Trojan.Agent.AWX

Bonjour à tous,


Bitdefender ma avertis que : 'Le fichier c:\windows\system32\perfc000.dat est infecter avec Trojan.Agent.AWX'


j'ai tout de suite fais une analyse il a effectivement detecter le trojan et la supprimer tout de suite le fichier est resorti donc impossible de l'éffacer, et mon Bitdefender m'indique au moins 3fois par jour que le trojan a était detecter quand je suis partie le rechercher sur la base de donnée des virus je ne l'ai pas trouver... :unsure:


Cordialement.

Réponses

  • Bonjour,


    POuvez-vous expliquer :


    'le fichier est resorti donc impossible de l'effacer' ?


    Merci


    Cdlt

  • Non il s'éfface mais il réaparait tout de suite après je ne sais pas comment...


    voici la dernière analyse que j'ai effecuter :


    //-----------------------------------------------------------------
    //
    //    Product: BitDefender 9 Professional Plus
    //    Version: 9.5
    //
    //    Créé le:     04/06/2007    18:31:51
    //
    //-----------------------------------------------------------------


    Statistiques

    Chemin cible:     C:\
            D:\
    Dossiers     : 5250
    Fichiers     :  211501
    Archives    : 2788
    Fichiers empaquetés     : 6346
    Virus trouvés      : 1
    Fichiers infectés      : 5
    Alertes      : 0
    Fichiers suspects      : 0
    Fichiers désinfectés      : 0
    Fichiers effacés      : 5
    Fichiers copiés      : 0
    Fichiers déplacés    : 0
    Fichiers renommés      : 0
    Erreurs I/O      : 30
    Temps d'analyse      := 00:34:02
    Fichiers/seconde      :103

    Statistiques Spywares

    Processus Mémoire analysés    : 13
    Processus Mémoire infectés    : 0
    Clés de registres analysées        : 1666
    Clés de registres infectés        : 0
    Cookies analysés            : 1293
    Cookies infectés        : 0
    Fichiers spyware infectés            : 0
    Menaces Spyware détectées    : 0


    Définitions virus     : 559652
    Plugins d'analyse    : 16
    Plugins archives    : 41
    Plug-ins décompression    : 6
    Plug-ins messagerie    : 6
    Plug-ins système    : 5

    Options d'analyse

    Détection
    [X] Analyser le secteur de boot
    [X] Analyser les archives
    [X] Analyser les fichiers en paquets
    [X] Analyser la messagerie

    Masque fichiers
    [ ] Programmes
    [X] Tous les fichiers
    [ ] Extensions définies par l'utilisateur:
    [ ] Exclure les extensions:;

    Action

    Objets infectés
    [ ] Ignorer
    [X] Désinfecter
    [ ] Effacer
    [ ] Copier
    [ ] Déplacer dans le dossier infectés
    [ ] Renommer
    [ ] Demander l'action

    Seconde action
    [ ] Ignorer
    [X] Effacer
    [ ] Copier
    [ ] Déplacer dans le dossier infectés
    [ ] Renommer
    [ ] Demander l'action

    Options d'analyse
    [X] Activer les alertes
    [X] Activer l'heuristique
    [ ] Afficher tous les fichiers dans le journal
    [X] Fichier journal : C:\Program Files\Softwin\BitDefender9\Logs\vscan_1180974711.log

    Options d'analyse Spyware

    [X] Processus mémoire
    [X] Clés de registres
    [X] Cookies


    Sommaire :

    C:\Documents and Settings\user\Recent\perfc000.lnk=>C:\WINDOWS\system32\perfc000.dat    Infecté avec: Trojan.Agent.AWX
    C:\Documents and Settings\user\Recent\perfc000.lnk=>C:\WINDOWS\system32\perfc000.dat    Désinfection impossible
    C:\Documents and Settings\user\Recent\perfc000.lnk=>C:\WINDOWS\system32\perfc000.dat    Effacé
    C:\Documents and Settings\user\Recent\perfc000.lnk    Mise à jour impossible
    C:\RECYCLER\S-1-5-21-2052111302-1659004503-725345543-1003\Dc1.dat    Infecté avec: Trojan.Agent.AWX
    C:\RECYCLER\S-1-5-21-2052111302-1659004503-725345543-1003\Dc1.dat    Désinfection impossible
    C:\RECYCLER\S-1-5-21-2052111302-1659004503-725345543-1003\Dc1.dat    Effacé
    C:\RECYCLER\S-1-5-21-2052111302-1659004503-725345543-1003\Dc2.dat    Infecté avec: Trojan.Agent.AWX
    C:\RECYCLER\S-1-5-21-2052111302-1659004503-725345543-1003\Dc2.dat    Désinfection impossible
    C:\RECYCLER\S-1-5-21-2052111302-1659004503-725345543-1003\Dc2.dat    Effacé
    C:\RECYCLER\S-1-5-21-2052111302-1659004503-725345543-1003\Dc3.dat    Infecté avec: Trojan.Agent.AWX
    C:\RECYCLER\S-1-5-21-2052111302-1659004503-725345543-1003\Dc3.dat    Désinfection impossible
    C:\RECYCLER\S-1-5-21-2052111302-1659004503-725345543-1003\Dc3.dat    Effacé
    C:\WINDOWS\system32\perfc000.dat    Infecté avec: Trojan.Agent.AWX
    C:\WINDOWS\system32\perfc000.dat    Désinfection impossible
    C:\WINDOWS\system32\perfc000.dat    Effacé

  • Bonjour,


    Recycler correspond à la corbeille : désactivez BitDefender puis videz la corbeille.


    Supprimez les 2 autres fichiers en mode sans échec.


    Refaites un scan et repostez le nouveau rapport d'analyse.


    Cdlt

  • Bonjour,


    Il n-y-a absolument rien dans la corbeille


    Le fichier qui ce supprime pas c'est a dire que des que je le supprime il reviens 1seconde après je suppose que c'est une autre fichier qui le crée en boucle si ce dernier venait a être supprimer donc le fichier qui ce supprime pas est le :


    C:\WINDOWS\system32\perfc000.dat


    Cordialement. :)

  • Salut,


    Ce problème peut être solutionné en utilisant combofix.exe et en le faisant tourner en mode sans échec.


    Je l'ai utilisé il y a une heure et plus de fichiers recrés ni d'alertes.


    Bonne chance.

  • Bonsoir,


    Merci beaucoup le fichier a bien était supprimer..


    voici le code pour ce qui veulent voir


    "user" - 2007-06-07 19:19:51    Service Pack 2  NTFS  [SAFE MODE]
    ComboFix 07-06-3B - Running from: "D:\eMule\Incoming\"


    (((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\Program Files\install.log
    C:\WINDOWS\system32\perfc000.dat


    (((((((((((((((((((((((((   Files Created from 2007-05-07 to 2007-06-07  )))))))))))))))))))))))))))))))


    2007-06-07 19:25    <REP>    d--------    C:\WINDOWS\system32\tmp000064a1
    2007-06-05 15:40    <REP>    d--------    C:\Program Files\Google
    2007-06-05 15:40    <REP>    d--------    C:\DOCUME~1\user\APPLIC~1\Google


    ((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-06-07 17:16:55    81,984    ----a-w    C:\WINDOWS\system32\bdod.bin
    2007-06-07 16:28:42    14    ----a-w    C:\WINDOWS\system32\getfile.dat
    2007-05-27 22:16:46    --------    d-----w    C:\Program Files\MSN Messenger
    2007-05-21 15:43:03    --------    d--h--w    C:\Program Files\InstallShield Installation Information
    2007-05-06 19:05:22    --------    d-----w    C:\DOCUME~1\user\APPLIC~1\Skype
    2007-05-03 21:38:16    2,560    ----a-w    C:\WINDOWS\system32\BitCometRes.dll
    2007-04-23 23:47:09    --------    d-----w    C:\DOCUME~1\user\APPLIC~1\Sony
    2007-04-20 16:17:34    66,336    ----a-w    C:\WINDOWS\system32\perfc00C.dat
    2007-04-20 16:17:34    451,016    ----a-w    C:\WINDOWS\system32\perfh00C.dat
    2007-04-18 16:14:18    2,854,400    ----a-w    C:\WINDOWS\system32\msi.dll
    2007-04-17 14:58:32    --------    d-----w    C:\DOCUME~1\user\APPLIC~1\Camfrog
    2007-04-14 07:31:55    --------    d-----w    C:\Program Files\NCH Swift Sound
    2007-04-14 07:31:55    --------    d-----w    C:\DOCUME~1\user\APPLIC~1\NCH Swift Sound
    2007-04-13 21:59:15    --------    d-----w    C:\DOCUME~1\user\APPLIC~1\Hamachi
    2007-04-13 18:43:12    163,644    ----a-w    C:\WINDOWS\system32\drivers\secdrv.sys
    2007-04-13 16:57:22    26,056    ----a-w    C:\WINDOWS\system32\drivers\hamachi.sys
    2007-04-11 20:15:45    --------    d-----w    C:\DOCUME~1\user\APPLIC~1\RecordPad
    2007-04-11 20:13:49    21,120    ----a-w    C:\WINDOWS\system32\drivers\nchssvad.sys
    2007-04-11 20:03:37    4,103,032    ----a-w    C:\WINDOWS\system32\SpoonUninstall.exe
    2007-04-11 20:00:14    --------    d-----w    C:\DOCUME~1\user\APPLIC~1\Screenshot Sender
    2007-04-10 19:10:22    332    ----a-w    C:\WINDOWS\desctemp.dat
    2007-03-29 01:45:39    50,992    ---ha-w    C:\WINDOWS\system32\mlfcache.dat
    2007-03-20 23:11:35    73,728    ----a-w    C:\WINDOWS\system32\sockspy.dll
    2007-03-20 22:59:06    77,824    ----a-w    C:\WINDOWS\system32\xcomm.dll
    2007-03-20 00:57:49    335    ----a-w    C:\WINDOWS\mozregistry.dat
    2007-03-20 00:55:55    3,589    ----a-w    C:\WINDOWS\mozver.dat
    2007-03-20 00:46:43    0    ----a-w    C:\WINDOWS\nsreg.dat
    2007-03-17 13:44:47    293,376    ----a-w    C:\WINDOWS\system32\winsrv.dll
    2007-03-08 15:37:50    578,560    ----a-w    C:\WINDOWS\system32\user32.dll
    2007-03-08 15:37:50    40,960    ----a-w    C:\WINDOWS\system32\mf3216.dll
    2007-03-08 15:37:50    281,600    ----a-w    C:\WINDOWS\system32\gdi32.dll
    2007-03-08 15:33:58    1,843,712    ----a-w    C:\WINDOWS\system32\win32k.sys


    (((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-11-03 14:17]
    {22BF413B-C6D2-4d91-82A9-A0F997BA588C}=d:\Skype\Phone\IEPlugin\SKYPEI~1.DLL [2006-12-18 18:30]
    {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=D:\BitComet\tools\BitCometBHO_1.1.3.28.dll [2007-03-29 16:31]
    {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "VTTimer"="VTTimer.exe" [2005-03-07 21:33 C:\WINDOWS\system32\VTTimer.exe]
    "VTTrayp"="VTtrayp.exe" [2005-03-11 11:33 C:\WINDOWS\system32\VTTrayp.exe]
    "nwiz"="nwiz.exe" [2004-07-01 10:12 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="NvMCTray.dll" [2004-07-01 10:12 C:\WINDOWS\system32\nvmctray.dll]
    "SoundMan"="SOUNDMAN.EXE" [2005-07-22 09:00 C:\WINDOWS\SOUNDMAN.EXE]
    "BDMCon"="c:\progra~1\softwin\bitdef~1\bdmcon.exe" [2007-03-21 01:09]
    "BDOESRV"="C:\Program Files\Softwin\BitDefender9\bdoesrv.exe" [2005-03-11 18:53]
    "BDNewsAgent"="C:\progra~1\softwin\bitdef~1\bdnagent.exe" [2005-06-09 11:28]
    "BDSwitchAgent"="C:\progra~1\softwin\bitdef~1\bdswitch.exe" [2005-04-06 14:09]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
    "QuickTime Task"="D:\QuickTime\qttask.exe" [2006-12-15 23:31]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:54]
    "PhotoShow Deluxe Media Manager"="C:\PROGRA~1\Nero\data\Xtras\mssysmgr.exe" []
    "Steam"="d:\steam\steam.exe" [2007-05-31 14:10]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    "D:\QuickTime\qttask.exe" -atboottime

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{019f0335-f746-11db-a49c-101111111111}]
    AutoRun\command- RavMon.exe
    explore\Command- RavMon.exe -e
    open\Command- RavMon.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{08637bfe-dbc2-11db-a471-101111111111}]
    AutoRun\command- G:\RavMon.exe
    explore\Command- G:\RavMon.exe -e
    open\Command- G:\RavMon.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{111a8560-a0e4-11db-a410-101111111111}]
    AutoRun\command- RavMon.exe
    explore\Command- RavMon.exe -e
    open\Command- RavMon.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69c76b6c-fa3d-11db-a49f-101111111111}]
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b963e932-ec4d-11db-a48c-101111111111}]
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba2231bb-cc92-11db-a45b-101111111111}]
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe


    **************************************************************************

    catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-06-07 19:25:59
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-06-07 19:28:17 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-06-07 19:28

        --- E O F ---


    Cordialement.