Agent_r.xj
Résolu
petitmalibu
Messages postés
11
Date d'inscription
Statut
Membre
Dernière intervention
-
petitmalibu Messages postés 11 Date d'inscription Statut Membre Dernière intervention -
petitmalibu Messages postés 11 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai un gros pb .
.
Qd je démarre mon PC :
- Aprés m'être loggé ,le PC reste figé ,mais pas a chaque fois.
- Internet ok mais trés lent .
- J'ai passé bcp de scan en ligne ,et autre :Pas de nuisible apparent.
- Par contre ,avec mon AVG ,il me dit que j'ai ce trojan Agent_r.XJ .
Cela m'était déjà arrivé une fois et j'avais alors utilisé TDSKiller et ca avait bien marché ,plus de pb .
Mais là et bien ca ne marche pas !TDSKiller se plante pendant son execution (pas de rapport édité!) et le pb n'est pas corrigé .J'ai essayé plein de truc mais rien n'y fait !
Un autre petit truc si ca peut vous aider :Lorsque je lance Hijckthis,et que je soumet le rapport sur leur site pour une évaluation automatique ,j'ai une erreur 404 .
Ca,ca marchait avant ...
Au s'cours !!!!!
Merci d'avance
Windows XP / Internet Explorer 8.0
J'ai un gros pb .
.
Qd je démarre mon PC :
- Aprés m'être loggé ,le PC reste figé ,mais pas a chaque fois.
- Internet ok mais trés lent .
- J'ai passé bcp de scan en ligne ,et autre :Pas de nuisible apparent.
- Par contre ,avec mon AVG ,il me dit que j'ai ce trojan Agent_r.XJ .
Cela m'était déjà arrivé une fois et j'avais alors utilisé TDSKiller et ca avait bien marché ,plus de pb .
Mais là et bien ca ne marche pas !TDSKiller se plante pendant son execution (pas de rapport édité!) et le pb n'est pas corrigé .J'ai essayé plein de truc mais rien n'y fait !
Un autre petit truc si ca peut vous aider :Lorsque je lance Hijckthis,et que je soumet le rapport sur leur site pour une évaluation automatique ,j'ai une erreur 404 .
Ca,ca marchait avant ...
Au s'cours !!!!!
Merci d'avance
Windows XP / Internet Explorer 8.0
18 réponses
D'ac! Merci .
Voici :
aswMBR version 0.9.4 Copyright(c) 2011 AVAST Software
Run date: 2011-04-28 10:32:16
-----------------------------
10:32:16.890 OS Version: Windows 5.1.2600 Service Pack 3
10:32:16.890 Number of processors: 1 586 0x207
10:32:16.890 ComputerName: PCDEERIC UserName: Eric
10:32:18.343 Initialize success
10:32:21.093 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
10:32:21.093 Disk 0 Vendor: Hitachi_HDS721616PLAT80 P22OA85A Size: 157066MB BusType: 3
10:32:21.093 Device \Driver\atapi -> DriverStartIo 8724457b
10:32:21.093 Disk 0 MBR read error
10:32:21.093 Disk 0 MBR scan
10:32:21.093 MBR BIOS signature not found 0
10:32:21.093 Disk 0 scanning sectors +321653430
10:32:21.093 Disk 0 scanning C:\WINDOWS\system32\drivers
10:32:31.859 Service scanning
10:32:32.953 Disk 0 trace - called modules:
10:32:32.953 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x863915c0]<<
10:32:32.953 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8734eab8]
10:32:32.953 Scan finished successfully
Voici :
aswMBR version 0.9.4 Copyright(c) 2011 AVAST Software
Run date: 2011-04-28 10:32:16
-----------------------------
10:32:16.890 OS Version: Windows 5.1.2600 Service Pack 3
10:32:16.890 Number of processors: 1 586 0x207
10:32:16.890 ComputerName: PCDEERIC UserName: Eric
10:32:18.343 Initialize success
10:32:21.093 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
10:32:21.093 Disk 0 Vendor: Hitachi_HDS721616PLAT80 P22OA85A Size: 157066MB BusType: 3
10:32:21.093 Device \Driver\atapi -> DriverStartIo 8724457b
10:32:21.093 Disk 0 MBR read error
10:32:21.093 Disk 0 MBR scan
10:32:21.093 MBR BIOS signature not found 0
10:32:21.093 Disk 0 scanning sectors +321653430
10:32:21.093 Disk 0 scanning C:\WINDOWS\system32\drivers
10:32:31.859 Service scanning
10:32:32.953 Disk 0 trace - called modules:
10:32:32.953 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x863915c0]<<
10:32:32.953 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8734eab8]
10:32:32.953 Scan finished successfully
Hum rien détecté :/
Tu peux faire ce qui est indiqué sur le paragraphe "dumper le MBR" de cette page :
https://forum.malekal.com/viewtopic.php?t=29519&start=
Tu soumet le dump (c'est un fichier donc) à VirusTotal et tu donnes le lien de Scan VirusTotal ici.
Tu peux faire ce qui est indiqué sur le paragraphe "dumper le MBR" de cette page :
https://forum.malekal.com/viewtopic.php?t=29519&start=
Tu soumet le dump (c'est un fichier donc) à VirusTotal et tu donnes le lien de Scan VirusTotal ici.
Voila :
http://www.virustotal.com:80/file-scan/report.html?id=b85be21758b89d6676e5ed5e4bbb985d06b332706445922acdfe35daa7221328-1303981619
http://www.virustotal.com:80/file-scan/report.html?id=b85be21758b89d6676e5ed5e4bbb985d06b332706445922acdfe35daa7221328-1303981619
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
clic droit / modifier sur dump.cmd et donne le contenu.
Tu as bien téléchargé mbr => http://www2.gmer.net/mbr/mbr.exe
et il se trouve sur le bureau ?
Tu as bien téléchargé mbr => http://www2.gmer.net/mbr/mbr.exe
et il se trouve sur le bureau ?
Excuse , OK c'est bon ,j'ai fait la manip ,voilà le lien du dump:
http://www.virustotal.com/file-scan/report.html?id=dc8c2fa0328b3bd3ce3f39825023bee0c99e821caebde8378d34bdcd25be3d8b-1303983123
http://www.virustotal.com/file-scan/report.html?id=dc8c2fa0328b3bd3ce3f39825023bee0c99e821caebde8378d34bdcd25be3d8b-1303983123
Bha le MBR semble OK.
On va faire un OTL.
Ton Agent_r.xj est tjrs détecté par AVG ?
Si oui dans quel fichier ?
~~
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
On va faire un OTL.
Ton Agent_r.xj est tjrs détecté par AVG ?
Si oui dans quel fichier ?
~~
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Pour répondre à ta 1 question oui AVG en détecte de + en plus (je sais pas insérer une copie d'écran ici ...) ,mais y'en a au moins une dizaine .
J'ai envoyer le fichier ,mais les .bmp ne passent pas ,alors je l'ai renommer en .txt .Il à l'air d'être parti .
Sinon ,l'analyse est en cours
Sinon ,l'analyse est en cours
faut que tu donnes les liens (surtout qu'en plus d'autres lisent le sujet) ;
C'est bien ça ? https://pjjoint.malekal.com/files.php?read=2943e30c09131014
mouaip, ça fait pourtant très TDSS.
C'est bien ça ? https://pjjoint.malekal.com/files.php?read=2943e30c09131014
mouaip, ça fait pourtant très TDSS.
bon tu as TDSS mais TDL3.
Ca patche un fichier système et ça n'attaque pas le MBR (c'est le TDL 4 ça).
voir info : https://forum.malekal.com/viewtopic.php?t=22604&start=
Le souci, c'est que c'est nouvelle variante qui fait planter TDSSKiller, et les autres antirootkits ne voient rien.
Ton antivirus lui voit les conséquences.
Je regarde comment on peux le virer.
Ca patche un fichier système et ça n'attaque pas le MBR (c'est le TDL 4 ça).
voir info : https://forum.malekal.com/viewtopic.php?t=22604&start=
Le souci, c'est que c'est nouvelle variante qui fait planter TDSSKiller, et les autres antirootkits ne voient rien.
Ton antivirus lui voit les conséquences.
Je regarde comment on peux le virer.
Merci de ton aide
En faisant une analyse anti rootkit avec mon AVG ,il y a aussi ces messages que je n'avais jamais vu (mais jamais été voir d'ailleurs....) .
https://pjjoint.malekal.com/files.php?id=536360e16a10138
Si ca peut t'aider ...
En faisant une analyse anti rootkit avec mon AVG ,il y a aussi ces messages que je n'avais jamais vu (mais jamais été voir d'ailleurs....) .
https://pjjoint.malekal.com/files.php?id=536360e16a10138
Si ca peut t'aider ...
J'ai vu que sur ton autre sujet, angelique t'avais filé un coup de main.
Au final, c'est bien le mbr qui est pourri donc c'est du TDL 4.
Au final, c'est bien le mbr qui est pourri donc c'est du TDL 4.