Agent.exe: Programme Suspect ?

[Shimik_Root]

Hello =)

J'étais en train de naviguer sur le forum et d'un coup j'ai eu une notification de mon pare feu qui m'indiquait que "Agent.exe" demandait une autorisation de communication distante...

D'après mes recherches il n'apparait nul part que c'est un programme infectieux ou autre mais ce qui m'a légèrement mis le doute c'est le site qui apparaissait en bas de l'alerte, je vous met une capture ci-jointe.

Également ci-joint un scan complet avec les fichiers correspondants.

Si quelqu'un peut me dire ce qu'il en est exactement et comment le virer, merci.

Addition : https://pjjoint.malekal.com/files.php?i ... u12y9v7c11
FRST : https://pjjoint.malekal.com/files.php?i ... 13t14m7g10
Shortcut : https://pjjoint.malekal.com/files.php?i ... 10i15n12l5

[angelique]

Bonjour/Bonsoir

Un exe qui cherche à communiquer vers l'extérieur et vu le nom ispyconnect.com on dirait un truc lié à une caméra IP

On peut le virer:



Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Malekal_morte]

Salut,

Soumet aussi le fichier sur le portail VirusTotal.
Donne le lien ici.

[Shimik_Root]

Hello

Merci pour ton intervention Angélique

Voici le rapport :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 19.12.2018 01
Exécuté par Goldenboy (19-12-2018 20:24:54) Run:1
Exécuté depuis C:\Users\Goldenboy\Desktop
Profils chargés: Goldenboy (Profils disponibles: Goldenboy)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: C:\Windows\Tasks\TrackerAutoUpdate.job => D:\Program Files (x86)\Tracker Software\Update\TrackerUpdate.exe-CheckUpdate(Tracker Software Products (Canada) Ltd.Kee
R2 Agent; C:\Program Files\Agent\Agent.exe [1631776 2018-04-25] (DeveloperInABox)
C:\Program Files\Agent
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
C:\Windows\Tasks\TrackerAutoUpdate.job => déplacé(es) avec succès
Agent => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\Agent => supprimé(es) avec succès
Agent => service supprimé(es) avec succès

"C:\Program Files\Agent" dossier déplacer:

Impossible de déplacer "C:\Program Files\Agent" => Planifié pour déplacement au redémarrage.


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 188634420 B
Java, Flash, Steam htmlcache => 1276 B
Windows/system/drivers => 4906157 B
Edge => 0 B
Chrome => 0 B
Firefox => 80034525 B
Opera => 27968273 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 33186 B
systemprofile32 => 33186 B
LocalService => 0 B
NetworkService => 33125 B
Goldenboy => 238988729 B
UpdatusUser => 0 B

RecycleBin => 5903146565 B
EmptyTemp: => 6 GB données temporaires supprimées.

================================

[angelique]

Il ne doit plus demander à communiquer.
Tu as pu faire l'analyse de agent.exe sur virustotal?

[Shimik_Root]

Justement c'est ce que je cherchais à faire mais impossible de trouver sa trace dans "Progam Files" à mon avis on l'a supprimer ou déplacer en utilisant FRST

[angelique]

Oui dans la quarantaine de FRST dans un sous dossier après C:\FRST\.....

[Shimik_Root]

Parfait tu avais raison il était dans la quarantaine je l'ai soumis à analyse virustotal voici le lien : https://www.virustotal.com/#/file/f2f99 ... /detection

[angelique]

Mouai clean.... enfin un service tout seul , sans programme d'installation, qui cherche à causer avec ispytruc... il est bien en qurantaine.

Tu peux même supprimer la quarantaine en virant C:\FRST

[Shimik_Root]

Merci Angélique j'ai tout virer et suppression de la corbeille hop!

ça n'a aucun rapport avec la question initiale mais peut être aurait-tu une idée stp, mon ordi portable souvent quand il est en veille d'un coup tout seul j’entends qu'il s'est rallumé alors que le capot est bien fermé et que je n'ai rien touché et il n'est même pas branché sur secteur... Comment régler ça ?

Merci d'avance =)

[angelique]

Je connais plus trop Windows, mais tu dois pouvoir régler dans les options d'alimentation, sur alimentation et sur batterie , l'option fermer le capot et régler étreindre dans choisir l'action qui suit la fermeture du capot ➯ https://www.malekal.com/options-alimentation-windows/

[Shimik_Root]

Malheureusement tout est bien réglé dans les réglages j'ai déjà vérifié plusieurs fois mais rien n'y fait l'ordi sort du mode veille tout seul d'un coup sans raison...

[angelique]

Lorsque je referme le capot sur batterie/secteur , tu as testé mettre en veille prolongé ou éteindre

[Shimik_Root]

Non j'avais pas essayé car je pensais que ça arrêterait complétement l'ordi et qu'il faudrait carrément le rallumer entièrement pour ça que le mode veille est plus pratique c'est rapide mais je vais essayer quand même.