Agent_r.xj

Résolu
petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention   -  
petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

J'ai un gros pb .
.
Qd je démarre mon PC :
- Aprés m'être loggé ,le PC reste figé ,mais pas a chaque fois.
- Internet ok mais trés lent .
- J'ai passé bcp de scan en ligne ,et autre :Pas de nuisible apparent.
- Par contre ,avec mon AVG ,il me dit que j'ai ce trojan Agent_r.XJ .
Cela m'était déjà arrivé une fois et j'avais alors utilisé TDSKiller et ca avait bien marché ,plus de pb .
Mais là et bien ca ne marche pas !TDSKiller se plante pendant son execution (pas de rapport édité!) et le pb n'est pas corrigé .J'ai essayé plein de truc mais rien n'y fait !
Un autre petit truc si ca peut vous aider :Lorsque je lance Hijckthis,et que je soumet le rapport sur leur site pour une évaluation automatique ,j'ai une erreur 404 .
Ca,ca marchait avant ...
Au s'cours !!!!!
Merci d'avance

Windows XP / Internet Explorer 8.0

18 réponses

  1. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    D'ac! Merci .
    Voici :

    aswMBR version 0.9.4 Copyright(c) 2011 AVAST Software
    Run date: 2011-04-28 10:32:16
    -----------------------------
    10:32:16.890 OS Version: Windows 5.1.2600 Service Pack 3
    10:32:16.890 Number of processors: 1 586 0x207
    10:32:16.890 ComputerName: PCDEERIC UserName: Eric
    10:32:18.343 Initialize success
    10:32:21.093 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
    10:32:21.093 Disk 0 Vendor: Hitachi_HDS721616PLAT80 P22OA85A Size: 157066MB BusType: 3
    10:32:21.093 Device \Driver\atapi -> DriverStartIo 8724457b
    10:32:21.093 Disk 0 MBR read error
    10:32:21.093 Disk 0 MBR scan
    10:32:21.093 MBR BIOS signature not found 0
    10:32:21.093 Disk 0 scanning sectors +321653430
    10:32:21.093 Disk 0 scanning C:\WINDOWS\system32\drivers
    10:32:31.859 Service scanning
    10:32:32.953 Disk 0 trace - called modules:
    10:32:32.953 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x863915c0]<<
    10:32:32.953 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8734eab8]
    10:32:32.953 Scan finished successfully
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Hum rien détecté :/

    Tu peux faire ce qui est indiqué sur le paragraphe "dumper le MBR" de cette page :
    https://forum.malekal.com/viewtopic.php?t=29519&start=

    Tu soumet le dump (c'est un fichier donc) à VirusTotal et tu donnes le lien de Scan VirusTotal ici.
    0
  3. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Voila :

    http://www.virustotal.com:80/file-scan/report.html?id=b85be21758b89d6676e5ed5e4bbb985d06b332706445922acdfe35daa7221328-1303981619
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    t'as soumis le log de mbr sur virustotal
    pas le dump
    il doit s'appeler copy_mbr
    0
  6. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Je lance la cmd dump.cmd mais ca ne fais pas de fichie copy_mbr
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    clic droit / modifier sur dump.cmd et donne le contenu.

    Tu as bien téléchargé mbr => http://www2.gmer.net/mbr/mbr.exe
    et il se trouve sur le bureau ?
    0
  8. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Excuse , OK c'est bon ,j'ai fait la manip ,voilà le lien du dump:

    http://www.virustotal.com/file-scan/report.html?id=dc8c2fa0328b3bd3ce3f39825023bee0c99e821caebde8378d34bdcd25be3d8b-1303983123
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bha le MBR semble OK.

    On va faire un OTL.
    Ton Agent_r.xj est tjrs détecté par AVG ?
    Si oui dans quel fichier ?

    ~~

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

    0
  10. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Pour répondre à ta 1 question oui AVG en détecte de + en plus (je sais pas insérer une copie d'écran ici ...) ,mais y'en a au moins une dizaine .
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      et tu peux mettre une capture là : http://pjjoint.malekal.com/ ?
      0
  11. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    J'ai envoyer le fichier ,mais les .bmp ne passent pas ,alors je l'ai renommer en .txt .Il à l'air d'être parti .
    Sinon ,l'analyse est en cours
    0
  12. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Oui c'est bien ca.

    OTL vient de se planter ,il ne bouge plus .
    0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    bon tu as TDSS mais TDL3.
    Ca patche un fichier système et ça n'attaque pas le MBR (c'est le TDL 4 ça).
    voir info : https://forum.malekal.com/viewtopic.php?t=22604&start=

    Le souci, c'est que c'est nouvelle variante qui fait planter TDSSKiller, et les autres antirootkits ne voient rien.
    Ton antivirus lui voit les conséquences.

    Je regarde comment on peux le virer.
    0
  14. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Merci de ton aide

    En faisant une analyse anti rootkit avec mon AVG ,il y a aussi ces messages que je n'avais jamais vu (mais jamais été voir d'ailleurs....) .
    https://pjjoint.malekal.com/files.php?id=536360e16a10138
    Si ca peut t'aider ...
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    J'ai vu que sur ton autre sujet, angelique t'avais filé un coup de main.
    Au final, c'est bien le mbr qui est pourri donc c'est du TDL 4.

    0
  16. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Ca a l'air d'étre vachement compliqué ...
    0
  17. petitmalibu Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Probléme résolu grace à la manip d'Angélique .
    Un grand merci à toi aussi et bravo pour votre boulot !
    0