Agent_r.xj Résolu/Fermé

Question

Bonjour, 

J'ai un gros pb .
.
Qd je démarre mon PC :
- Aprés m'être loggé ,le PC reste figé ,mais pas a chaque fois.
- Internet ok mais trés lent .
- J'ai passé bcp de scan en ligne ,et autre :Pas de nuisible apparent.
- Par contre ,avec mon AVG ,il me dit que j'ai ce trojan Agent_r.XJ .
Cela m'était déjà arrivé une fois et j'avais alors utilisé TDSKiller et ca avait bien marché ,plus de pb .
Mais là et bien ca ne marche pas !TDSKiller se plante pendant son execution (pas de rapport édité!) et le pb n'est pas corrigé .J'ai essayé plein de truc mais rien n'y fait !
Un autre petit truc si ca peut vous aider :Lorsque je lance Hijckthis,et que je soumet le rapport sur leur site pour une évaluation automatique ,j'ai une erreur 404 .
Ca,ca marchait avant ...
Au s'cours !!!!!
Merci d'avance 


Windows XP / Internet Explorer 8.0

Malekal_morte- · Answer

Salut,

Passe ça : https://forum.malekal.com/viewtopic.php?t=31619&start=
Poste le rapport ici.

petitmalibu · Answer

D'ac! Merci . Voici : aswMBR version 0.9.4 Copyright(c) 2011 AVAST Software Run date: 2011-04-28 10:32:16 ----------------------------- 10:32:16.890 OS Version: Windows 5.1.2600 Service Pack 3 10:32:16.890 Number of processors: 1 586 0x207 10:32:16.890 ComputerName: PCDEERIC UserName: Eric 10:32:18.343 Initialize success 10:32:21.093 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 10:32:21.093 Disk 0 Vendor: Hitachi_HDS721616PLAT80 P22OA85A Size: 157066MB BusType: 3 10:32:21.093 Device \Driver\atapi -> DriverStartIo 8724457b 10:32:21.093 Disk 0 MBR read error 10:32:21.093 Disk 0 MBR scan 10:32:21.093 MBR BIOS signature not found 0 10:32:21.093 Disk 0 scanning sectors +321653430 10:32:21.093 Disk 0 scanning C:\WINDOWS\system32\drivers 10:32:31.859 Service scanning 10:32:32.953 Disk 0 trace - called modules: 10:32:32.953 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x863915c0]<< 10:32:32.953 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8734eab8] 10:32:32.953 Scan finished successfully

Malekal_morte- · Answer

Hum rien détecté :/

Tu peux faire ce qui est indiqué sur le paragraphe "dumper le MBR" de cette page : 
https://forum.malekal.com/viewtopic.php?t=29519&start=

Tu soumet le dump (c'est un fichier donc) à VirusTotal et tu donnes le lien de Scan VirusTotal ici.

petitmalibu · Answer

Voila :

http://www.virustotal.com:80/file-scan/report.html?id=b85be21758b89d6676e5ed5e4bbb985d06b332706445922acdfe35daa7221328-1303981619

Malekal_morte- · Answer

t'as soumis le log de mbr sur virustotal
pas le dump
il doit s'appeler copy_mbr

petitmalibu · Answer

Je lance la cmd dump.cmd mais ca ne fais pas de fichie copy_mbr

Malekal_morte- · Answer

clic droit / modifier sur dump.cmd et donne le contenu.

Tu as bien téléchargé mbr => http://www2.gmer.net/mbr/mbr.exe
et il se trouve sur le bureau ?

petitmalibu · Answer

Excuse , OK c'est bon ,j'ai fait la manip ,voilà le lien du dump:


http://www.virustotal.com/file-scan/report.html?id=dc8c2fa0328b3bd3ce3f39825023bee0c99e821caebde8378d34bdcd25be3d8b-1303983123

Malekal_morte- · Answer

Bha le MBR semble OK.

On va faire un OTL.
Ton Agent_r.xj est tjrs détecté par AVG ?
Si oui dans quel fichier ?


~~

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs 
* Clique sur le bouton Analyse. 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

petitmalibu · Answer

Pour répondre à ta 1 question oui AVG en détecte de + en plus (je sais pas insérer une copie d'écran ici ...) ,mais y'en a au moins une dizaine .

petitmalibu · Answer

J'ai envoyer le fichier ,mais les .bmp ne passent pas ,alors je l'ai renommer en .txt .Il à l'air d'être parti .
Sinon ,l'analyse est en cours

Malekal_morte- · Answer

faut que tu donnes les liens (surtout qu'en plus d'autres lisent le sujet) ;
C'est bien ça ? https://pjjoint.malekal.com/files.php?read=2943e30c09131014

mouaip, ça fait pourtant très TDSS.

petitmalibu · Answer

Oui c'est bien ca.

OTL vient de se planter ,il ne bouge plus .

Malekal_morte- · Answer

bon tu as TDSS mais TDL3.
Ca patche un fichier système et ça n'attaque pas le MBR (c'est le TDL 4 ça).
voir info : https://forum.malekal.com/viewtopic.php?t=22604&start=

Le souci, c'est que c'est nouvelle variante qui fait planter TDSSKiller, et les autres antirootkits ne voient rien.
Ton antivirus lui voit les conséquences.

Je regarde comment on peux le virer.

petitmalibu · Answer

Merci de ton aide

En faisant une analyse anti rootkit avec mon AVG ,il y a aussi ces messages que je n'avais jamais vu (mais jamais été voir d'ailleurs....) .
https://pjjoint.malekal.com/files.php?id=536360e16a10138
Si ca peut t'aider ...

Malekal_morte- · Answer

J'ai vu que sur ton autre sujet, angelique t'avais filé un coup de main.
Au final, c'est bien le mbr qui est pourri donc c'est du TDL 4.

petitmalibu · Answer

Ca a l'air d'étre vachement compliqué ...

petitmalibu · Answer

Probléme résolu grace à la manip d'Angélique .
Un grand merci à toi aussi et bravo pour votre boulot !