Supprimer SpamTool.Win32.Agent.u / Spam Xarvester

Supprimer SpamTool.Win32.Agent.u / Spam Xarvester


SpamTool.Win32.Agent.u  est une infection qui transforme la machine infectée en machine  à envoyer des mails de SPAM.
SpamTool.Win32.Agent.u est très ancrée dans le système car il modifie des fichiers systèmes de Windows.
Il est conseillé de faire très attention lors de la désinfection car vous pouvez planter Windows.
La désinfection doit être effectuée par une personne avertie.

Détection SpamTool.Win32.Agent.u / Spam Xarvester

L’infection créé des connexions vers des IP russes afin d’envoyer les mails de SPAM à savoir les IP 64.62.171.141
81.95.148.18 (mais elles peuvent être différentes).

L’infection créé des fichiers .nls commençant par cp suivi de chiffres aléatoires :
C:cp1037.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:cp1041.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:cp1106.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:cp1145.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:cp1153.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:cp1253.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:cp1292.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:cp1299.nls Infecté : SpamTool.Win32.Agent.u ignoré
C:cp1333.nls Infecté : SpamTool.Win32.Agent.u ignoré

Enfin et surtout l’infection modifie le fichier C:\Windows\System32\\driversndis.sys qui est à l’origine de tout.
Ce fichier C:\Windows\System32\\driversndis.sys est un fichier légitime Windows mais celle-ci le modifie par un fichier infectieux.

Le fichier est détecté ainsi :
Complete scanning result of « ndis.sys », received in VirusTotal at 02.02.2007, 18:19:38 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.34 02.02.2007  no virus found
Authentium 4.93.8 02.02.2007 W32/Trojan.VSD
Avast 4.7.936.0 02.01.2007  no virus found
AVG 386 02.02.2007  no virus found
BitDefender 7.2 02.02.2007 Trojan.Spambot.DY
CAT-QuickHeal 9.00 02.02.2007  no virus found
ClamAV devel-20060426 02.02.2007  no virus found
DrWeb 4.33 02.02.2007 Trojan.Spambot
eSafe 7.0.14.0 02.02.2007 Win32.Agent.u
eTrust-InoculateIT 30.4.3364 02.02.2007 MS04-22!Exploit!Trojan
eTrust-Vet 30.4.3364 02.02.2007  no virus found
Ewido 4.0 02.02.2007  no virus found
Fortinet 2.85.0.0 02.02.2007 W32/Agent.U!tr
F-Prot 4.2.1.29 02.01.2007 W32/Trojan.VSD
Ikarus T3.1.0.31 02.02.2007  no virus found
Kaspersky 4.0.2.24 02.02.2007 SpamTool.Win32.Agent.u
McAfee 4955 02.02.2007  no virus found
Microsoft 1.2101 02.02.2007 Spammer:Win32/Mailbot.P
NOD32v2 2030 02.02.2007 a variant of Win32/Spabot.NAC
Norman 5.80.02 02.02.2007  no virus found
Panda 9.0.0.4 02.02.2007  no virus found
Prevx1 V2 02.02.2007  no virus found
Sophos 4.13.0 02.02.2007  no virus found
Sunbelt 2.2.907.0 02.01.2007  no virus found
Symantec 10 02.02.2007  no virus found
TheHacker 6.0.3.162 02.02.2007  no virus found
UNA 1.83 02.01.2007 SpamTool.Win32.Agent.C30A
VBA32 3.11.2 02.02.2007 Trojan.Spambot
VirusBuster 4.3.19:9 02.02.2007 no virus found


Aditional Information
File size: 278148 bytes
MD5: 1587c6b26d3b26d7784795ebe86105f4
SHA1: 889d1a02f28203d770e9c1a686d43669815f22cc
packers: UPX
packers: BINARYRES, UPX
packers: UPX

L’infection étant très ancrée dans le système peut occasionner des plantages : DRIVER_IRQ_NOT_LESS_OR_EQUAL
Avec en bas :
NDSIS.SYS – ADRESS F91F8244 base at F91DC000, DATESTAMP 41107ec3
NDSIS.SYS – ADRESS F91CD556 base at F91DC000, DATESTAMP 41107ec3
(Les adresses pouvant bien sûr varier).

SpamTool.Win32.Agent.u

Suppression SpamTool.Win32.Agent.u / Spam Xarvester

Attention Merci de lire attentivement tout ce qui suit :
Si le fichier C:\Windows\System32\\driversndis.sys est supprimé, vous n’aurez plus de connexion réseau et Windows peut être endommagé.
Etant donné que beaucoup d’antivirus détecte maintenant le fichier infectieux, ces derniers ne pouvant nettoyer le fichier vont peut-être tenter de le supprimer.
S’il supprime le fichier..
Windows peut être endommagé.
Si le fichier a été supprimé par un antivirus, il est conseillé de vérifier que vous n’avez pas une copie du fichier dans : C:\Windows\System32\\dllcache si c’est le cas, tentez de le recopier dans C:\Windows\System32\\drivers

La désinfection est à effectuer à vos risques et périls.
Celle-ci doit être effectuée par une personne avertie. Il est aussi conseillé d’effectuer une sauvegarde des fichiers importants.

  • Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
  • Téléchargez eScan Antivirus Toolkit : http://www.malekal.com/tutorial_eScan_antivirus_toolkit.html
  • Installez eScan Antivirus Toolkit dans le dossier : C:Kaspersky
  • Ouvrez le dossier C:Kaspersky et double-cliquez sur kavupd.exe pour le mettre à jour
  • Téléchargez et installez Malwarebyte’s Anti-Malware anti-malware recommandé
  • Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
  • Double-cliquez sur SDFix.exe et choisissez Install pour l’extraire dans un dossier dédié sur le Bureau. 
  • Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
  • Ouvrez le dossier SDFix qui vient d’être créé dans le répertoire C: et double-cliquez sur RunThis.bat pour lancer le script.
  • Appuyez sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Le système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l’outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier  SDFix sous le nom Report.txt si vous désirez visualiser ce dernier.
  • Démarrez Windows en mode sans échec à nouveau : Guide pour redémarrer en mode sans échec
  • Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître , choisissez l’option 2 et laissez l’operation de nettoyage s’effectuer
  • Ouvrez le fichier mwavscan.com
  • Cochez les options comme indiquées sur cette page
  • Cliquez Scan Clean pour démarrer le scan et laissez le scan se faire jusqu’au bout. 
  • Afin de supprimer toutes traces du spyware et d’autres élements qu’il aurait pu installer, scannez votre ordinateur avec :
  • Redémarrez l’ordinateur
  • Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n’en aillez pas, utilisez alors un antivirus en ligne : 
  • Nettoyez votre base de registre à l’aide de l’utilitaire regcleaner
  • Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
  • Si vous rencontrez toujours des problèmes, générez un log à l’aide HijackThismode d’emploi et venez le poster sur le forum du site

Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

IMPORTANT : L’infection installant un rootkit ( il est conseillé d’effectuer un scan avec un scanneur rootkit.. par exemple avec F-Secure BlackLight
Si ce dernier détecte quelque chose, venez sur le forum du site pour terminer la désinfection.

Consulter le forum malware-complaints et créez votre message selon votre type d’infection, plus vous serez nombreux, plus nous aurons de poids pour faire réagir les autorités face aux malwares !

Cela prend 5 minutes!

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

PrintFriendly and PDFImprimer l'article en PDF

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 17 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *