors du redémarrage et tu pourras le sauvegarder.

    Pour me copier/coller le rapport du "Bloc note" tu vas dans le menu Édition et clique sur "Sélectionner tout" et retourne dans "Édition" et clique sur "copier"
    Sur le forum, faire un click droit et cliquer sur "coller".
    0
  8. psg95
     
    "this batch will remove wareOut, killNclean, SpyMarchal; UnSpyPC, SpyVampire and the normaly associated rootkit from your system

    use at your own risk.

    fix will require a reboot, when ready
    appuyez sur une touche pour continuer. . ."

    apres avoir cliquer sur finish sa m'affiche cela .
    quand je clique sur une touche sa m'affiche

    ". . working, wait please
    unsupported windows version
    appuyez sur une touche pour continuer . . .

    et apres plus rien
    0
  9. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    réessayes en allant désactiver le controle des comptes utilisateurs :

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    petit tuto pour t expliquer en cas de probleme : https://www.baudelet.net/windows-vista/uac-controle-comptes-utilisateurs.htm

    j avais oublié de te le noter dsl :s
    0
  10. psg95
     
    je l'ai desactiver il me demnde de redemarer mon ordi . doit-je le redemarer ?
    0
  11. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    si il te le demande fais le...mais va revérifier apres si il est toujours bien désactivé pour réessayer fixwareout
    0
  12. psg95
     
    j'ai redemaré , j'ai verifier il est toujours désactivé mais sa fixwareout ne fonctionne toujours pas
    0
  13. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    supprime fixwareout et essais avec ce lien :

    http://swandog46.geekstogo.com/Fixwareout.exe
    0
  14. psg95
     
    le lien marche pas . quand jouvre :

    "Internal Server Error
    The server encountered an internal error or misconfiguration and was unable to complete your request.

    Please contact the server administrator, webmaster@swandog46.geekstogo.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.

    More information about this error may be available in the server error log.

    Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.

    --------------------------------------------------------------------------------

    Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.7a mod_auth_passthrough/2.1 mod_bwlimited/1.4 PHP/5.2.5 Server at swandog46.geekstogo.com Port 80"
    0
  15. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    essais ceci :

    télécharge ad-aware, fais la mise à jour et analyse...supprimes tout ce qu il trouve en fin de scan

    ensuite :

    Télécharger sur le bureau malware bytes : http://ww.commentcamarche.net/telecharger/telechargement 34055379 malwarebyte s anti malware?thread

    = double-clic sur mbam-setup pour lancer l'installation
    = Installer simplement sans rien modifier
    = Quand le programme lancé ==> faire une mise à jour ensuite cocher Exécuter un examen complet
    = Clic Rechercher
    = Eventuellement décocher les disque à ne pas analyser
    = Clic Lancer l'examen
    = En fin de scan , si infection trouvée
    ==> Clic Afficher résultat
    = Fermer vos applications en cours
    = Vérifier si tout est coché et clic Supprimer la sélection

    un rapport s'ouvre le copier et le coller dans la réponse

    Puis redémarrer le pc !!

    Et refais un nouveau rapport hijackthis stp

    je reviendrai plus tard pour voir tes rapports car je dois partir dsl

    @+
    0
  16. psg95
     
    ok je vais faire cela merci bcp =) a plus tard
    0
  • 1
  • 2
  • 3