[RESOLU]Win32:Agent-AGKJ [Trj]

[Bongoman]

Salut à tous,

 

Avast vient de détecter un Win32:Agent-AGKJ qui refuse de partir gentiment en quarantaine et qui résiste un peu trop à mon goût quand je clique sur "supprimer"...

 

un petit scan d'Antivir révèle à 24% du scan un 2ème TR qui s'appelle TR/Dldr.swizzor1432347L sur lequel je ne trouve pas d'informations.

Apparemment non répertorié dans la base de données d'Avira non plus.

 

Est-ce que mon PC subit une double attaque sérieuse ou est-ce un petit rhume Dr Zebulon ?

 

merci d'avance

 

je poste un log :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:52:29, on 09/02/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS2\System32\smss.exe

C:\WINDOWS2\system32\winlogon.exe

C:\WINDOWS2\system32\services.exe

C:\WINDOWS2\system32\lsass.exe

C:\WINDOWS2\system32\svchost.exe

C:\WINDOWS2\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS2\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\AskBarDis\bar\bin\AskService.exe

C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\MagicTune Premium\MagicTuneEngine.exe

C:\WINDOWS2\system32\nvsvc32.exe

C:\WINDOWS2\system32\HPZipm12.exe

C:\WINDOWS2\system32\PnkBstrA.exe

C:\WINDOWS2\system32\PnkBstrB.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

C:\WINDOWS2\system32\svchost.exe

C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe

C:\WINDOWS2\Explorer.EXE

C:\WINDOWS2\system32\wbem\wmiapsrv.exe

C:\Program Files\MagicTune Premium\MagicTune.exe

C:\WINDOWS2\RTHDCPL.EXE

C:\WINDOWS2\SOUNDMAN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS2\system32\RUNDLL32.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\GIGABYTE\ET6\GUI.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE

C:\WINDOWS2\system32\ctfmon.exe

E:\Program files 2\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\Program Files\Java\jre6\bin\javaw.exe

C:\Program Files\iPod\bin\iPodService.exe

c:\program files\avira\antivir desktop\avcenter.exe

C:\Program Files\Avira\AntiVir Desktop\avscan.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS2\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS2\system32\dvmurl.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [EasyTuneVI] C:\Program Files\GIGABYTE\ET6\ETcall.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [iJNetworkScanUtility] C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS2\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: RocketDock.lnk = E:\Program files 2\Vista Inspirat 2\RocketDock\RocketDock.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS2\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flas...ent/swflash.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe

O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: MagicTuneEngine - Unknown owner - C:\Program Files\MagicTune Premium\MagicTuneEngine.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS2\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS2\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS2\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS2\system32\PnkBstrB.exe

O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

 

--

End of file - 9147 bytes

Modifié le 28 février 2010 par Bongoman

[nardino]

Bonsoir.

 

Télécharge Lop S&D (de Angeldark et Eric71) sur le Bureau.

Double-clique sur Lop S&D.exe pour lancer l'outil.

Clique sur Start scan.

A la fin du scan clique sur Delete checked.

 

Copie-colle le contenu de ce rapport dans ta réponse. (Il est sauvegardé à la racine de la partition système : C:\Windows\LopR.txt)

 

@+

[Bongoman]

Bonsoir Nardino,

 

Quand je lance Lop S&D, il y a 5 options :

1/ recherche

2/ suppression + hostq

3/ suppression - hosts

4/ lopscript

 

w/ whitelist

 

j'ai choisi l'option 1 (je n'ai pas vu de start scan).

voici la fin du rapport (sans le listing des progs installed) :

 

pas trouvé non plus l'option "Delete checked".

 

--------------------\\ Process

 

( 61 Processes )

 

... OK !

 

--------------------\\ Recherche avec S_Lop

 

Aucun fichier / dossier Lop trouvé !

 

--------------------\\ Recherche de Fichiers / Dossiers Lop

 

Aucun fichier / dossier Lop trouvé !

 

--------------------\\ Verification du Registre

 

..... OK !

 

--------------------\\ Verification du fichier Hosts

 

Fichier Hosts PROPRE

 

 

--------------------\\ Recherche de fichiers avec Catchme

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-09 19:58:46

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

? [21008]

? [26052]

? [32952]

? [35508]

? [33888]

scanning hidden files ...

scan completed successfully

hidden processes: 5

hidden files: 0

 

--------------------\\ Recherche d'autres infections

 

 

Aucune autre infection trouvée !

 

[F:16][D:7]-> C:\DOCUME~1\XPPRO\LOCALS~1\Temp

[F:9][D:0]-> C:\DOCUME~1\XPPRO\Cookies

[F:12][D:4]-> C:\DOCUME~1\XPPRO\LOCALS~1\TEMPOR~1\content.IE5

 

1 - "C:\Lop SD\LopR_1.txt" - 09/02/2010|19:45 - Option : [2]

2 - "C:\Lop SD\LopR_2.txt" - 09/02/2010|20:00 - Option : [1]

 

--------------------\\ Fin du rapport a 20:00:24

[nardino]

Bonsoir.

 

Télécharge Malwarebytes Anti-Malware de RubbeR DuckY

A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée. Clique sur "Terminer"

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.

Au premier lancement, une fenêtre t'annonce que la version est Free, clique sur OK.

Laisse les Mises à jour se télécharger.

 

Lance Malwarebytes Anti-Malware.

Dans l'onglet "Recherche", coche Exécuter un examen complet et Rechercher.

Sélectionne ton disque dur et clique sur Lancer l'examen.

 

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection.

Poste le rapport qui s'ouvre après cette suppression.

Redémarre le pc.

Il se trouve dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

@+

[Bongoman]

Bonsoir,

 

ok Malwarebytes a trouvé 4 fichiers infectés.

ça a l'air pas mal cet outil. merci,

voici le rapport.

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3722

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

11/02/2010 02:13:55

mbam-log-2010-02-11 (02-13-55).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)

Eléments examinés: 227615

Temps écoulé: 1 hour(s), 14 minute(s), 54 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl\1 (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS2\system32\iexpress.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

F:\Logiciels\keygen\Sony.Soundforge.8.Inc.Keygen\SF8.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

 

j'ai aussi vidé la quarantaine d'Avast..

 

Bongoman

[nardino]

Bonjour

 

Si tu as choppé un rhum, voici la fenêtre qui est restée ouverte et donc en cause : F:\Logiciels\keygen\Sony.Soundforge.8.Inc.Keygen\SF8.exe

Par ailleurs ta version de Windows est "exotique".

Il n'y a pas lieu de vider la quarantaine d'un antivirus trop rapidement en cas de faux-positif.

Un fichier qui est dans cette zone est inoffensif mais une fois supprimé s'il ne fallait pas devient un peu plus compliqué à récupérer.

As-tu encore des alertes lors du scan Avast ?

Fais un scan avec Antivir mis à jour en mode sdans échec.

@+

[Bongoman]

Bonsoir,

 

En effet j'ai supprimé ce logiciel Sound forge, comprenant un .exe discutable.

J'ai eu une mise à jour vers le nouveau Avast Free edition et me suis aperçu que le programme faisait 5G sur le disque...

Indépendamment de ça, il me semblait qu'Avast ralentissait un peu mon système, je pense ne garder qu'Antivir comme anti-virus.

Auriez-vous des conseils sur un éventuel 2ème anti-virus qui serait commpatible avec Avira ?

 

A priori plus d'alertes sinon ça va.

 

Par ailleurs ta version de Windows est "exotique"

Windows XP allégé 0% matière grasse oui

J'ai un double boot Windows/Kubuntu.

 

Je fais un scan antivir, merci en tout les cas !

 

Bong

[nardino]

Bonsoir.

C'est une hérésie d'avoir deux antivirus actifs en même temps.

Tout comme laisser reposer sa sécurité sur l'antivirus seulement.

Une pratique saine de l'usage de son ordinateur, en évitant les logiciels crackés, le recours aux keyen est toute aussi importante.

La gratuité n'existe pas sur Internet.

Un antivirus, un pare-feu, un navigateur sécurisé, des logiciels mis à jour régulièrement ainsi que le système, un surf responsable sont les bases d'une utilisation correcte d'un pc.

@+

[Bongoman]

Bonsoir.

merci pour les conseils,

 

Il se trouve qu'Antivir détecte à nouveau un fichier "MS32DLL.dll.vbs" qui se crée sur plusieurs de mes partitions.

Les options suppr", refuser l'accès ou mise en quarantaine" n'ont pas l'air de faire effet.

 

J'ai beau supprimé ce truc à la main, il est détecté à nouveau 5 min après..

Si vous avez une solution,

s'agit-il d'un faux positif ?

 

merci d'avance.

[nardino]

Bonsoir

Télécharge et installe UsbFix :

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

 

Branche tes clé USB, disque dur externe, etc., susceptibles d’avoir été infectés sans les ouvrir.

 

Double clique sur l'icône UsbFix sur le bureau

Clic droit sur l'icône UsbFix sur ton bureau pour lancer l'outil.

Choisis l’option 1

A la fin du scan, poste le rapport UsbFix.txt qui va s'ouvrir.

Il sera enregistré ici : C:\UsbFix.txt

 

Remarque.

"Process.exe", un composant de l’outil, est détecté par certains antivirus comme étant un RiskTool.

Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus.

Cet utilitaire pourrait arrêter des logiciels de sécurité d’où l’alerte émise par ces antivirus.

 

@+