Probleme trojan

seby -  
 seby -
Bonjour,

j'ai un gros probleme avec le trojan-downloader.win32.agent variant. au lancement du jeu world o warcraft , sa m'empeche de jouer car il detecte la presence de ce trojan dans mon pc.
je l'ai deja supprimer hier mais apres avoir redemarer mon pc , j'ai relancer wow et le trojan etait revenu.
quelqu'un pourrai m'aider a le virer et securiser mon pc parceque la je suis vremen perdu .
merci d'avance pour votre aide =)

je suis sous vista .
Configuration: Windows Vista
Internet Explorer 7.0

59 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème porte sur un Trojan-downloader.Win32.Agent variante qui réapparaît après le redémarrage et empêche de jouer à World of Warcraft sur Windows Vista, malgré une suppression préalable. Des solutions préconisées incluent l’utilisation de Malwarebytes en mode sans échec et l’examen complet des disques, suivi de la suppression des menaces détectées et d’un nouveau contrôle après redémarrage. En complément, d’autres interventions évoquées portent sur Fixwareout, OTmoveIT2, et l’analyse avec HijackThis afin d’identifier les programmes tenaces et les services problématiques, tout en vérifiant les paramètres de pare-feu et d’antivirus. Certaines recommandations signalent aussi que des éléments Symantec et Norton peuvent coexister avec des outils de nettoyage, ce qui peut compliquer l’élimination complète si des composants résident en démarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    OK; passe MalwareBytes mais en mode sans échec.

    La démarche : je te conseilles de la noter ou de l'imprimer.

    Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’exécuter .
    Ne choisis que la mise à jour. Le logiciel sera lancé en mode sans échec.

    Tu relances l'ordinateur en mode sans échec ( touche F8 après redémarrage ).
    Tu choisis ton compte utilisateur.

    Pour lancer MalwareBytes, double-clique sur le raccourci du bureau.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, Comme il est demandé, clique sur afficher les résultats de la recherche.
    Choisis alors Supprimer la selection pour nettoyer les infections.
    Tu postes le rapport dans ton prochain message.
    Si tu ne le retrouves pas, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est.
    Clique dessus et choisir ouvrir.

    Le scan peut prendre environ 40 à 50 mn.

    A+
    2
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    On va vérifier les traces d'infection.

    télécharge et installe HijackThis .
    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
    Choisir « Download Hijackthis Installer »

    Après l'installation, un raccourci sera crée sur le bureau. Double-clique dessus pour le lancer

    Choisir l'option Do a system scan and save a logfile.
    Le rapport va s'ouvrir. Tu copies/colles le contenu de ce rapport dans ton prochain message.

    A+
    0
  3. buginformatik Messages postés 2210 Statut Contributeur 54
     
    utilise Fixwareout : http://downloads.subratam.org/Fixwareout.exe

    Tuto utilisation : http://www.malekal.com/tutorial_FixWareout.php
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Euh Fixwareout réglera ton problème de trojan-downloader.win32.agent variant.

    Après Hijackthis peut déceler d'autres infections

    Fait d'abbord Hijackthis
    0
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    On ne sait pas encore pour Fixwareout.
    Je pourrais te le dire sur le rapport.
    On ne lance pas des outils de désinfection, comme ça, à l'aveuglette.

    Le renommer Hijackthis. Pas pour l'instant.

    Poste le rapport Hijackthis.

    A+
    0
  7. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Un pti peu de lecture :)
    https://worldofwarcraft.com/en-gb/?topicId=265036663&sid=2

    Et j'ai teste av n mec, sa marche :D
    0
    1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
       
      Intéressant en effet.
      Je me la garde, l'info.

      Une infection en Fixwareout est un détournement de la connexion Internet vers un proxy étranger.
      Ce n'est pas étonnant avec les jeux en ligne.

      Merci.
      0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Hijackthis pour commencer.
    0
  9. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Hijackthis avant !
    0
  10. seby
     
    voila le rapport HJT :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:39:58, on 23/07/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16681)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\rundll32.exe
    C:\Windows\RtHDVCpl.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\Power Manager\PM.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Apoint2K\ApMsgFwd.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\IEUser.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Users\Rose marie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H2NWGNP1\Fixwareout[1].exe
    C:\Users\ROSEMA~1\AppData\Local\Temp\is-TUK9L.tmp\is-AUT7F.tmp
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Windows\system32\SearchFilterHost.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [spywarefighterguard] C:\spftray.exe
    O4 - HKLM\..\Run: [TrojanScanner] C:\Trojan Remover\Trjscan.exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE898787-6A9A-4D6A-A7FE-E1A680553E39}: NameServer = 202.123.2.6 202.123.2.11
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\spfprc.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
    O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
    O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdfex.exe
    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
    0
  11. buginformatik Messages postés 2210 Statut Contributeur 54
     
    j'ose pas dire oui...
    0
  12. buginformatik Messages postés 2210 Statut Contributeur 54
     
    Oui vas y

    utilise Fixwareout : http://downloads.subratam.org/Fixwareout.exe

    Tuto utilisation : http://www.malekal.com/tutorial_FixWareout.php
    0
    1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
       
      Bugininformatik

      Il n'y a pas d'infection visible en 017.
      Les adresses IP utilisées sont légitimes.

      202.123.2.6 --> utilisation de paris.teleglobe.net
      C'est pour le forum de WoW

      Elle peut toujours passer FixWareout.
      On verra.
      Il y a d'autres choses dans son log.
      0
      1. buginformatik Messages postés 2210 Statut Contributeur 54 > verni29 Messages postés 6805 Statut Contributeur sécurité
         
        Oui il y a un trojan (lignes O23)

        Moi je me fis à ce qu'il dit !

        Je te le laisse et je regarde ;)
        0
      2. verni29 Messages postés 6805 Statut Contributeur sécurité 180 > buginformatik Messages postés 2210 Statut Contributeur
         
        Non, en 023, tout est OK

        Ca déjà c'est bizarre :

        C:\Users\Rose marie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H2NWGNP1\Fixwareout[1].exe

        C:\Users\ROSEMA~1\AppData\Local\Temp\is-TUK9L.tmp\is-AUT7F.t­mp

        A+
        0
      3. buginformatik Messages postés 2210 Statut Contributeur 54 > verni29 Messages postés 6805 Statut Contributeur sécurité
         
        :S j'ai mal lu kdfex.exe... sorry :)
        0
      4. verni29 Messages postés 6805 Statut Contributeur sécurité 180 > buginformatik Messages postés 2210 Statut Contributeur
         
        Exact

        http://spywarefiles.prevx.com/RRFIDG35765332/KDSVC.EXE.html
        0
  13. seby
     
    ok je l'instale alors
    0
    1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
       
      Si tu veux.

      La démarche :


      Ferme tous les programmes et télécharge FixWareout sur ton bureau :
      http://downloads.subratam.org/Fixwareout.exe

      Lance le fix, suis les invites pour l’installation.
      Une fois l’installation terminée, vérifie que l’option RunThisFix est bien côchée.

      Le fix va ouvrir une fenêtre noire. Il te sera demandé d’appuyer sur une touche pour continuer.
      A la fin de la recherche, ton ordinateur va redémarrer et sera plus long que d’habitude.

      Après redémarrage, choisis ton compte. Le fix va continuer à travailler.
      A la fin de la désinfection, un rapport va s’ouvrir.
      Copie/Colle le contenu dans ton prochain message.

      A+
      0
  • 1
  • 2
  • 3