Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus Win32:Agent-AABX [Rtk] - PC impossible à redémarrer

CherTiti

Par CherTiti
dans Analyses et éradication malwares

 Partager

Messages recommandés

CherTiti Junior Member

CherTiti

Posté(e)
Posté(e)

Bonjour à tous.

 

Un ami m'a confié sa tour pour que je l'osculte ! Malheureusement, impossible de démarrer XP - mode normal, mode sans échec, dernière bonne configuration... - toujours un écran bleu.

 

J'ai donc installé son disque dur sur machine, jai effectué un scan avec mon antivirus (Avira AntiVir) et avec Malwarebytes' Anti-Malware sur ses deux partitions - RAS.

 

J'en ai profité pour sauvegarder ses données personnelles...

 

Il avait Avast 4.8 edtition familliale :P , je suis allé recherché le rapport de la protection résidente que voici :

 

* Rapport avast!

* Ce fichier est généré automatiquement

*

* Tâche utilisée 'Protection résidente'

* Débuté le mardi 2 décembre 2008 12:03:25

* VPS : 081130-0, 30/11/2008

*

 

C:\WINDOWS\System32\Drivers\ASCTRM.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\Beep.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\Cdaudio.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\Changer.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\Fips.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\i2omgmt.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\incdrm.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\lbrtfdc.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\mnmdd.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\Modem.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\NDIS.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\Null.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\system32\drivers\null.sys [L] Win32:Agent-AABX [Rtk] (0)

Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est introuvable

Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est introuvable

Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est introuvable

Le fichier sera supprimé au prochain démarrage de l'ordinateur...

C:\WINDOWS\System32\Drivers\Flpydisk.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\Parport.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\PCIDump.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\PDCOMP.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\PDRELI.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier supprimé avec succès...

C:\WINDOWS\System32\Drivers\RDPWD.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier supprimé avec succès...

C:\WINDOWS\System32\Drivers\Serial.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\TDPIPE.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\VolSnap.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier déplacé avec succès vers la zone de quarantaine...

C:\WINDOWS\System32\Drivers\WDICA.sys [L] Win32:Agent-AABX [Rtk] (0)

Fichier supprimé avec succès... :P:P

 

Que faire ? :P

 

Merci pour votre aide future....

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Régler le boot sequence sur CDROM en 1er dans le bios.

 

Télécharge l'image ISO du Reskue Disk de Kaspersky.

Il ne désinfectera évidement pas le registre mais il pourrait te permettre de relancer le pc pour finir de désinfecter.

 

 

Kaspersky :image ISO pour créer un cd de sauvegarde et désinfection.

 

Note: Il est préférable d'utiliser un CDRW de manière à pouvoir effacer et réutiliser le cd pour regraver la nouvelle image iso quand elle est disponible chez KL.

 

 

 

Active Iso Burner. très bon outil gratuit pour graver le cd/dvd.

 

NB: le clavier passe en QWERTY lors de l'utilisation du ReskueDisk.Le langage français est disponible.

 

Ne pas oublier de créer un nouveau dossier sur C:\Quarantaine

 

Réglage du boot dans le bios: le cdrom doit se trouver avant le disque dur dans l'ordre de démarrage.

CherTiti Junior Member

CherTiti

Posté(e)
  • Auteur
Posté(e)

Me re voici et tout d'abord un grand merci pour l'attention que tu portes à ce problème Appolo...

 

Avant de mettre le résultat de scan, voici des info concernant le malade :

 

c'est un packard bell avec DD partitionné en 3 :

- Une partition cachée FAT32 (backup) elle correspond au C dans l'analyse KAV

 

05/12/08 18:04 Lancement de la tâche

05/12/08 18:38 Détectés: Trojan-Spy.Win32.Delf.wh /discs/C:/minint/system32/p000001.zip/APPS/OFFICE_1/All/oonepdf/SETUP.EXE/300.exe/ASPack

05/12/08 18:38 Non réparés: Trojan-Spy.Win32.Delf.wh /discs/C:/minint/system32/p000001.zip/APPS/OFFICE_1/All/oonepdf/SETUP.EXE/300.exe/ASPack Ignoré par l'utilisateur

05/12/08 20:01 Tâche arrêtée

 

J'ai arrêté cette analyse car au bout d'une heure et quart, je n'était qu'à 2% de progression et de toute façon je ne souhaite pas altérée cette partition. N'est il pas étonnant de trouver des bêbêtes dans la partition d'usine ?

 

 

La deuxième partition contient OS et programme le D pour KAV

 

06/12/08 09:01 Lancement de la tâche

06/12/08 09:09 Détectés: Trojan-Spy.Win32.Delf.wh /discs/D:/APPS/OFFICE_1/All/oonepdf/SETUP.EXE/300.exe/ASPack

06/12/08 09:19 Supprimés: Trojan-Spy.Win32.Delf.wh /discs/D:/APPS/OFFICE_1/All/oonepdf/SETUP.EXE

06/12/08 14:52 Fin de la tâche

 

et oui la même bêbête et rien de plus ! J'aurais aussi pensé que avast n'avait pas finit SA SUPPRESSION au vue de la fin de rapport, mais apparemment KAV n'a rien trouvé à part celui livré par Packard Bell :P

 

Pour la troisième partition, elle contient leurs "mes documents" et KAV n'a rien décelé.

 

J'ai essayé de redémarrer la machine mais sans succès.

 

Avast n'aurait il pas supprimé les drivers permettant le démarrage du PC ?

 

Merci encore si d'autres pistes je suis prenneur :P

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir.

 

Je n'en ai pas d'autre au stade où tu en es resté.

 

Le cd live est la dernière des possibilités avec le formatage.

 

Il ne fallait pas ignorer les objets suspects.

 

Il faut avoir de la patience, les trojans peuvent être liquidés sans souci, qu'importe la partiton où ils se trouvent.

 

Par contre il faut se montrer plus prudent avec les virus qui peuvent être attachés à des fichiers extrêmement sensibles du système.

 

De plus si c'est comme tu le dis, la partition contenant les fichiers de restauration d'usine, il serait même dangereux de l'utiliser en cas de format (récupération système).

 

Quant à Avast, il vaut mieux que je me taise... :P

 

++

CherTiti Junior Member

CherTiti

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir,

 

Pour le virus c'est résolu :P, j'ai réinstallé la machine :P avec le backup de Packard Bell.

 

Par contre, il reste donc le trojan Spy.Win32.Delf.wh trouvé dans la partition de restauration.

 

Apparemment, c'est une suite bureautique office one 6.5, incluant entre autre un lecteur de fichiers pdf (le setup.exe infecté)

 

Je l'ai donc testé sur www.virustotal.com, voici le résultat :

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 - - -

AntiVir - - -

Authentium - - -

Avast - - -

AVG - - -

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - -

DrWeb - - Trojan.PWS.Banker.9785

eSafe - - -

eTrust-Vet - - -

Ewido - - -

F-Prot - - -

F-Secure - Trojan-Spy.Win32.Delf.wh

Fortinet - - -

GData - - Trojan-Spy.Win32.Delf.wh

Ikarus - - -

Kaspersky - Trojan-Spy.Win32.Delf.wh

McAfee - - -

Microsoft - - -

NOD32v2 - - -

Norman - - -

Panda - - -

Prevx1 - - -

Rising - - -

Sophos - - -

Sunbelt - - -

Symantec - - -

TheHacker - - -

VBA32 - - -

VirusBuster - - -

Webwasher-Gateway - - -

 

Le résultat est-il vraiment alarmant ? :P Un faux positif ?

 

Merci

Modifié par CherTiti

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...