Sujet Précédent Sujet Suivant

Trojan Horse Downloader.Agent.BF ?? !

Jeff -  
 jess15 -
Bonjour,

jai un souci de Trojan on dirait bien. Je suis sous XP.
Seul AVG le detecte (passé avast, spybot, a², tauscan, ad aware, ca à l'air transparent pour eux ...)

Quelqu'un a t il deja rencontré ce Trojan, et si oui a t il reussi à l'eradiquer ?

AVG me trouve des fichiers infectés sous windows et system32,
tels que zvvlc.dll, javazr.exe, mfczx.exe, netgx32.exe, ou sous ..32\appee32.exe , mszr.exe, syslo.exe, winqk32.exe

AVG les trouve, oui, mais ne s'en debarasse pas. J'avais tout "healed", javais pu delete un exe en memoire que AVG pouvait pas faire (puisque en cours d utilisation), mais voilà, on dirait que c revenu, ptet un generateur de merdouilles caché..

La je craque, je ne sais plus trop quoi faire, si qq1 pouvait m'aider, ca serait super
merci)
A voir également:

19 réponses

Réponse 1 / 19
jess15
 
salut redemarre en mode sans echec (redemarage +tapotte sans cesse sur f8 ou f5 )
ensuite lance ton anti virus normalement il poura les suprimer si c pas le cas alors il faut que tu les suprime toi meme cmme ceci

demarrer/rechercher et tape les fichier infecter comme ceci : zvvlc.dll, javazr.exe, mfczx.exe, netgx32.exe ....ect
tu les suprime et tu vide ta corbeille

si ta le xp n'oublie pas de desactiver ta restauration apres

@++++++++++++++++++
0
Réponse 2 / 19
Jeff
 
mais ces exe et dll n'ont rien à voir avec le systeme ?
(javoue ne pas connaitre en detail ce qui fait tourner windaube)

pas de risque d'effacer un truc important ?
bon sinon, merci, je tente ca.)
0
Réponse 3 / 19
jess15
 
salut non y'a aucun risque c pas des fichier system tu peu les suprimer
@++++++++++++++
0
Réponse 4 / 19
Jeff
 
bon, me revoilà...
supprimer + passer AVG pour corriger derriere, ca a marché.
Le pb, que je navais pas vu au demarrage, c que j'ai un Trojan Winshow.AH, avec zvvlc.dll infectée.
AVG heale bien la DLL, et tout les fichiers infectés à la suite par Trojan agent.BF... mais au reboot , ca revient, la zvvlc.DLL est regénérée et le crique reprend.

Alors une méchante DLL cachée ou genre qui mettrait le bronx au demarrage? je met le log Hijack pour voir.

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
g:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
g:\Program Files\Alwil Software\Avast4\ashServ.exe
G:\grisoft\AVG6\avgserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
G:\grisoft\AVG6\avgcc32.exe
C:\WINDOWS\system32\javapp.exe
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
C:\Program Files\Logitech\Profiler\lwemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
G:\grisoft\AVG6\avgw.exe
C:\Documents and Settings\x\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\x\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {C7B33F7A-073C-9061-F6F7-482F69867311} - C:\WINDOWS\d3wd32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG_CC] G:\grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [javapp.exe] C:\WINDOWS\system32\javapp.exe
O4 - HKLM\..\Run: [avast!] g:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Tau Monitor] G:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,76/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/047ac7cbc66fadc41023/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4330/mcfscan.cab

Voilou, si qq1 a une idée )
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Jeff
 
En fait, je heal tout avec AVG. Je lance un page web, et la ZVVLC.DLL me saute aussitot à la figure avec le resident de AVG comme virus Winshow.AN

ca je sais pas ce que c'est ou si c'est bad ptet:

{C7B33F7A-073C-9061-F6F7-482F69867311} Browser Helper Objects C:\WINDOWS\d3wd32.dll No
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\x\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

une idée plz ?
0
jess15
 
oui ta raison fix c'est lignes :))


{C7B33F7A-073C-9061-F6F7-482F69867311} Browser Helper Objects C:\WINDOWS\d3wd32.dll No
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\x\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
@+++++++++
0
Réponse 6 / 19
Jeff
 
et ca avec startuprun aussi

sysai32.exe Registry -> Machine RunOnce C:\WINDOWS\sysai32.exe No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

d3vg32.exe Registry -> Machine RunOnce C:\WINDOWS\d3vg32.exe No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
0
jess15
 
moi aussi c'est 2 executable me parraisse suspecte essay de les enlever .si ta le xp je te conseille de cree un point de restauration comme ca si tu te trompe tu poura faire une restauration ;)))
@++++++++++
0
Réponse 7 / 19
Jeff
 
merci pr la reponse Jess, je fais ca.

apr contre, les 2 exe ont l'air louche ..
0
Réponse 8 / 19
Jeff
 
jai fix la DLL avec HJT, je lance un IE, et boom, nouvelle DLL winshow.AN saktx.dll gniiiii ....
0
Réponse 9 / 19
did
 
J'ai le même probléme et je ne parviens pas àm'en débarasser aprés 5 essais.
Il revient toujours pourtant je suis la procédure
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.Z2
0
Réponse 10 / 19
did
 
J'ai le même probléme et je ne parviens pas àm'en débarasser aprés 5 essais.
Il revient toujours pourtant je suis la procédure
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.Z2
0
Réponse 11 / 19
jess15
 
salut peu etre que ta pas bien suivie les procedure
as tu desactiver ta restauration (si ta le xp)

@+++++++++++++
0
jess15
 
re salut did si ta besoin d'aide pour la traduction n'hesite pas
@++++++++++
0
Réponse 12 / 19
maminova Messages postés 106 Statut Membre 8
 
va sur secuser.com et scanne, tu devrais pouvoir accèder à l'élimination .
0
Réponse 13 / 19
did
 
J'ai fait tout ça, j'ai désactivé la restauration, mais ce fichu troyen revient à chaque fois sous un nom différent...
Pourtant c'est bien un TROJ_AGENT.Z2

A suivre
0
Réponse 14 / 19
Jeff
 
merci pr les coups de main.
Je n'ai à priori plus rien (apres moults reboots, multi tests, lanceemnts de X applis).

Voici une URL qui m'a bien aidé, en complement de ce que j'ai trouvé ici:
http://www.wilderssecurity.com/showthread.php?t=38363
Tres bon site aussi.

Voilou, ++ :)
0
jess15
 
salut ravi que ton probleme sois regler ;))
@+++++++++
0
Réponse 15 / 19
did
 
Pour la traduction de ce passge j'hésite un peu en effet...

Removing Other Malware Entries from the Registry

1/Still in the Registry Editor, Click Edit>Find…then type the full path and file name of the file detected earlier.
2/Delete the registry key that corresponds to the CLSID of this malware. For example, if the following entry is found, delete its registry key:
HKEY_CLASSES_ROOT>CLSID>{FC963150-92B0-0B86-
B2D9-1238DEFF6F6C}>LocalServer32
Default = "C:\Winnt\System32\winiq.exe"
The affected key is as follows:
HKEY_CLASSES_ROOT>CLSID>{FC963150-92B0-0B86-B2D9-1238DEFF6F6C}
3/Close Registry Editor.
0
jess15
 
salut did d'apres ce que j'ai compris pour trouver les autre entrées du virus qui se trouve dans le registre:
il faut ouvrir le registre ensuite tu va dans editer/rechercher.../ ensuite tu tape le chemin complet et le nom du ficher infecter par le virus

ensuite tu suprime la clée qui correspond au CLSID du virus par exemple si tu trouve cette clée tu la suprime

HKEY_CLASSES_ROOT>CLSID>{FC963150-92B0-0B86-
B2D9-1238DEFF6F6C}>LocalServer32
Default = "C:\Winnt\System32\winiq.exe"

avant de suprimer koi ke se sois je te conseille de creé un point de restauration ;))
bonne chance
@+++++++++
0
did > jess15
 
Merci
En fait j'ai rescanné avec kapersky et il a réussi a tout supprimer, là où les suppressions à la main avaient échoué.
à plus
0
Réponse 16 / 19
Josh
 
I went to this site & downloaded this program & restarted in safe mode & then scaned with it & I have had no problems since! I had that NASTY "Downloader.agent.BF" trojan also! Try it & see if it helps! Hope it does! I also hope that everyone can read this since it is in english! Good luck!

Josh

P.S. Here is the downlaod link:
http://tools.zerosrealm.com/AboutBuster.zip
0
José
 
From Portugal,

Thank you Josh!!! Your hint solved my problem with Agent BF!

Best Regards

José
0
Réponse 17 / 19
carole
 
J'ai le meme probleme depuis une semaine impossible de m'en débarasser j'ai le trojen agent.bf & Winshow.an & c'est avg seulement qui me dit c'a j'ai installer norten antivirus 2004 mais lui ne le détecte pas j'essaie de désinstaller avg mais impossible il disent qu'un fichier manquan shell.dll alors je crois que le trojan est avec avg & home search
0
Réponse 18 / 19
jess15
 
salut caro pour trojan agent.bf fait comme a dit josh telecharge cet outille http://tools.zerosrealm.com/AboutBuster.zip
et pour winshow.an suis les instruction de ce lien http://www.wilderssecurity.com/showthread.php?t=38363 c en englais mais on te donnera un coup de main
@+++++++++++
0
harlock
 
excellent ce petit programme, plus rien d'emmerdant!!!
0
Réponse 19 / 19
jess15
 
faut remercier Josh
thank you josh !!
@+++++++++
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
Comment enlever mon virus trojan:win32/si...
bryanoulet -
juju666 -

58 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses