[résolu] infection trojan agent

[MIG3]

bonjour a tous et merci d'avance

 

je vais essayer d'etre clair et rapide

 

hier a l'occasion d'un scan de routine avec mbam ( je précise le pc marche tres bien)

 

il me trouve 4 fichiers infectés (je joins le rapport) , il n'arrive pas a les supprimer en mode normal et en mode sans echec il ne les detecte pas comme nuisible

 

déja ça g pas compris

 

j'ai fait un scan avec antivir IL NE TROUVE RIEN !!

 

spyware terminator itou

 

scan en ligne pareil

 

scan hijackthis me semble normal je l'ai passé avec zhp y a rien d'anormal je le joins quand meme

 

ces 4 dossiers sont a la racine de C (pas dur a trouver!) et font tous 0 octet mais contiennent tous un fichier nommé con.repertoire vaccin je suis completement largué

nom des dossiers: autorun .inf

copy.exe

host.exe

ntdelect.com

 

ils ont tous été crées le 24 avril je fais des scans toutes les semaines et meme mbam ne les avais pas vu jusqu'ici

 

je ne peux pas les supprimer manuellement message: impossible de supprimer con.repertoire vaccin le fichier est

introuvable verifiez que le chemin de fichier est correct etc...

 

le rapport mbam

 

Malwarebytes' Anti-Malware 1.37

Version de la base de données: 2195

Windows 5.1.2600 Service Pack 3

 

31/05/2009 07:33:55

mbam-log-2009-05-31 (07-33-41).txt

 

Type de recherche: Examen rapide

Eléments examinés: 97567

Temps écoulé: 3 minute(s), 25 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\autorun.inf (Trojan.Agent) -> No action taken.

C:\copy.exe (Trojan.Agent) -> No action taken.

C:\host.exe (Trojan.Agent) -> No action taken.

C:\ntdelect.com (Trojan.Agent) -> No action taken.

 

le rapport hijack

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:40:08, on 31/05/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\PROGRA~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\PCHButton.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/bin/frame.cgi?servic...adoo/inbox.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [spywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\PCHButton.exe

O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/...031/CTSUEng.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130356553000

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/...15035/CTPID.cab

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: Blue Coat K9 Web Protection (WebFilter) - Unknown owner - C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe

 

--

End of file - 5955 bytes

 

merci d'avance a ceux qui se pencheront sur le blem

bon dimanche a tous

[armor29]

Désolé....je ne savais pas!!!!!

Y a t'-il une formation a suivre?

 

Merci.

Modifié le 31 mai 2009 par armor29

[Gof]

Bonjour tous les deux

 

@ armor29 : je t'invite à consulter le sujet relatif au fonctionnement de la section ici. Les membres ne faisant pas partie de l'Equipe secu ne peuvent intervenir sur les sujets de désinfection, ceci afin d'éviter tout dommage inconsidéré par des membres qui ne sauraient pas ce qu'ils font faire.

 

@ MIG3

Rien d'alarmant visiblement. Il s'agit de répertoires vaccins pour te prémunir des infections par supports amovibles. Plusieurs solutions s'offrent à toi :

• Mettre ces détections en "exception", de sorte que MBAM les ignore.
  
• Supprimer ces répertoires avec l'outil suivant ici, mais tu ne seras plus prôtégé par le vaccin, et tes supports non plus.
  

[MIG3]

Bonjour tous les deux

 

@ armor29 : je t'invite à consulter le sujet relatif au fonctionnement de la section ici. Les membres ne faisant pas partie de l'Equipe secu ne peuvent intervenir sur les sujets de désinfection, ceci afin d'éviter tout dommage inconsidéré par des membres qui ne sauraient pas ce qu'ils font faire.

 

@ MIG3

Rien d'alarmant visiblement. Il s'agit de répertoires vaccins pour te prémunir des infections par supports amovibles. Plusieurs solutions s'offrent à toi :

• Mettre ces détections en "exception", de sorte que MBAM les ignore.
  
• Supprimer ces répertoires avec l'outil suivant ici, mais tu ne seras plus prôtégé par le vaccin, et tes supports non plus.
  

 

salut gof et merci de ta réponse

 

maintenant j'y vois plus clair et honte a moi mais je me souviens maintenant avoir installé un soft pour protéger

des infections par support externe ( mais je ne me souviens plus lequel) et ça doit être ça qui a crée ces 4 dossiers

donc je les laisse et je ne touche plus a rien

 

encore merci pour ta réponse et pour le temps que vous accordez aux boulets comme moi

[Gof]

Ce soft, c'est le vaccinUSB présenté dans ce sujet : Infections par supports amovibles ou encore ici.

 

Suite à ton sujet, j'ai indiqué cette détection ici. C'est moi qui te remercie d'avoir attiré mon attention là dessus.

 

Bon surf

[MIG3]

Ce soft, c'est le vaccinUSB présenté dans ce sujet : Infections par supports amovibles ou encore ici.

 

Suite à ton sujet, j'ai indiqué cette détection ici. C'est moi qui te remercie d'avoir attiré mon attention là dessus.

 

Bon surf

effectivement je me souviens avoir lu ton post (passionant) et suivi les conseils (toujours suivre les conseils zebulon)

mais j'avais zappé le fait que ça pouvait provoquer des faux positifs

en plus c'est souvent antivir le plus sensible comme quoi mbam est pas mal non plus

 

en tout cas bravo encore pour tout votre boulot,sans vous y en a pas mal qui resterait dans la merde ( souvent ils s'y sont mis tout seul )

 

bonne soirée a tous

 

ps: je ne sais toujours pas mettre un sujet en résolu si quelqu'un peut le faire...

[Gof]

ps: je ne sais toujours pas mettre un sujet en résolu si quelqu'un peut le faire...

Je l'ai mis

 

mais j'avais zappé le fait que ça pouvait provoquer des faux positifs

Ce n'est que tout récent ces faux-positifs, suite à une mise à jour. On a remonté le souci aux développeurs MBAM, on verra s'ils veulent/peuvent en tenir compte. Pour l'instant, pas le choix : les mettre en exclusion pour qu'ils ne soient pas analysés, ou les supprimer.