Win32:Agent-EEW et une page intempestive (RESOLU)

alexandre32123 · le 14 février 2007

Bonjour, je suis nouveau ici et je vous demande de l'aide.

1. A chaque lancement de mon navigateur (avant browser), Avast me repere un trojan Win32:Agent-EEW [Trj]. Il se trouve dans le dossier temp. J'ai beau le nettoyer, mettre en 40aine le trojan, il revient a chaque redemarrage et lancement de ma connexion internet.

2. Par ailleurs, j'ai regulierement une page web qui s'ouvre sans que je lui demande avec toujours un site de recherche qui change parfois d'aspect. Le dernier en date est nomme best search. L'adresse est a chaque fois differente.

3. Enfin, j'ai aussi semble-t-il un faux positif que me signale avast depuis une tentative de scan en ligne avec panda. Le nom du trojan est win32 ctx. Meme remarque, chaque fois je le supprime et chaque fois il revient.

Je ne sais plus trop quoi faire et je fais donc appel a vous!

Merci d'avance!

Modifié le 19 février 2007 par alexandre32123

regis56 · le 14 février 2007

Bonsoir alexandre32123 !

- Télécharge HijackThis de Merijn sur ton bureau.

http://www.merijn.org/files/hijackthis.zip

- Génère un rapport en suivant ces indications :

- Double-clic sur hijackthis.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur leBloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

Aide : N'hésite pas à consulter l'aide HijackThis -

http://www.malekal.com/tutorial_HijackThis.html

Ensuite :

Télécharge AVG Anti-Spyware

Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
Redémarre ton ordi en mode Normal.

.

Je te fais passer un autre outil :

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

Prière de poster les rapports suivant dans ta prochaine réponse :

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

Bon courage, et @+

alexandre32123 · le 15 février 2007

Voila, j'ai fait tout ce que tu m'as dit:

J'espere que vous pourrez m'aider.

Voici par ailleurs l'adresse de pages qui s'ouvrent sans que je les demande:

http://thebest-results.com/search.php?q=ca...9175&saff=0

http://usafindanything.com/search.php?q=ex...9175&saff=0

Mais c'est pas toujours la meme... comment se debarraser de cette salete?

Merci

Rapport Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 08:51:46, on 15/02/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\WINDOWS\System32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\DOCUME~1\Olivier\LOCALS~1\Temp\30285\explorer.exe

C:\sj650\hpupdate.exe

C:\WINDOWS\EXPLORERI.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SpamPal\spampal.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Avant Browser\avant.exe

C:\Documents and Settings\Olivier\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: TMSN Class - {B72549CE-5644-4116-B8A4-A2B042321EC4} - C:\WINDOWS\Policies.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [_mzu_stonedrv3] c:\windows\system32\_mzu_stonedrv3.exe

O4 - HKLM\..\Run: [Explorer 2238] C:\DOCUME~1\Olivier\LOCALS~1\Temp\30285\explorer.exe

O4 - HKLM\..\Run: [_zlu_zlope04] c:\windows\system32\_zsk_zlu_zlope04cwr_tgawotlcmef_.exe

O4 - HKLM\..\Run: [hp Update 3300C] C:\sj650\hpupdate.exe 3300C+

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\RunServices: [_mzu_stonedrv3] c:\windows\system32\_mzu_stonedrv3.exe

O4 - HKLM\..\RunServices: [_zlu_zlope04] c:\windows\system32\_zsk_zlu_zlope04cwr_tgawotlcmef_.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AXVenore] "C:\Program Files\AXVenore\AXVenore.exe"

O4 - HKCU\..\Run: [_mzu_stonedrv3] c:\windows\system32\_mzu_stonedrv3.exe

O4 - HKCU\..\Run: [_zlu_zlope04] c:\windows\system32\_zsk_zlu_zlope04cwr_tgawotlcmef_.exe

O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant Browser\Search.htm

O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1164028899073

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{78000588-DCFE-41C8-B43A-F3E88206B71C}: NameServer = 85.255.114.23,85.255.112.220

O17 - HKLM\System\CCS\Services\Tcpip\..\{D79B7A68-2AF5-402F-9C47-07F55E2199DB}: NameServer = 85.255.114.23,85.255.112.220

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.23 85.255.112.220

O17 - HKLM\System\CS1\Services\Tcpip\..\{78000588-DCFE-41C8-B43A-F3E88206B71C}: NameServer = 85.255.114.23,85.255.112.220

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.23 85.255.112.220

O17 - HKLM\System\CS2\Services\Tcpip\..\{78000588-DCFE-41C8-B43A-F3E88206B71C}: NameServer = 85.255.114.23,85.255.112.220

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.23 85.255.112.220

O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\com1.xdo

O21 - SSODL: DCOM Server 2238 - {2C1CD3D7-86AC-4068-93BC-A02304BB2238} - C:\DOCUME~1\Olivier\LOCALS~1\Temp\30285\explorer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Rapport blacklight :

02/15/07 08:52:47 [info]: BlackLight Engine 1.0.55 initialized

02/15/07 08:52:47 [info]: OS: 5.1 build 2600 ()

02/15/07 08:52:47 [Note]: 7019 4

02/15/07 08:52:47 [Note]: 7005 0

02/15/07 08:53:00 [Note]: 7006 0

02/15/07 08:53:00 [Note]: 7011 1052

02/15/07 08:53:01 [Note]: 7026 0

02/15/07 08:53:06 [Note]: FSRAW library version 1.7.1021

02/15/07 08:54:39 [Note]: 2000 1012

02/15/07 08:54:55 [Note]: 7007 0

Rapport AVG:

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 10:12:06 15/02/2007

+ Résultat de l'analyse:

D:\System Volume Information\_restore{BB1B914F-52FC-4D07-99E8-943158869A52}\RP36\A0005710.exe -> Adware.BrowsePal : Ignoré.

D:\System Volume Information\_restore{BB1B914F-52FC-4D07-99E8-943158869A52}\RP35\A0003045.exe -> Dialer.Generic : Nettoyé et sauvegardé (mise en quarantaine).

D:\System Volume Information\_restore{BB1B914F-52FC-4D07-99E8-943158869A52}\RP35\A0003058.exe -> Dialer.Generic : Nettoyé et sauvegardé (mise en quarantaine).

D:\System Volume Information\_restore{BB1B914F-52FC-4D07-99E8-943158869A52}\RP35\A0003077.exe -> Dialer.Generic : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\dxvwaowd.exe -> Downloader.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\dxvwnmlt.exe -> Downloader.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\dxvwyedp.exe -> Downloader.Small : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

Modifié le 15 février 2007 par alexandre32123

alexandre32123 · le 15 février 2007

Voila, j'ai nettoye le pc en mode sans echec avec :

-Ad aware

-Spybot

-AVG

-Avast

Rien a signaler, tout est propre... et pourtant!

Et j'ai toujours le trojan Win32:Agent-EEW a chaque nouveau lancement de Avant Browser. Je le supprime. Plus de pb, jusqu'a ce que j'eteigne et rallume le pc: a nouveau Avast detecte le trojan au lancement de Avant. Toujours au meme endroit (dossier temp dans localsetting)

Voici mon dernier hijackthis log:

Logfile of HijackThis v1.99.1

Scan saved at 18:09:15, on 15/02/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\EXPLORERI.exe

C:\DOCUME~1\Olivier\LOCALS~1\Temp\30285\explorer.exe

C:\sj650\hpupdate.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\Program Files\SpamPal\spampal.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Avant Browser\avant.exe

C:\Documents and Settings\Olivier\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll