Supprimer SpamTool.Win32.Agent.u / Spam Xarvester

SpamTool.Win32.Agent.u est une infection qui transforme la machine infectée en machine à envoyer des mails de SPAM.
SpamTool.Win32.Agent.u est très ancrée dans le système car il modifie des fichiers systèmes de Windows.
Il est conseillé de faire très attention lors de la désinfection car vous pouvez planter Windows.
La désinfection doit être effectuée par une personne avertie.

Détection SpamTool.Win32.Agent.u / Spam Xarvester

L'infection créé des connexions vers des IP russes afin d'envoyer les mails de SPAM à savoir les IP 64.62.171.141
81.95.148.18 (mais elles peuvent être différentes).

L'infection créé des fichiers .nls commençant par cp suivi de chiffres aléatoires :
C:\cp1037.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:\cp1041.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:\cp1106.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:\cp1145.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:\cp1153.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:\cp1253.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:\cp1292.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:\cp1299.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:\cp1333.nls Infecté : SpamTool.Win32.Agent.u ignoré

Enfin et surtout l'infection modifie le fichier C:\Windows\system32\drivers\ndis.sys qui est à l'origine de tout.
Ce fichier C:\Windows\system32\drivers\ndis.sys est un fichier légitime Windows mais celle-ci le modifie par un fichier infectieux.

Le fichier est détecté ainsi :
Complete scanning result of "ndis.sys", received in VirusTotal at 02.02.2007, 18:19:38 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.02.2007 no virus found
Authentium 4.93.8 02.02.2007 W32/Trojan.VSD
Avast 4.7.936.0 02.01.2007 no virus found
AVG 386 02.02.2007 no virus found
BitDefender 7.2 02.02.2007 Trojan.Spambot.DY
CAT-QuickHeal 9.00 02.02.2007 no virus found
ClamAV devel-20060426 02.02.2007 no virus found
DrWeb 4.33 02.02.2007 Trojan.Spambot
eSafe 7.0.14.0 02.02.2007 Win32.Agent.u
eTrust-InoculateIT 30.4.3364 02.02.2007 MS04-22!Exploit!Trojan
eTrust-Vet 30.4.3364 02.02.2007 no virus found
Ewido 4.0 02.02.2007 no virus found
Fortinet 2.85.0.0 02.02.2007 W32/Agent.U!tr
F-Prot 4.2.1.29 02.01.2007 W32/Trojan.VSD
Ikarus T3.1.0.31 02.02.2007 no virus found
Kaspersky 4.0.2.24 02.02.2007 SpamTool.Win32.Agent.u
McAfee 4955 02.02.2007 no virus found
Microsoft 1.2101 02.02.2007 Spammer:Win32/Mailbot.P
NOD32v2 2030 02.02.2007 a variant of Win32/Spabot.NAC
Norman 5.80.02 02.02.2007 no virus found
Panda 9.0.0.4 02.02.2007 no virus found
Prevx1 V2 02.02.2007 no virus found
Sophos 4.13.0 02.02.2007 no virus found
Sunbelt 2.2.907.0 02.01.2007 no virus found
Symantec 10 02.02.2007 no virus found
TheHacker 6.0.3.162 02.02.2007 no virus found
UNA 1.83 02.01.2007 SpamTool.Win32.Agent.C30A
VBA32 3.11.2 02.02.2007 Trojan.Spambot
VirusBuster 4.3.19:9 02.02.2007 no virus found

Aditional Information
File size: 278148 bytes
MD5: 1587c6b26d3b26d7784795ebe86105f4
SHA1: 889d1a02f28203d770e9c1a686d43669815f22cc
packers: UPX
packers: BINARYRES, UPX
packers: UPX

L'infection étant très ancrée dans le système peut occasionner des plantages : DRIVER_IRQ_NOT_LESS_OR_EQUAL
Avec en bas :
NDSIS.SYS - ADRESS F91F8244 base at F91DC000, DATESTAMP 41107ec3
NDSIS.SYS - ADRESS F91CD556 base at F91DC000, DATESTAMP 41107ec3
(Les adresses pouvant bien sûr varier).

Suppression SpamTool.Win32.Agent.u / Spam Xarvester

Attention Merci de lire attentivement tout ce qui suit :
Si le fichier C:\Windows\system32\drivers\ndis.sys est supprimé, vous n'aurez plus de connexion réseau et Windows peut être endommagé.
Etant donné que beaucoup d'antivirus détecte maintenant le fichier infectieux, ces derniers ne pouvant nettoyer le fichier vont peut-être tenter de le supprimer.
S'il supprime le fichier..
Windows peut être endommagé.
Si le fichier a été supprimé par un antivirus, il est conseillé de vérifier que vous n'avez pas une copie du fichier dans : C:\Windows\system32\dllcache\ si c'est le cas, tentez de le recopier dans C:\Windows\system32\drivers\

La désinfection est à effectuer à vos risques et périls.
Celle-ci doit être effectuée par une personne avertie. Il est aussi conseillé d'effectuer une sauvegarde des fichiers importants.

Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
Téléchargez eScan Antivirus Toolkit : http://www.malekal.com/tutorial_eScan_antivirus_toolkit.html
Installez eScan Antivirus Toolkit dans le dossier : C:\Kaspersky
Ouvrez le dossier C:\Kaspersky et double-cliquez sur kavupd.exe pour le mettre à jour
Téléchargez et installez Malwarebyte's Anti-Malware anti-malware recommandé
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double-cliquez sur SDFix.exe et choisissez Install pour l'extraire dans un dossier dédié sur le Bureau.
Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
Ouvrez le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-cliquez sur RunThis.bat pour lancer le script.
Appuyez sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt si vous désirez visualiser ce dernier.
Démarrez Windows en mode sans échec à nouveau : Guide pour redémarrer en mode sans échec
Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître , choisissez l'option 2 et laissez l'operation de nettoyage s'effectuer
Ouvrez le fichier mwavscan.com
Cochez les options comme indiquées sur cette page
Cliquez Scan Clean pour démarrer le scan et laissez le scan se faire jusqu'au bout.
Afin de supprimer toutes traces du spyware et d'autres élements qu'il aurait pu installer, scannez votre ordinateur avec :

Malwarebyte's Anti-Malware anti-malware recommandé

Redémarrez l'ordinateur
Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n'en aillez pas, utilisez alors un antivirus en ligne :

Scan par Panda

Nettoyez votre base de registre à l'aide de l'utilitaire regcleaner
Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
Si vous rencontrez toujours des problèmes, générez un log à l'aide HijackThis - mode d'emploi et venez le poster sur le forum du site

Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

IMPORTANT : L'infection installant un rootkit ( il est conseillé d'effectuer un scan avec un scanneur rootkit.. par exemple avec F-Secure BlackLight
Si ce dernier détecte quelque chose, venez sur le forum du site pour terminer la désinfection.

Consulter le forum malware-complaints et créez votre message selon votre type d'infection, plus vous serez nombreux, plus nous aurons de poids pour faire réagir les autorités face aux malwares !

Cela prend 5 minutes!

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)