Virus backdoor.win32.rbot.gen

jawad -  
 anonyme -
salut.

voila une petite semaine que mon ordi s'arrete.une fenetre avec compte a rebour de 2 h s'affiche.
je suppose que ca doit etre lie au virus "backdoor.win32.rbot.gen" ou sasser.
avec ravantivirus, jo btiens le scan suivant:

c:\\program files\fichiers communs\plntanfb\neppdcnp\hhblpcre.exe-backdoor:win32/agent.AY ->infected
c:\\program files\fichiers ommuns\plntanfb\pfcpfpbdej\pnbnpdprh.exe-backdoor:win32/agent.AY->infected

que dois je faire pour nettoyer cette merde?????

merci bcp pour votre aide

37 réponses

  • 1
  • 2
Résumé de la discussion

Le souci décrit est un ordinateur qui s'éteint et affiche une fenêtre de compte à rebours de 2 heures, probablement lié à une infection par Backdoor.Win32.RBot.Gen ou Backdoor:Win32/Agent.AY. Plusieurs éléments suggèrent d'exécuter des scans avec des outils tels que A² Free, de mettre à jour Windows XP avec le SP1 ou SP2, et d'utiliser HijackThis pour supprimer les entrées malveillantes. D'autres conseils évoquent la localisation et l'élimination manuelles via l'examen du système, la création d'un point de restauration après nettoyage, et des précautions sur les sites douteux. Certains indiquent que le compte à rebours n'est pas une fonction de backdoor et que l'origine peut être différente, ce qui oriente vers une vérification des services Windows et des processus actifs.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    hhblpcre.exe
    pnbnpdprh.exe

    Salut
    cherches et trouves dans leurs repertoires respectifs ces deux fichiers puis supprimes les............et refais un scan
    0
  2. jawad
     
    aussi simplement que ca???
    j ai peur de faire une connerie en effacant les fichiers tt juste
    0
  3. Buenos Messages postés 154 Statut Membre 9
     
    Hello Jawad,
    telecharge a2free sur telecharger.com (gratuit) et fais un scan avec..............j'ai vérifié, il est dans sa banque de données............
    Tchuss
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Supprimes les fichiers......post 2
    0
  6. jawad
     
    j ai supprimé les fichiers mais g tjrs la fenetre qui s'ouvre et qui me dit que mon ordi va s"arreter ds 2 heures.
    je me demande si ya pas un autre virus "caché"
    0
  7. jawad
     
    sur securitoo, il trouve le scan suivant:

    Virus : Worm.Win32.Sasser.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\1F6041D3.exe

    Virus : Worm.Win32.Sasser.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\1F6041D3.exe

    Virus : Worm.Win32.Lovesan.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\272032A6

    Virus : Worm.Win32.Lovesan.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\272032A6

    Virus : Worm.Win32.Sasser.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\36F6374B.exe

    Virus : Worm.Win32.Sasser.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\36F6374B.exe

    Virus : Worm.Win32.Sasser.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\43DD18CD

    Virus : Worm.Win32.Sasser.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\43DD18CD

    Virus : Worm.Win32.Sasser.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\43E142C9

    Virus : Worm.Win32.Sasser.a
    Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\43E142C9

    Virus : Backdoor.Win32.Rbot.gen
    Trouvé dans : C:\WINDOWS\system32\wuampd.exe

    Virus : Backdoor.Win32.Rbot.gen
    Trouvé dans : C:\WINDOWS\system32\wuampd.exe

    quelqu'un sait il se que ca veut dire????
    d'autant plus que la patch de norton pour detecter saser me dit que celui ci n'est pas sur ma machine
    je ne comprends rien :-((((
    please help
    0
  8. Utilisateur anonyme
     
    Sasser est reperé par securitoo dans la quarantaine de norton....normal........elle est a vider.
    wuampd.exe celui ci a supprimer manuellement et essaies un scan chez panda pour verifier..........
    0
  9. jawad
     
    est ce que tu peux m'expliquer quelle est la procedure exacte a suivre pour effacer wuampd manuellement.
    j'ai peur de ne pas le faire parfaitement et me retrouver avec un ordi planté.

    autre question tte con:comment vider le dossier quarantaine de norton????je dois selectionner ts les fichiers et les effacer????
    0
  10. Utilisateur anonyme
     
    Juste pour la quarantaine..........;selectionner ts les fichiers et les effacersi il ne te propose pas de les reparer

    C:\WINDOWS\system32\wuampd.exe lui tu le supprimes comme n'importe quel fichier et si pas possible par voie normale,alors essaies en mode sans echec.......
    et refais un scan......
    0
  11. jawad
     
    sur quarantaine de norton:
    ya 26 fichiers (dont 2applications)et 2 dossiers :Portal et Incoming
    dois je vraiment tt supprimer???meme les dossiers???
    merci pour tte ton aide
    0
  12. jawad
     
    je ne comprend rien de ché rien.
    apres avoir effacé wumpd, je pensais que ct bon.
    mais la malheureusement la fentere avec compte a rebours de 2 h c ouverte
    le malheur c que qd je fais un scan avec ravantivirus, ya rien de detecté.tt est normal
    QUE FAIRE?????
    0
  13. Utilisateur anonyme
     
    Hello

    Je fais un copier coller : Hello

    Supprime les en mode sans échec et ta restauration système désactivée...
    Tentes avec la killbox http://download.broadbandmedic.com/Killbox.exe


    as tu essayé comme cela ?
    Avant de les "killer", désactive les processus : Démarrer==>exécuter==>tu tapes "msconfig" et ok
    Dans l'onglet "processus", tu désactives wuampd.exe et ensuite, tu ouvres la killbox et tu fais un copier coller des fichiers C:\WINDOWS\system32\wuampd.exe

    Si tu n'y arrives pas avec la killbox, tentes avec ceci :
    http://www.clubic.com/telecharger-fiche10932-copylock.html

    tchô

    soyons désinvolte...
    0
  14. jawad
     
    salut
    en fait le fichier est effacé.ya pas de souci
    le pb c qu'aucun virus n 'est detecté, mais pourtant g une fenetre qui s'ouvre pour m'eteindre l'ordi ttes les 2 heures
    0
  15. jawad
     
    voici mon log avec hijackthis:

    Logfile of HijackThis v1.98.2
    Scan saved at 10:30:20, on 10/11/2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\MESSAG~1\Demon.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Logitech\iTouch\iTouch.exe
    C:\PROGRA~1\WinFax\WFXSWTCH.exe
    C:\WINDOWS\System32\wfxsnt40.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
    C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Program Files\ACD Systems\ImageFox\ImageFox.exe
    C:\Program Files\Logitech\ImageStudio\LowLight.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\zstatus.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\jawad\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [adiras] adiras.exe
    O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
    O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
    O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
    O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: ImageFox.lnk = ?
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/fr/win/QuickTimeInstaller.exe
    O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    0
  16. Utilisateur anonyme
     
    Re

    Wael a raison, faut te mettre à jour ton XP, sinon tu t'en sortiras pas...
    Ton décompte de 2 heures ne vient pas de Rbot.gen, c'est pas dans ses fonctions...
    Pour ton log, tu fais ctrl+alt+supp, dans processus, tu arrêtes wuampd.exe (le tout en mode sans échec, touche F8 au démarrage de ta bécane)
    Avec Hijackthis, Tu coches ces 2 lignes et tu cliques sur fix...
    O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
    O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe

    Tu rebootes, et tu vois ce que çà donne...C'est une belle m....à enlever

    Tu comprends l'anglais à tout hasard ????

    tchô

    soyons désinvolte...
    0
  17. jawad
     
    salut
    pourquoi tu dis "je risque gros avec ca"???.ya un gros pb sur ma machine???
    poutant tu dis que mon log a l'air corrct!!!!
    peux tu m'eclaircir un peu?
    0
  • 1
  • 2