Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

[ Résolu ] Trojan horse Agent.CX

 

jsmik
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

[ Résolu ] Trojan horse Agent.CX

Prévenir les modérateurs en cas d'abus 
Dj-cristob​al
dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 07/09/2005 à 14:27:25  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut a tous, voila apres m'etre débarasser d'un trojan ya quelques jours, en voici un autre : Trojan horse Agent.CX il se trouve dans c:/windows/system32/orans.sys

 J'ai comme antivirus AVG Free Edition, Ewido security suite, spybot S&D, Microsoft antispyware, Regclean, Registry Vaccine, Ad-aware, et malgré tout ca j'ai des s.........prie.

 Donc c'est AVG qui me signale sa presence, il me demande ou bien de le supprimer, ou bien de le netoyer ou bien de le mettre en quarentaire, j'ai tout essayé il le fait mais orans.sys revien ilico dans le dossier, je pense que ce n'est pas la racine et que quelque chose je copie a chaque fois, j'ai essayé de voir dans Hijaskthis je ne voi rien de suspet, g démarré en mode sans echec (mais sans desactiver la restauration du systeme) je le supprime, il revien pas mais quand je demarre normalement, paf il revient.
 Dois je desactiver la restauration avant le mode sans echec, c'est peut etre du a sa que ca revient?
 Mon gestionnaire de tache ne s'affiche pas aussi, ya juste l'icone en bas a droite c'est tout.
 J'arrive pas la a ouvrir Hijackthis.
 Aidez moi SVP merci. :pleure:



dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 07/09/2005 à 14:52:29  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Apres redemarrage en mode sans echec et en desactivant la resauration du systeme et fait l'etape pour supprimer le fichier, je demare normal et rebelote, il revien et AVG me le detecte, sous ewido il porte le nom de Trojan.Rootkit.Agent.ae, a present j'arrive a ouvrir hijackthis, voici le rapport :
 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\WINDOWS\Explorer.EXE
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 C:\Program Files\MSI\BToes Bluetooth Software\bin\btwdins.exe
 C:\Program Files\ewido\security suite\ewidoctrl.exe
 C:\WINDOWS\System32\atiptaxx.e​xe
 C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe
 C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe
 C:\Program Files\Java\jre1.5.0_01\bin\jus​ched.exe
 C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
 C:\PROGRA~1\Wanadoo\CnxMon.exe
 C:\WINDOWS\System32\ctfmon.exe
 C:\Program Files\MSI\BToes Bluetooth Software\BTTray.exe
 C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
 C:\WINDOWS\System32\taskmgr.ex​e
 C:\Program Files\Wanadoo\EspaceWanadoo.ex​e
 C:\Program Files\Wanadoo\ComComp.exe
 C:\Program Files\Wanadoo\Watch.exe
 C:\Program Files\MSN Messenger\msnmsgr.exe
 C:\Program Files\Internet Explorer\IEXPLORE.EXE
 C:\WINDOWS\system32\cmd.exe
 C:\Documents and Settings\FAMILLE CARRIER\Bureau\HijackThis.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.google.fr/
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Local Page =
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Window Title = Wanadoo
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelpe​r.ocx
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.​dll
 O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
 O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgcc.exe /STARTUP
 O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgemc.exe
 O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.​exe
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe"  -osboot
 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jus​ched.exe
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
 O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
 O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
 O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
 O4 - HKLM\..\Run: [WOOKIT] C:\Program Files\Wanadoo\EspaceWanadoo.ex​e
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
 O4 - Global Startup: Adobe Gamma Loader.lnk = ?
 O4 - Global Startup: BTTray.lnk = ?
 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
 O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm
 O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4​460577F} - C:\Program Files\MSI\BToes Bluetooth Software\btsendto_ie.htm
 O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4​460577F} - C:\Program Files\MSI\BToes Bluetooth Software\btsendto_ie.htm
 O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284​D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105​AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/s [...] vSniff.cab
 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05C​B959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.ms [...] nPUpld.cab
 O16 - DPF: {644E432F-49D3-41A1-8DD5-E0991​62EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/s [...] /cabsa.cab
 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04​F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840 [...] scan53.cab
 O16 - DPF: {AE609930-A6EB-4A78-B7DA-B3200​705FEBD} (Mophun Control) - http://www.mophun.com/codebase/mophun.cab
 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0​A5519FF} (MsnMessengerSetupDownloadCont​rol Class) - http://messenger.msn.com/downl [...] loader.cab
 O16 - DPF: {C36112BF-2FA3-4694-8603-3B510​EA3B465} (Lycos File Upload Component) - http://f002.mail.caramail.lyco [...] loader.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{F38BD779-9BEE-472D-A2C3-3​E9A2F2C41AB}: NameServer = 80.10.246.1 80.10.246.132
 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305​202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.​dll" (file missing)
 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgamsvr.exe
 O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\a​vgupsvc.exe
 O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\MSI\BToes Bluetooth Software\bin\btwdins.exe
 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
 O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe (file missing)
 O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
 O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe
 O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe

 Wordpad c bizarre, il est pas ouvert, je comprends pas pk il é dans la liste

(Publicité)
nnopennn
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 07/09/2005 à 15:52:54  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
regarde dans le registre si les clé suivant s'y trouve :

 HKCU\Software\Microsoft\Window​s\CurrentVersion\Run
 Microsoft Internet Acceleration Utility
 <path to Trojan>
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Run
 Microsoft Internet Acceleration Utility
 <path to Trojan>

 HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings
 ProxyServer
 127.0.0.1:8080
 HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings
 ProxyOverride
 https://

 si elles y figure dis le ici!

dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 07/09/2005 à 17:52:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ba non ya aucune fichié, c'est grave? :/  

dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2005 à 13:55:57  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Upp les amis, il veux pas partir, j'en ai marre de voir "virus detected" sans arret, j'ai meme laisser le pc allumé a cause de lui, en plus qi je termine le processus de mon antivirus, ba tout se block, le gestionnaire s'affiche plus, je peu pas decompresser un fichier par ex, aidez moi SVPPPPPPPPp

(Publicité)
dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2005 à 14:21:45  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Regardez ca, je sais meme pas pk ca a fait ca, j'ai meme pas envoyé de courrier ! et ca l'a fait 2 fois la ! le processus du virus est til en cours?????
 http://img124.imageshack.us/im​g124/3100/sanstitre10oq.jpg
 http://img357.imageshack.us/im​g357/3882/sanstitre29wj.jpg

dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2005 à 18:53:41  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
puisque personn n'est venu a mojn aide, j'ai decidé d'agir seul, et donc j'ai fait un log de Hijackthis, et g bloquer wordpad.exe car dans le gestionnaire de tache je le voyai aparaitre et disparaitre rapidement, or je n'utilise pas word a ces moments la, donc je l'ai fixé, ensuite g j'ai une recherche sur une application nommé winproc.exe, et j'en ai conclu qu'elle etait nefaste, alors je l'ai bloqué sut hijackthis, il y été 3 fois, lorque je l'ai fixé, il m'a demandé de redémarrer le pc, alors g accepter, et quand il a redemarrer, il y a eu un dossier sur mon bureau alors qu'il été pas la auparavant nommé "backups" et a l'interieur il y a un fichier nommé "backup-20050909-152735-334" a l'heure ou j'ecris ce message (car ca fait 2h que j'ai fait cette manip) il y a a present 3 fichiers comme ca ! avec un munéro different, je sais meme pas qke ca fait la et j'ose pas le supprimer.
 Revenons donc au redemarrage, AVG a détécté un autre trojan dans system32 mais ct l'application de MSN, je l'ai mis en quarentaine, et ensuite il a detecté une clé aussi que j'ai mis en quarentaine.
 Apres ca je suis aller quand meme verifier si orans.sys etait tjs labas, et surprise il été la, alors je l'ai supprimé manuellement, il né pas revenu.
 Mais je crois que c'est pas fini car je vois encore de temps en temps des fenetres de AVG email scanner safficher et envoyant kelke chose ou scannant un mail alors que je n'envoi rien ! ca m'inquiete beaucoup.
 De plus, j'essai d'activer mon pare feu de XP, ca veut pas le faire et voici le message qu'il me met :
 http://img125.imageshack.us/im​g125/5042/sanstitre38my.jpg

 J'ai essayé par la suite d'utiliser word pour voir s'il été bloqué, mais il fonctionne bien, seule hic c que j'arrive pas a ouvrir un document pesant 1.52Mo ( un doc a moi)
 S'il vous plait aidez moi je m'inquiete grave la, j'ai peur qu'on me pompe des truc ou qu'on me fasse payer des truc a cause des mail scanné la, c pas normal. :pleure: Bo :pleure: n  :pleure:

nnopennn
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 09/09/2005 à 19:09:01  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
essaie de faire un scan online avec panda!

(Publicité)
dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2005 à 22:45:14  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ok ! voila skil me trouve !

 Incident                      Statut                        Analyse                                                                                                    Adware:Adware/MediaTickets    No Désinfecté                 C:\Program Files\Microsoft AntiSpyware\DeactivatedItems\B​00FFF1B-EE6B-4A10-9ED0-646F56.​asq                                                                                                    Dialer:Dialer.Gen             No Désinfecté                 C:\WINDOWS\switchagreement.txt                                                                                                    Virus:W32/Sdbot.ftp           Désinfecté                    C:\WINDOWS\system32\i                                                                                                    Adware:adware/hotoffers       No Désinfecté                 C:\WINDOWS\system32\popup_bl.d​ll                                                                                                    Spyware:Spyware/ShopNav       No Désinfecté                 C:\WINDOWS\unist2.exe

 un petit apercu :
 http://img323.imageshack.us/im​g323/623/rapport6ll.jpg

 Que dois je faire? aller la ou ca m'indique ou ils sont et les supprimer manuellement?
 Sinon pdt l'analyse AVG m'a detecté winproc.exe, je l'ai supprimé a nouveau et mem wordpad.exe ! tout ca dans system32 ! donc j'avais bien fait !

nnopennn
Sur la bonne voie (de 100 à 499 messages postés)
  1. Posté le 09/09/2005 à 22:51:05  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Donc tu dois avoir le chemin des infections, supprimes les fichiers manuellement en mode sans echec!

dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/09/2005 à 22:52:00  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ok ! mais pour les messages envoyé par AVG, tu n'a aucune idée?
 Et pour le dossier "backups" sur mon bureau?
 Merci pour ton aide

(Publicité)
dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 11/09/2005 à 14:49:54  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bon tout a l'air de bien marché a présent, sauf que j'ai toujours ce dossier "backups" dans mon bureau, que dois je faire avec? je peux le supprimer?

  1. homepage
noss
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 11/09/2005 à 16:38:04  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut DJ Cristobal  :hello:

 Les backups sont les fichiers de sauvegarde de Hijackthis qui te permettent de revenir en arrière au cas où.

 Crée toi un folder "Hijackthis" où tu y mettre Hijackthis et ses backups. Si tout fonctionne normalement au bout d'un certain temps, tu peux les effacer si tu veux.

dj-cristobal
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 11/09/2005 à 21:20:21  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ok c'est bon, merci a NNopenNN et a Noss pour votre aide, probleme résolu :youpi:

(Publicité)
 Page :
1

Aller à :
 

Sujets relatifs
trojan "ista...bar" ??? TROJ SWIZZOR [Résolu]
Adware.MediaPass [Résolu] message erreur (résolu)
Troyen Win32.Trojan.Agent.cs impossible à supprimer Pub aurora, suivi de pop up [Résolu]
Spyware/ISTBar [Résolu] adware.MediaPass [Résolu]
Impossible d'éradiquer les virus de type Adware [Résolu] erreur de chargement bridge.dll [Résolu]
Plus de sujets relatifs à : [ Résolu ] Trojan horse Agent.CX

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
trojan "ista...bar" ??? 9
blacklist 2
patch francais 1
[Windows Update 32] slsys.exe 1
Mise à jour Symantec 1