Trojan horse back door.agent.2.h

Franckoff -  
 help -
j'ai un message qui m'apparait pour me prévenir de ce cheval...
Que faire pour m'en débarrasser.
J'ai un firewall et un antivirus à jour (avg 6.0)
Mes mises à jours de windows sont faites automatiquement.
Mon environnement est xp pro !!!

merci de votre aide @+ tard

55 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs avertissements s'affichent annonçant la présence d’un cheval de Troie sur Windows XP Pro, malgré un pare-feu actif et AVG 6.0 ainsi que les mises à jour automatiques. Des analyses détectent des fichiers infectés et des résultats varient selon les outils, avec des rapports indiquant des fichiers comme update.exe ou msdirectx.sys et la nécessité de nettoyer ou désinfecter. Pour traiter le problème, plusieurs réponses conseillent de désactiver la restauration système, de lancer un scan en ligne et de supprimer les fichiers temporaires et les éléments malveillants identifiés. En cas d'infections persistantes, il peut être utile d'utiliser des outils supplémentaires et de vérifier les processus ainsi que les mises à jour des signatures antivirus pour prévenir une éventuelle réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    deja avec bonjour sa passe mieux
    et fait ca
    Faite scan en ligne et coller le rapport ici sur le post
    utiliser l'antivirus en ligne suivant :
    http://www.ravantivirus.com/scan/
    Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

    Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
    A la fin de l'analyse, copier/coller le rapport ici.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. franckoff
       
      Excuse moi pour l'oubli du bonjour mon ami... le coeur y est
      C'est la fatigue. Vivement les vacances !!!
      Bon je vais faire ce que tu m'as dit. @+
      0
    2. franckoff
       
      re salut ball trap. Voici le résultat !!???
      Merci encore Scan started at 22/07/2004 23:11:36

      Scanning memory...
      Scanning boot sectors...
      Scanning files...

      Scanned
      ============================
      Objects: 21807
      Directories: 1622
      Archives: 466
      Size(Kb): 408578
      Infected files: 0

      Found
      ============================
      Viruses found: 0
      Suspicious files: 0
      Disinfected files: 0
      Mail files: 53
      0
    3. franckoff
       
      Au fait, ball trap, j'ai lu sur ce forum un de tes messages qui disait d'aller sur poste de travail, cliquer droit sur propriété ,restauration système et desactiver cette restauration...ce que j'ai fait.
      C'est peut -etre pour ça que mon rapport est si court ???
      peut être que j'ai reussi a le faire partir ???
      merci pour tes analyses.

      @+ tard
      0
    4. jeannine > franckoff
       
      Bonjour
      avg m'a detecte virus trojan horse BackDoor,Agent 2 H.
      Je l'ai supprimé dans fichiers communs et vide la poubelle.....
      mais avg le detecte encore, aujourd'hui, cette fois il est dans système volume information restore(et les no....)mais je ne le trouve plus...et je ne sais pas comment le faire disparaitrede mon ordi ...
      Merci de pourvoir m'aider je l'apprécierais....
      jeannine
      0
    5. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > jeannine
       
      salut
      il faut la desactiver
      pour ca tu fait click droit sur poste de travail
      propriete.tu click sur onglet restauration systeme
      tu coche la case desactiver la restauration et applique
      tu redemarre
      tu fait scan en ligne ici pour verif
      et si tous vas bien tu reactive ta restauration en refaisant le meme
      chemin mais la tu decoche la case et tu redemarre


      la chasse et le balltrap ma vrai passion
      voir site perso dans profil
      0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    deja apparament pas de virus
    qui te dit que tu as trojan horse back door.agent.2.h
    si c est ton anti virus il doit pouvoir le virer en mode sans echec
    sinon donne moi le chemin que te donne ton anti virus

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. franckoff
       
      Re
      je vais attendre qu'il me le resorte pour te dire le chemin, si je ne l'ai pas éradiqué.
      Dans tout les cas je te tiens au courant.
      Bonne soirée à toi et @ + tard

      Merci
      0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    a++

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. franckoff
       
      sALUT BALL TRAP 34
      J'ai rouvert mon ordi aujourd'hui et toujours rien ??!!!
      Bon ben tant mieux s'il n'est plus là.
      Je reste vigilant et te recontacte s'il revient.
      Bonne journée @+
      0
    2. nico
       
      Salut,

      J'ai suivi +ieurs procedures pour eliminer trojan horse irc mais sans succes.Quelle demarche me conseillerai tu?

      merci d'avance

      nico
      0
      1. Utilisateur anonyme > nico
         
        Salut Nico si tu connais l'emplacement du trojan alors fait comme ceci :
        1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

        2. desactive ta restaraution (si ta le xp ) comme ceci :
        clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique

        3. affiche les fichier cacher comme ceci :
        clicker sur demarrer/panneau de configuration/option des dossiers/affichage
        Cocher afficher les dossiers cacher
        Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
        Puis fais «Ok» pour valider les changements.
        Decocher masquer les extentions dont le type est connues

        4.ensuite va dans demarrer/rechercher et tape: le nom du fichier infecté par le trojan

        suprime le et vide ta corebeille

        refait un scan si tt va bien reactive la restauration et masque les fichiers caché en suivant le meme chemin

        @++++
        0
  4. PAT
     
    Bonjour" ball trap 34"
    merci de m'indiquer la marche a suivre pour eliminer les virus
    résultats du test:
    Scanned
    ============================
    Objects: 138970
    Directories: 7250
    Archives: 18046
    Size(Kb): -985071
    Infected files: 14

    Found
    ============================
    Viruses found: 2
    Suspicious files: 200
    Disinfected files: 0
    Mail files: 20017
    configuration XP
    Vous remerciant par avance de vos conseils (
    Pat
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut pat
    je veut bien t aider mais tu na pas mis le rapport en entier
    c est difficile de deviner quel virus tu as

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. PG06 Messages postés 5 Statut Membre
       
      bonsoir et merci de me répondre

      a part ce que je t'ai envoyé le reste c'est le détail de toutes les directories dans le doute voici les fichiers infectés:DATA sur serveur (portable)\OUTLOOK\lisa.pst->Attachment.2087: "terme.pif" - Win32/Magistr.B@mm -> Infected
      \OUTLOOK\Lisa.pst->Attachment.1888: "terme.pif" - Win32/Magistr.B@mm -> Infected
      (Untitled)->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected
      )->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected
      (Untitled)->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected
      )->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected
      : (Untitled)->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected
      ->Message.10: (Untitled)->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected
      OUTLOOK\lisa.pst->Attachment.2191: "terme.pif" - Win32/Magistr.B@mm -> Infected
      \PROCEDURE CABINET.dbx->Message.10: (Untitled)->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected
      dbx->Message.10: (Untitled)->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected
      )->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected
      : (Untitled)->(part0002:terme.pif) - Win32/Magistr.B@mm -> Infected


      les autres sont suivis de la mention suivante: \DATA sur serveur (portable)\OUTLOOK\20_EML.vir - Win32/Nimda.eml -> Suspicious

      J'utilise AVG qui m'a indiqué en date du 11/08/2004
      VIRUS INFECCTION DETECTED!!!
      detais sur trois fichiers : back door.agent.2.h
      Question cette antivirus est-il fiable?

      puis plusieur fois dans la journée ceci:
      c:\system volume information\restore(4711C735-CD7C-43DE-A19E-C4B81406B432]\RP308\A0090935.exe
      to remove thisvirus,please run AVG for windows
      en haut de la fenetre : AVG resident schield

      Voila toute l'histoire désolé pour la contrainte d'une aussi longue lecture!!
      bonne réception
      pat
      0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    bon apparament ils sont dans ta messagerie
    vas dedans et supprime tous (element supprimer,archiver enfin la totalite)
    et le reste dans ta restauration fait ceci
    il faut la desactiver
    pour ca tu fait click droit sur poste de travail
    propriete.tu click sur onglet restauration systeme
    tu coche la case desactiver la restauration et applique
    tu redemarre
    tu fait scan en ligne ici pour verif
    http://www.ravantivirus.com/scan/
    met moi la totalite du rapport
    et si tous vas bien tu reactive ta restauration en refaisant le meme
    chemin mais la tu decoche la case et tu redemarre

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. pat
       
      Bonjour
      il faut que je suprime toute la masagerie ou mail ,par mail?
      de plus connaissant mes fichiers ils y en a dans word!!
      désolé je suis néophite en informatique...
      merci encore de ton aide
      pat
      0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tu supprime les mail dans ta messageries
    en regardent sur element supprimer et autres

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  9. pat
     
    Bonsoir balltrap
    Voila j'ai fait l'elimination de tous les fichiers un par un meme cela
    au depart &' fichier infectes + 199fichiers Suspicious files
    Pour le reste de la manip j'ai peur de deconnecter fonction de la demande de windows: toutes les modif seront perdues?????
    si il y a une explication merci de me la donner si non merci encore
    Pat
    Une question "AVG gratuit ou Norton derniere version" le quel se fier??? merci

    Scan started at 22/08/2004 21:46:46
    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\CAI Portable\Local Settings\Temp\visio.exe - Tool:PornDialer.gen! -> Suspicious
    C:\visio_slv\visio.exe - Tool:PornDialer.gen! -> Suspicious

    Scanned
    ============================
    Objects: 123833
    Directories: 7273
    Archives: 15764
    Size(Kb): 1943006
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 2
    Disinfected files: 0
    Mail files: 18755
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    cela il faut que tu le fasse
    et le reste dans ta restauration fait ceci
    il faut la desactiver
    pour ca tu fait click droit sur poste de travail
    propriete.tu click sur onglet restauration systeme
    tu coche la case desactiver la restauration et applique

    pour ceci
    C:\Documents and Settings\CAI Portable\Local Settings\Temp\visio.exe - Tool:PornDialer.gen! -> Suspicious
    C:\visio_slv\visio.exe - Tool:PornDialer.gen! -> Suspicious
    demarre en mode sans echec
    pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal a ce moment la
    tu click sur demarrer rechercher tous les fichiers et dossiers
    tu tape ou colle ceci
    C:\Documents and Settings\CAI Portable\Local Settings\Temp\visio.exe

    une fois trouver tu fait un click dessus et tu appuie sur la touche majuscule et sans la lacher tu appuie sur suppr
    et tu fait de meme pour ceci

    C:\visio_slv\visio.exe
    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  11. mela
     
    bonjour,
    si j'ai bien compris (ce qui n'est pas gagné, je suis vraiment une bille, j'y connais rien et je ne fais pas beaucoup d'efforts), il faudrait que je suive toutes ces consignes pour me débarasser de ce trojan ? j'ai aussi AVG (décidément, faudrait peut être en changer), et voilà ce qu'il me dit (qu'on il le détecte, jamais quand je le lance) C:\system volume information__restore[EDEB532A-B660-487D-88C9-2A7E99B8F514]\RP95\A0016247.exe
    C'est grave docteur ? faut-il vraiment que je vire tout mes mails ? et ceux que j'ai sauvegardé sur mon disque ?
    0
  12. mela
     
    re salut,
    j'ai scanné mon disque avec l'antivirus, et voici le rapport. Dis moi ce que tu en penses. Scan started at 01/10/2004 01:22:39

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\WINDOWS\avserve2.rar->avserve2.doc.exe - Win32/Sasser.B.worm -> Infected
    C:\WINDOWS\system32\TFTP3100 - Backdoor:IRC/SdBot.dam#2 -> Infected
    C:\WINDOWS\system32\winhlpp32.exe - Win32/HLLW.Gaobot -> Infected

    Scanned
    ============================
    Objects: 30960
    Directories: 3265
    Archives: 647
    Size(Kb): -297403
    Infected files: 3

    Found
    ============================
    Viruses found: 3
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 116

    je vois que je ma suis en faite jamais débarrasser de sasser, comment est-ce possible ?
    Merci d'avance pour ton aide, bye
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re pour sasser il faut mettre a jour windows et avoir un pare feu
    alors
    met un pare feu
    met a jour ton anti virus il doit s occuper de sasser virus ultra connu
    desactive ta restauration
    il faut la desactiver
    pour ca tu fait click droit sur poste de travail
    propriete.tu click sur onglet restauration systeme
    tu coche la case desactiver la restauration et applique
    tu redemarre
    tu fait scan en ligne ici pour verif
    http://www.ravantivirus.com/scan/

    et si tous vas bien tu reactive ta restauration en refaisant le meme
    chemin mais la tu decoche la case et tu redemarre

    Pour Millenium : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020830091903924
    -------------

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  14. pierre
     
    Salut a toutes et tous, vous pauvres gaillardes et gaillards qui un jour avez du passer par ici

    Bonjour a toi balltrap,

    Mes electrons s'emmelent et s'entremelent . Tout ne ressemle plus

    a rien! Mes mails rivalisent de lenteur avec la poste et internet

    devient interniet! J'ai fait un scan, et je me permet de venir

    implorer ton aide. J'ai 8 virus repertories et mon trojan agent.2.h

    semble se deplacer sans arret...

    J'utilise XP qui d'habitude fonctionne bien. Mais la....

    Si tu peux me venir en aide, je t'en serai tres reconnaissant, car la

    je ne sais vraiment plus quoi faire.

    Evidemment, j'ai lu tous les messages sur ce forum.

    Voila mon scan

    Scan started at 14/10/2004 17:12:56

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\_RESTORE\ARCHIVE\FS221.CAB->A0033924.CPY->(UPXW) - Tool:PornDialer.IE -> Infected
    C:\_RESTORE\ARCHIVE\FS221.CAB->A0033926.CPY->(UPXW) - Tool:PornDialer.gen! -> Suspicious
    C:\_RESTORE\ARCHIVE\FS297.CAB->A0054042.CPY - Tool:PornDialer.IE -> Infected
    C:\_RESTORE\ARCHIVE\FS464.CAB->A0121338.CPY - Tool:PornDialer.IE -> Infected

    Scanned
    ============================
    Objects: 39474
    Directories: 3905
    Archives: 1232
    Size(Kb): 1871356
    Infected files: 8

    Found
    ============================
    Viruses found: 1
    Suspicious files: 1
    Disinfected files: 0
    Mail files: 359

    ps:j'ai pu retirer 4 fichiers infectes, les autres, je ne les trouve pas.

    je trouve bien *restore*dans system32, mais pas la suite. Cad,

    archive........

    Merci de me preter un peu d'attention

    a bientot, j'espere

    Pierre
    0
  15. Utilisateur anonyme
     
    salut C:\_RESTORE....c'est ta restauration , desactive la comme ceci :
    clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique

    refait un scan si tt va bien reactive la restauration en suivant le meme chemin

    @+++
    0
  16. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    merci jess

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  17. james
     
    Bonjour tlm, apres avoir lu un tas de forum, sans une avoir trouvé une vrai réponse...
    je me remet à vous et surtout à "balltrap34" qui semble etre tres callé dans ce domaine...
    - j'ai désactivé la réstauration
    - j'ai lancer le scan online et voila le résultat :

    Scan started at 16/10/2004 15:16:35

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\WINDOWS\system32\update.exe - TrojanDownloader:Win32/Winupdt.A.dr -> Infected
    C:\WINDOWS\system32\msdirectx.sys - Backdoor:Win32/SdBot.ME -> Infected
    C:\WINDOWS\Temp\THI4940.tmp\localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected
    C:\WINDOWS\Temp\THI4883.tmp\twaintec.cab->polall1m.exe->(CExe) - TrojanDownloader:Win32/Agent.AE -> Infected
    C:\WINDOWS\Temp\THI4883.tmp\polall1m.exe->(CExe) - TrojanDownloader:Win32/Agent.AE -> Infected
    C:\WINDOWS\Temp\THI4DE5.tmp\twaintec.cab->polall1m.exe->(CExe) - TrojanDownloader:Win32/Agent.AE -> Infected
    C:\WINDOWS\Temp\THI4DE5.tmp\polall1m.exe->(CExe) - TrojanDownloader:Win32/Agent.AE -> Infected
    C:\Documents and Settings\isl\msdirectx.sys - Backdoor:Win32/SdBot.ME -> Infected
    C:\Program Files\Winad Client\ClientCom.dll - TrojanDownloader:Win32/Winupdt.A -> Infected

    Scanned
    ============================
    Objects: 43418
    Directories: 4727
    Archives: 1330
    Size(Kb): 1078911
    Infected files: 9

    Found
    ============================
    Viruses found: 4
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 49
    ---------------------------------------------
    Voila et là je sais pas koi faire apparament le virus est tjrs dans mon ordi!!!
    PS : je viens de formater mon ordi parc'qu'il y avé le sasser qui me harceler
    MERCI D'AVANCE!!!!!!!!!!!!!!!!!!!!!!!!!!!
    0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    telecharge ceci et utilise le
    garde cette fenetre ouverte cela te permettra de faire un copier coller des lignes ci dessous mis en gras pour les mettre dans killbox

    Pocket Kill Box :
    http://download.broadbandmedic.com/KillBox.exe

    -Ouvre le
    -Selectionne le fichier à supprimer,
    ou copier coller
    les fichiers si dessous

    clik sur la croix blanche
    reponds "oui"

    -Vide la corbeille.

    C:\WINDOWS\system32\update.exe
    C:\WINDOWS\system32\msdirectx.sys
    C:\WINDOWS\Temp\THI4940.tmp\localNrd.cab->polall1l.exe
    C:\WINDOWS\Temp\THI4883.tmp\twaintec.cab->polall1m.exe
    C:\WINDOWS\Temp\THI4883.tmp\polall1m.exe
    C:\WINDOWS\Temp\THI4DE5.tmp\twaintec.cab->polall1m.exe
    C:\WINDOWS\Temp\THI4DE5.tmp\polall1m.exe
    C:\Documents and Settings\isl\msdirectx.sys
    C:\Program Files\Winad Client\ClientCom.dll

    Submit dossier de backup supprime le c :submit

    fait aussi ceci
    tu click sur demarrer/panneaux de configuration/option internet
    une fenetre s ouvre tu click sur supprime les fichiers
    une nouvelle petite fenetre s ouvre tu coche effacer tous le contenu hors connection et click ok

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  19. Jean-Baptiste
     
    Bonjour a tous,

    J'ai moi aussi un problème avec ce fameux Trojan Horse et ça ne semble pas se ressoudre! J'ai AVG free qui reconnait le virus mais n'arrive pas à l'éliminer.

    J'ai tenté plusieurs démarches dont certaines de ce site mais sans succès.

    Voici donc les virus trouvés:
    Trojan horse back door.woot bot.V
    Trojan horse back door. SdBot57
    Trojan horse back door. SdBot60
    Trojan horse back door. SdBot62

    Un d'entre eux se trouve a windows/system32.msmsgs.exe

    Après retirer la restauration des propriétés (clique droit du poste de travail), je me suis connecté sur le site ravantivirus. Voici le rapport :

    Scan started at 17/10/2004 14:52:19

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Program Files\Winad Client\ClientCom.dll - TrojanDownloader:Win32/Winupdt.A -> Infected
    C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected

    Scanned
    ============================
    Objects: 33785
    Directories: 1945
    Archives: 5960
    Size(Kb): 1006000
    Infected files: 2

    Found
    ============================
    Viruses found: 2
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 46

    Merci de me venir en aide !!

    Jean-Baptiste
    0
  20. Utilisateur anonyme
     
    salut
    1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

    2. desactive ta restaraution (si ta le xp ) comme ceci :
    clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique

    3. affiche les fichier cacher comme ceci :
    clicker sur demarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Decocher masquer les extentions dont le type est connues

    4.ensuite va dans demarrer/rechercher et tape:
    ClientCom.dll
    autoclk.exe
    suprime les et vide ta corebeille

    refait un scan si tt va bien reactive la restauration et masque les fichiers caché en suivant le meme chemin

    @++++
    0
  • 1
  • 2
  • 3