Trojan trouvé par A2free sur "winlogon" (résolu)

Après une grosse màj du 19/12/05 A2 free trouve "Trojan.Win32.Agent.ha" sur:
C:\WINDOWS\SYSTEM32\DLLCACHE\winlogon.exe et sur
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
Après renseignements winlogon.exe est un processus indispensable à l'ouverture et à la fermeture des sessions;
Aucun des autres scans ne trouvent rien (spybot,adaware, ewido, spyware doctor, panda en ligne, mcafee "maison"). J'ai le souvenir d'un faux positif vers le 20 septembre dernier du même style...
J'ai efface ls 2 objets: résultat : écran bleu "erreur irrécupérable" et jai été obligé d'eteindre la machine avec le bouton!
Nouveau scan : il ne reste que la seconde ligne
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
Dois je la supprimer avec le risque de ne pouvoir encore eteindre qu'en "force"??
Je joins le rapport HijackThis par prudence:Logfile of HijackThis v1.99.1
Scan saved at 06:39:29, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\McAfee.com\VSO\mcvsshld.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\Program Files\McAfee.com\VSO\oasclnt.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~2\MpfTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Skype\Phone\Skype.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~2\MpfService.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\McAfee.com\PERSON~2\MpfAgent.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\a2 Free\a2start.exe
C:\Program Files\a2 Free\a2scan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~2\MpfTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [LDM] \Program\
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://www.amiuptodate.com/vsc/bin/1,0,0,8/McUpdatePortal.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/wi(...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housec(...)
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://84.96.27.199/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AE4496A-D65C-4730-92FB-E42CE1C2DF23}: NameServer = 80.118.192.110 80.118.196.40
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~2\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe

Qu'en pensez-vous? Vrai problème? Ou Faux positif?
Merci

bonjour
effectivement il y eu un bug a2,corriger rapidement par emsisoft,et celui là tout
le monde l'a eu.
pour aujourd'hui,attends de voir venir,à la limite,en attendant restaure le premier fichier.là j'ai fait la maj et scanne...te tiens au courant.
pour le hijack navré,pas specialiste,mais d'autres te repondront.

Bonjour et merci de ton conseil. Par contre je ne vois pas comment restaurer une sauvegarde sur A2? Où se trouve-telle? Par contre, fait important, Windows 5XP home) s'ouvre et se ferme sans souçis et tout à l'air de bien marcher..

nous sommes deja 2 au club:

a² Report
Nom du fichier Diagnostic
C:\WINDOWS\ServicePackFiles\i386\winlogon.exe Trojan.Win32.Agent.ha
C:\WINDOWS\system32\dllcache\winlogon.exe Trojan.Win32.Agent.ha
C:\WINDOWS\system32\winlogon.exe Trojan.Win32.Agent.ha

j'ai envoyer ce rapport à asquared par la fonction enregistrer.
attendons le gros de la troupe,car m'est avis que nous ne serons pas les seuls.

Merci d'avoir fait ce scan: ton "malheur" me rassure tout à fait...La première ligne je l'avais eu aussi et virée dans un premier scan interrompu. J'en ai refais un autre qui m'a trouvé les 2 autres lignes: il semble vraiment s'agir d'un bug chez eux...A plus...

Salut,

J'ai exactement le même phénomène.
Analyse avec A2 free, et il me trouve 2 Trojans Win.32.Agent.ha sur:

C:\WINDOWS\Servicepackfiles\i386\winlogon.exe
C:\WINDOWS\SYSTEME32\winlogon.exe

Les autres rapports d'analyses ne signalent rien de suspect...

Nos souçis COLLECTIFS semblent vraiment confirmer le "faux positif". Merci et attendons la prochaine MAJ qui réparera cela. Bonne journée.

nouvelle maj a2 à l'instant ,scannons et on verra bien.

ca y'est c'est fait: même trucs même endroits.
sur d'autres forums,idem,...autant attendre une rectif de emsisoft,la derniere fois ca été rapide.
il serait bon que tout ceux qui ont ce bleme envoyent le rapport à a-squared.

salut

méme chose , grosse mise a jour de A2 free tout a l'heure , il ma trouver pas mal de truc ,ne soyant pas en connaissance de cause ,j'ai tout supprimmer, j'ai refait une analyse et il me trouve toujours ,le fichier C:\WINDOWS\SYSTEME32\winlogon.exe , identifier comme le trojan win32 Agent.ha
aprés recherche sur internet ,winlogon.exe et bien un processus vital de windows qui ne peut étre identifié ni comme un spyware, trojan ou virus.

donc en attente

RE

j'ai été jeter un coup d'oeil sur le forum du site de emisoft , et la aussi il y des personne qui ont exactement les mémes problémes et les mémes rapports a2 free

GRRRRRRRRRRRR

il vient d'y a voir une nouvelle mise a jour de A2 , mais il y toujours ce de probléme de winlogon

Même chose pour moi, et, j'imagine, pour tout le monde. Il leur faut sans doute plus de quelques heures pour rectifier le tir..Je pense, mais ai-je raison, qu'il n'y a pas lieu de s'inquieter car, chez moi, TOUS les autres scan sont nickel. Patientons. Bonne soirée.

D'accord

Mais sa leur arracheraient la téte au gars de Emisoft, d'envoyer un mail a tout les inscrits pour les prevenir et s'excuser

a2free est un super outil,de plus gratuit,peu d'outils font le même travail que lui.alors on ne va pas le descendre en flammes pour un faux positif qu'il va surement remettre à jour trés vite.
pas un av ou as qui ne fassent un jour de l'exces de zele.on l'a vu bien souvent.
et n'oublions pas qu'il a rendu bien des services à tant de personnes en galere.
avec des malwares et autres trojans.
ne jetons pas le bébé avec l'eau du bain...

J'ai été sur le site a2 et aucune information sur ce problème ! Il y a eu ce matin une nouvelle mise à jour et le trojan est toujours là !!!

Emisoft A2 free vient de re-proposer mes 2 MàJ du 18/12 et 19/12 mais très probablement CORRIGEES car après un scan en ce qui me concerne, le problème est RESOLU!!! J'attends quelques confirmations pour noter le sujet "résolu". Merci à tous de votre coopération.

maj faite,même resultat ...tout est dans l'ordre.
superbe reaction de leur equipe : chapeau.

Après de nouvelles mises à jour tout est OK ! Le problème chez moi aussi est résolu merci à tous pour les infos !

Ils délirent un peu chez Emisoft A2 free: là ils viennent de renvoyer une bonne dizaine de mises à jour anciennes...Mais heureusement ça n'a rien changé: tout rest OK. Fin de l'épisode..