Assiste.Forums

[pierre]

Bonjour
Reçu en PV

bonjour

debutant en informatique je viens de m apercevoir par accident que je suis "verole" par un malware qui repond au doux nom de:cabms.dll ou plus probablement win32.agent.cs

il s agit ses deux expressions qui me sont donnes par a-squared que j ai telecharge en version d essai

ce dernier le decouvre a chaque scan me dit qu il le supprime ,hors il n en n'est rien

a chaque nv scan la bestiole revient

je suis alle sur le forum du produit mais les solutions proposees sont tres au dessus de mes capacites informatiques(fouiller dans le registre...)

de plus le forum est en anglais;langue que je maitrise mal et c est un euphemisme...

je me permets donc de vous demander un conseil si vous avez le temps

auriez vous d autres lgiciels de ce type a me conseiller

je sais que c est probablement indique sur votre site mais j avoue ne plus rien comprendre entre les logiciels anti malware;anti chevalde troie,anti spyware(j ai installe les 2 plus connus gratuits qui ne trouvent rien)antivirus(j ai norton qui lui non plus ne decouvre pas la bete malfaisante)

en esperant recevoir un message de vous

cordialement

thierry

[césar]

salut,

il a l'air coriace, d'après ce que j'ai vu sur google.
un log hijack this, pour commencer (tous renseignements dans le forum hijack this) et puis on verra après.

[nickW]

Bonsoir,

Préalablement à l'envoi d'un log HijackThis, tu devrais appliquer les recommandations de la page ci-dessous
http://assiste.com.free.fr/p/internet_u ... ec_hjt.php

Salut,

[Vazkor]

Bonjour,

Ce Win32.Agent.cs semble bien être une vraie saloperie!
Notre ami ipl_001 s'occupe d'un cas semblable sur Zebulon.fr
comment faire pour se débarraser de ce virus, Trojan.Win32.Agent.cs
http://forum.zebulon.fr/index.php?showtopic=64700&st=0

Problème toujours pas résolu actuellement. A suivre...

Sur Clubic,
http://forum.clubic.com/forum2.php?conf ... &subcat=52
Runestaff conseille d'utiliser VirIT. Message du 17/04/2005
http://www.virit.com/startup/scheda.asp?num=959
Téléchargement: http://www.tgsoft.it/files/vnlt5211.exe

Il n'y a pas de suivi. Le problème aurait-il été résolu?

@+

[pierre]

Bonjour,

Pourquoi ne pas tenter d'installer PrevX, par exemple, avec ce genre d'attaque, avant une tentative de décontamination puis décontaminer et voir comment réagit PrevX ?
Pourquoi ne pas regarder le contenu de la clé AppInit_DLLs ?

Cordialement

[pierre]

Bonjour,

Je viens de dépanner quelqu'un, en MP, infesté par Trojan.Agent.CS

Voici quelques notes que j'avais pris, en vrac, sur cette cochonerie, durant ma tentative de dépannage

Configuration compromise :
WINDOWS XP édition familiale, anti-virus BitDefender
Infecté par Trojan.Agent.CS
Le fichier suivant est affecté : c:WINDOWS\inf\imgkb.dl .

Alors ! Pas de pare-feu ?
Durée de survie sur Internet, sans pare-feu, estimée à moins de 4 minutes.

Je suppose que tu as fais une faute de frappe et que le fichier affecté est : c:WINDOWS\inf\imgkb.dll

Alias pour les recherches (selon analyse du 23 avril 2005)
AntiVir 6.30.0.7 04.22.2005 TR/Agent.CS
AVG 718 04.21.2005 Agent.U
BitDefender 7.0 04.23.2005 no virus found
ClamAV devel-20050307 04.22.2005 no virus found
DrWeb 4.32b 04.22.2005 Trojan.Virtumod
eTrust-Iris 7.1.194.0 04.23.2005 Win32/Vundo.AD!DLL!Trojan
eTrust-Vet 11.7.0.0 04.22.2005 Win32.Vundo.AD
Fortinet 2.51 04.23.2005 W32/Agent.FZ-tr
F-Prot 3.16b 04.22.2005 no virus found
Ikarus 2.32 04.22.2005 Trojan.Win32.Agent.CS
Kaspersky 4.0.2.24 04.23.2005 Trojan.Win32.Agent.cs
McAfee 4475 04.22.2005 Generic BackDoor.d
NOD32v2 1.1075 04.23.2005 Win32/Agent.CS
Norman 5.70.10 04.20.2005 no virus found
Panda 8.02.00 04.22.2005 no virus found
Sybari 7.5.1314 04.23.2005 Win32.Vundo.AD
Symantec 8.0 04.22.2005 no virus found
VBA32 3.10.3 04.22.2005 Trojan.Win32.Agent.cs


Autres alias depuis le 23 avril 2005

• Trojan.Agent.CS (Bit Defender)
  Aucune documentation
  
• Troj/Agent-CS (Sophos)
  Troj/Agent-CS is a password-stealing Trojan.
  Troj/Agent-CS attempts to steal passwords from Microsoft Internet Explorer sessions.
  The Trojan arrives as an executable that drops the main Trojan DLL to the Windows system folder as MSVCRTA.DLL and sets the following registry entry to reference it so that this DLL runs automatically:
  HKCR\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
  The DLL runs continually in the background, attempting to steal passwords from Microsoft Internet Explorer sessions.
  http://www.sophos.com/virusinfo/analyse ... entcs.html
  
  
• Recherche Google - Trojan Agent.CS
  http://www.google.fr/search?num=100&hl= ... cher&meta=
  327 réponses
  
• Trojan.Win32.Agent.cs
  Serait une variante de
  http://securityresponse.symantec.com/av ... vundo.html
  fonctionnelle malgré application du patch Microsoft Security Bulletin MS04-040
  
  
• Selon une encyclopédie :
  http://www.enciclopediavirus.com/virus/ ... hp?id=1912
  Autres alias
  Agent.CS, Agent.U, TR/Agent.CS, Trj/Agent.OU, Troj/Agent-DJ, TROJ_AGENT.FZ, Trojan.Virtumod, Trojan.Win32.Agent.cs, Win32.Vundo.AD, Win32.Vundo.AD, Win32/Agent.CS, Troj/Agent.CS
  CARACTERISTICAS
  Se integra al Internet Explorer como un objeto del tipo BHO, de modo que sus comunicaciones con el sitio que lo crea, no son interceptadas por el cortafuegos al ejecutarse como parte del propio navegador.
  
  Cuando el troyano se ejecuta, crea la siguiente copia de si mismo:
  C:\Windows\[ruta y nombre al azar].dll
  Donde [ruta y nombre al azar] puede(n) ser otra(s) carpeta(s) dentro de Windows, con nombres al azar, como también será al azar el nombre del ".DLL"
  De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
  Crea las siguientes entradas en el registro de Windows:
  
  HKLM\SOFTWARE\Microsoft\Windows NT
  \CurrentVersion\Winlogon\Notify\[nombre]
  DllName = c:\windows\[ruta y nombre al azar].dll
  
  HKLM\SOFTWARE\Microsoft\Windows NT
  \CurrentVersion\Winlogon\Notify\[nombre]
  Startup = SysLogon
  
  HKLM\SOFTWARE\Microsoft\Windows NT
  \CurrentVersion\Winlogon\Notify\[nombre]
  Logoff
  
  HKLM\SOFTWARE\Classes\MSEvents.MSEvents
  
  HKLM\SOFTWARE\Classes\CLSID
  \{B8B55274-0F9A-41E5-9067-A3539BD9E860}
  
  Donde [nombre] es el nombre aleatorio del archivo del malware.
  
  Su funcionamiento compromete la seguridad y el rendimiento general de la navegación.
  
  > INSTRUCCIONES PARA ELIMINARLO
  
  
  Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:
  
  http://www.nod32.it/cgi-bin/mapdl.pl?tool=AgentCS
  
  Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:
  
  1. Desactive la restauración automática en Windows XP/ME.
  
  2. Reinicie en Modo a prueba de fallos.
  
  3. Ejecute un antivirus actualizado y tome nota de los los archivos infectados antes de eliminarlos.
  
  4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
  
  5. Busque la siguiente clave del registro:
  
  HKLM\SOFTWARE\Microsoft\Windows NT
  \CurrentVersion\Winlogon\Notify
  
  6. Elimine cualquier clave que coincida con alguno de los nombres anotados en el paso 3.
  
  7. Busque la siguiente clave del registro:
  
  HKLM\SOFTWARE\Classes\MSEvents.MSEvents
  
  8. Elimine la siguiente clave:
  
  MSEvents.MSEvents
  
  9. Busque la siguiente clave del registro:
  
  HKLM\SOFTWARE\Classes\CLSID
  \{B8B55274-0F9A-41E5-9067-A3539BD9E860}
  
  10. Elimine la siguiente clave:
  
  {B8B55274-0F9A-41E5-9067-A3539BD9E860}
  
  11. Cierre el editor del Registro del sistema.
  
  12. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

Recherches sur Secunia le 12.05.05 avec les alias trouvés


• TR/Agent.CS (Antivir)
  Inconnu
  
• Agent.U (AVG) – Semble ne rien avoir à faire avec Trojan.Agent.CS
  http://secunia.com/virus_information/9302/
  http://www.sophos.com/virusinfo/analyse ... gentu.html
  
• Trojan.Agent.CS (Bit Defender)
  Inconnu
  Notons qu’une recherche sur le site de BitDefender sur Trojan.Agent.CS ne donne rien !!!
  
• Trojan.Virtumod (DrWeb)
  Inconnu
  
• Win32/Vundo.AD!DLL!Trojan (e-Trust-Iris)
  Inconnu
  Des recherches sur des troncations de ce nom aboutissent avec Vundo
  Semble ne pas du tout être en rapport avec Trojan.Agent.CS
  http://secunia.com/virus_information/13514/
  http://secunia.com/virus_information/17578/
  http://secunia.com/virus_information/13352/
  http://secunia.com/virus_information/11444/
  http://secunia.com/virus_information/11460/
  http://www.sophos.com/virusinfo/analyse ... tspya.html
  
• Win32.Vundo.AD (eTrust-Vet)
  Inconnu
  
• W32/Agent.FZ-tr (Fortinet)
  Inconnu
  
• Trojan.Win32.Agent.CS (Ikarus)
  Inconnu
  
• Trojan.Win32.Agent.cs
  inconnu
  
• Trojan.Win32.Agent.cs (Kaspersky)
  Inconnu
  
• Generic BackDoor.d (MacAfee)
  Ce n’est pas un problème « générique ».
  
• Win32/Agent.CS (NOD32)
  Inconnu
  
• Win32.Vundo.AD (Sibari)
  Inconnu
  
• Trojan.Win32.Agent.cs (VBA32)
  Inconnu

Les utilitaires standards :

A²
Sur sa page
http://www.emsisoft.net/fr/support/malw ... re=updates
A² prétend éliminer Trojan.Win32.Agent.cs

Les méthodes qui auraient donné des résultats :

Méthode 1
Rechercher, dans la base de registre, toutes les clés contenant le nom de la dll incriminée (ici, imgkb.dll ). Détruire ces clés. Eteindre l’ordinateur avec violence et préméditation (couper le courant ou appuyer sur le bouton « reset » sur la face avant de l’ordinateur, sans passer par la procédure d’arrêt du système, sinon le parasite se reproduit). Terminer le nettoyage (détruire les fichiers, rechercher d’autres clés avec Ccleaner ou RegCleaner etc. …
http://assiste.com.free.fr/p/internet_u ... leaner.php
http://assiste.com.free.fr/p/internet_u ... leaner.php

Méthode 2
Dans cette méthode, un log HijackThis préalable a fait ressortir ces 2 lignes
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\repair\waveweb.dll
O20 - Winlogon Notify: waveweb - C:\WINDOWS\repair\waveweb.dll

Télécharger les outils suivants:

procexp
http://www.sysinternals.com/files/procexpnt.zip
Le dézipper dans un dossier dédié.

KillBox
http://www.downloads.subratam.org/KillBox.zip
http://www.bleepingcomputer.com/fi [...] illBox.zip

Démarre en mode sans échec:

http://service1.symantec.com/SUPPO [...] 5112131924

Lancer procexp

Sur la fenêtre d'en haut

1 Doublecliquer sur winlogon.exe: > Dans la fenêtre qui s'ouvre> Onglets> Threads >repérer les dll aléatoires(waveweb.dll ) et cliquer sur "Kill",faire la meme chose pour les fichiers .ini, .bak qui portent le même nom ou un nom inversé.
cliquer sur OK

2 Faire la meme chose avec explorer.exe> Dans la fenêtre qui s'ouvre> Onglets > Threads> repérer les dll aléatoires(waveweb.dll) et cliquer sur "Kill",faire la meme chose pour les fichiers .ini, .bak qui portent le même nom ou un nom inversé.
cliquer sur OK

Lancer Hijackthis,scanner cocher et fixer les lignes incriminées:

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\repair\waveweb.dll
O20 - Winlogon Notify: waveweb - C:\WINDOWS\repair\waveweb.dll

Ouvrir le Bloc-notes et copier-coller les lignes entre --- ci-dessous (y compris la ligne vide à la fin) :
--------------------
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

[-HKEY_CLASSES_ROOT\CLSID\{581F22DA-7202-4F21-AEF3-114787156016}]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

--------------------

Enregistrer le fichier sur le bureau (Nom du fichier : "nom du trojan.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).
Fermer Internet explorer.
Double-cliquer sur nom du trojan.reg et cliquer sur Oui lorsqu'on demande confirmation pour Fusionner.
Au message du bon déroulement, supprimer le fichier nom du trojan.reg

Utiliser KillBox pour supprimer les fichiers incriminés (entrer le chemin complet)

C:\WINDOWS\repair\waveweb.dll

Redémarrer normalement et poster un log pour verification


Méthode 3
Télécharger, décompresser et exécuter
http://www.nod32.it/cgi-bin/mapdl.pl?tool=AgentCS

_____________________________________________________

Tu vas faire ces manipulations, dans cet ordre

Télécharger et exécuter
http://www.nod32.it/cgi-bin/mapdl.pl?tool=AgentCS

Procédure proposée par http://assiste.free.fr

Ce préalable à toute décontamination est générique - 1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable.

1. Désactivez les points de restauration du système
   Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
   http://assiste.com.free.fr/p/comment/ac ... ration.php
   
   
2. Réglez votre antivirus et votre anti-trojans au maximum
   http://assiste.com.free.fr/p/comment/an ... aximum.php
   
   
3. Exécutez CWShredder
   Si vous ne l'avez pas déjà téléchargé, allez le chercher
   
   http://assiste.com.free.fr/p/internet_u ... redder.php
   
   
4. Faites une sauvegarde de la base de registre
   http://assiste.com.free.fr/p/comment/sa ... gistre.php
   
   
   
5. Révélez tous les fichiers et répertoires cachés
   http://assiste.com.free.fr/p/comment/vo ... caches.php
   
   
6. Videz complètement tous les caches et fichiers temporaires.
   Utilisez CCleaner (gratuit)
   http://assiste.com.free.fr/p/internet_u ... leaner.php
   Si son utilisation est impossible actuellement :
   
   
   • videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
     C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
     C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
     C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
     C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\
     
   • Vider Temp
     
     • Si vous êtes sous Windows 95/98/Me/XP, videz
       C:\Windows\Temp\
       
     • Si vous êtes sous Windows NT/2000, videz
       C:\Winnt\Temp\
   
   
7. Détruisez tous les cookies inconnus ou inutiles
   Utilisez SpyBot Search & Destroy (gratuit)
   http://assiste.com.free.fr/p/internet_u ... estroy.php
   
   
8. Videz la corbeille (y compris si elle est protégée par Norton)
   Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
   
   
9. Fermez absolument toutes les fenêtres
   dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
   Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou avec Mozilla Firefox, vous pourrez réouvrir votre navigateur après le point 10.
   
   
10. Redémarrez en mode sans échec et restez en mode sans échec jusqu'à la fin.
    http://assiste.com.free.fr/p/comment/de ... _echec.php
    
    
11. Exécutez votre antivirus, réglé au maximum
    Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
    http://assiste.com.free.fr/p/internet_u ... ivirus.php
    http://assiste.com.free.fr/p/internet_u ... ivirus.php
    
    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).
    
    
12. Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
    Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro maintenant.
    http://assiste.com.free.fr/p/internet_u ... patrol.php
    http://assiste.com.free.fr/p/internet_u ... res/a2.php
    http://assiste.com.free.fr/p/internet_u ... leaner.php
    
    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
    Voir, également, le mode d'emploi de PestPatrol en français à
    http://assiste.com.free.fr/p/internet_u ... rol_v4.php
    
    
13. Lancez HijackThis
    http://assiste.com.free.fr/p/internet_u ... ckthis.php
    Cliquez sur "Do a system scan and save a logfile"
    Dans la fenêtre "Save logfile..." qui s'ouvre au bout de quelques secondes, cliquez sur le bouton "Enregistrer"
    Dans la fenêtre "hijackthis.log - Bloc-notes" qui vient de s'ouvrir, faites un clic droit (un clic avec le bouton droit de la souris) n'importe où sur le texte et cliquez sur "Sélectionner tout"
    Refaites un clic droit et cliquez sur "Copier"
    Revenez dans ce fil de discussion (n'ouvrez pas un nouveau sujet) et ajoutez, en réponse, le log HijackThis que vous venez de copier (faites un clic droit puis clic sur "Coller").

Donnez-nous quelques heures pour vous répondre.
N'oubliez pas que nous sommes des volontaires bénévoles.

[pierre]

Un peu plus tard je recevais ceci

Wahou ! SUPER ! EXTRA ! Youpi ! ô PUTAIN QUE C'EST BON !

Very Happy Bonjour Pierre Laughing

Quelle belle journée cela va être, n'est-il pas ? Je n'ai qu'un mot pour toi : tu es GENIAL!!!
Comme je le disais dans un mail prédédent, je partais me coucher ... Mais juste avant de fermer définitivement l'ordinateur, j'ai ré-essayé le programme que tu m'as conseillé de télécharger, avant ce foutu protocole . J'ai relancé la procédure en recommençant l'ouverture et l'exécution des fichiers téléchargés correctement.
J'ai abouti au même niveau, c'est-à-dire qu'une éxécution automatique n'aboutit pas : il faut lancer une procédure manuelle, comme il est suggéré. Cette fois-ci la détection et la désinfection se sont opérées jusqu'à leur terme, en sélectionnant un fichier (dont je n'ai malheureusement pas noté l'intitulé) dans "C", qui n'avait pas la même présentation que les autres dossiers.
Donc, dès que j'ai eu cliqué sur ce fameux fichier, le processus est arrivé jusqu'à son terme, avec l'ouverture d'une fenêtre d'info, au contenu suivant : titre : TROJAN AGENT.CS deleted from the system
texte : "cleanup of Agent.CS has been successfull!... Now, please, press OK to restart the system again".
J'ai fait OK et redémarrer l'ordinateur. Mais VIRUS PERSITANT
J'ai alors recommencé la chose en indiquant cette fois le nom complet du fichier qui a été trouvé et désinfecté . BINGO !!!

_________________
Jean-Philippe B

Donc, conclusion, contre TROJAN AGENT.CS, utiliser, tout simplement

http://www.nod32.it/cgi-bin/mapdl.pl?tool=AgentCS
Puis poursuivre par
http://assiste.com.free.fr/p/internet_u ... ec_hjt.php

A confirmer sur les variantes (à moins que ce ne soit strictement la même chose sous des noms différents) comme sur laquelle NickW vient de se battre :

Récap des alias
Agent.CS
Agent.U
Generic BackDoor.d
TR/Agent.CS
Trj/Agent.OU
Troj/Agent.CS
Troj/Agent-CS
Troj/Agent-DJ
TROJ_AGENT.FZ
Trojan.Agent.CS
Trojan.Virtumod
Trojan.Vundo
Trojan.Win32.Agent.CS
Trojan.Win32.Agent.cs
Vundo
Vundo.dldr
W32/Agent.FZ-tr
Win32.Vundo.AD
Win32/Agent.CS
Win32/Vundo.AD!DLL!Trojan
Adware.VirtuMonde

Cordialement

[nickW]

Bonsoir,

Le point commun est la ligne:
O2 - BHO: MSEvents Object

Deux infections "guéries" (Rick le 05/05 et jmlae le 07/05).

Salut,