Virus backdoor.win32.rbot.gen

Question

salut.voila une petite semaine que mon ordi s'arrete.une fenetre avec compte a rebour de 2 h s'affiche.je suppose que ca doit etre lie au virus "backdoor.win32.rbot.gen" ou sasser.avec ravantivirus, jo btiens le scan suivant:c:\program files\fichiers communs\plntanfb
eppdcnp\hhblpcre.exe-backdoor:win32/agent.AY ->infectedc:\program files\fichiers ommuns\plntanfb\pfcpfpbdej\pnbnpdprh.exe-backdoor:win32/agent.AY->infectedque dois je faire pour nettoyer cette merde?????merci bcp pour votre aide

Utilisateur anonyme · Answer

hhblpcre.exepnbnpdprh.exeSalutcherches et trouves dans leurs repertoires respectifs ces deux fichiers puis supprimes les............et refais un scan

jawad · Answer

aussi simplement que ca???j ai peur de faire une connerie en effacant les fichiers tt juste

Buenos · Answer

Hello Jawad,telecharge a2free sur telecharger.com (gratuit) et fais un scan avec..............j'ai vérifié, il est dans sa banque de données............Tchuss

jawad · Answer

ca marche pastjrs la :-((((je c pas quoi faire

Utilisateur anonyme · Answer

Supprimes les fichiers......post 2

jawad · Answer

j ai supprimé les fichiers mais g tjrs la fenetre qui s'ouvre et qui me dit que mon ordi va s"arreter ds 2 heures.je me demande si ya pas un autre virus "caché"

Utilisateur anonyme · Answer

Si t'es sous XP ou ME desactives ta restauration et redemarres sinon dans tous les cas refais un scan ici http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

jawad · Answer

sur securitoo, il trouve le scan suivant:

Virus : Worm.Win32.Sasser.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\1F6041D3.exe

Virus : Worm.Win32.Sasser.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\1F6041D3.exe

Virus : Worm.Win32.Lovesan.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\272032A6

Virus : Worm.Win32.Lovesan.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\272032A6

Virus : Worm.Win32.Sasser.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\36F6374B.exe

Virus : Worm.Win32.Sasser.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\36F6374B.exe

Virus : Worm.Win32.Sasser.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\43DD18CD

Virus : Worm.Win32.Sasser.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\43DD18CD

Virus : Worm.Win32.Sasser.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\43E142C9

Virus : Worm.Win32.Sasser.a
Trouvé dans : C:\Program Files\Norton AntiVirus\Quarantine\43E142C9

Virus : Backdoor.Win32.Rbot.gen
Trouvé dans : C:\WINDOWS\system32\wuampd.exe

Virus : Backdoor.Win32.Rbot.gen
Trouvé dans : C:\WINDOWS\system32\wuampd.exe

quelqu'un sait il se que ca veut dire????
d'autant plus que la patch de norton pour detecter saser me dit que celui ci n'est pas sur ma machine
je ne comprends rien :-((((
please help

Utilisateur anonyme · Answer

Sasser est reperé par securitoo dans la quarantaine de norton....normal........elle est a vider.wuampd.exe celui ci a supprimer manuellement et essaies un scan chez panda pour verifier..........

jawad · Answer

est ce que tu peux m'expliquer quelle est la procedure exacte a suivre pour effacer wuampd manuellement.
j'ai peur de ne pas le faire parfaitement et me retrouver avec un ordi planté.

autre question tte con:comment vider le dossier quarantaine de norton????je dois selectionner ts les fichiers et les effacer????

Utilisateur anonyme · Answer

Juste pour la quarantaine..........;selectionner ts les fichiers et les effacersi il ne te propose pas de les reparerC:\WINDOWS\system32\wuampd.exe lui tu le supprimes comme n'importe quel fichier et si pas possible par voie normale,alors essaies en mode sans echec.......et refais un scan......

jawad · Answer

sur quarantaine de norton:ya 26 fichiers (dont 2applications)et 2 dossiers :Portal et Incomingdois je vraiment tt supprimer???meme les dossiers???merci pour tte ton aide

jawad · Answer

je ne comprend rien de ché rien.
apres avoir effacé wumpd, je pensais que ct bon.
mais la malheureusement la fentere avec compte a rebours de 2 h c ouverte
le malheur c que qd je fais un scan avec ravantivirus, ya rien de detecté.tt est normal
QUE FAIRE?????

Utilisateur anonyme · Answer

Hello

Je fais un copier coller : Hello

Supprime les en mode sans échec et ta restauration système désactivée...
Tentes avec la killbox http://download.broadbandmedic.com/Killbox.exe

as tu essayé comme cela ?
Avant de les "killer", désactive les processus : Démarrer==>exécuter==>tu tapes "msconfig" et ok
Dans l'onglet "processus", tu désactives wuampd.exe et ensuite, tu ouvres la killbox et tu fais un copier coller des fichiers C:\WINDOWS\system32\wuampd.exe

Si tu n'y arrives pas avec la killbox, tentes avec ceci :
http://www.clubic.com/telecharger-fiche10932-copylock.html

tchô

soyons désinvolte...

jawad · Answer

saluten fait le fichier est effacé.ya pas de soucile pb c qu'aucun virus n 'est detecté, mais pourtant g une fenetre qui s'ouvre pour m'eteindre l'ordi ttes les 2 heures

Utilisateur anonyme · Answer

HelloFais un scan avec Hijackthis http://www.hijackthis.de/hijackthis_198.zipFais un copier coller du log sur ce post pour analysetchôsoyons désinvolte...

jawad · Answer

voici mon log avec hijackthis:Logfile of HijackThis v1.98.2Scan saved at 10:30:20, on 10/11/2004Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\PROGRA~1\MESSAG~1\Demon.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Logitech\iTouch\iTouch.exeC:\PROGRA~1\WinFax\WFXSWTCH.exeC:\WINDOWS\System32\wfxsnt40.exeC:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXEC:\Program Files\Logitech\ImageStudio\LogiTray.exeC:\Program Files\ASUS\SmartDoctor\SmartDoctor.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Messenger\msmsgs.exeC:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exeC:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exeC:\Program Files\ACD Systems\ImageFox\ImageFox.exeC:\Program Files\Logitech\ImageStudio\LowLight.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\System32\zstatus.exeC:\WINDOWS\System32	askmgr.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\jawad\Bureau\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.frR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocxO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [LiveNote] livenote.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXEO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [adiras] adiras.exeO4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exeO4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exeO4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXEO4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exeO4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exeO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exeO4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe  /startO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quietO4 - HKCU\..\Run: [Microsoft Update] wuampd.exeO4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: ImageFox.lnk = ?O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exeO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/fr/win/QuickTimeInstaller.exeO16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

Utilisateur anonyme · Answer

Platform: Windows XP (WinNT 5.01.2600) Salut,tu risque gros avec ca..........si tu veux pas du SP2,equipe toi au moins du Pack 1.http://www.microsoft.com/windowsxp/downloads/updates/sp1/default.mspx  =>       SP1http://telecharger.yacapa.com/download/1287.html =>   SP2Sinon ton log a l'air correct........

Utilisateur anonyme · Answer

Re

Wael a raison, faut te mettre à jour ton XP, sinon tu t'en sortiras pas...
Ton décompte de 2 heures ne vient pas de Rbot.gen, c'est pas dans ses fonctions...
Pour ton log, tu fais ctrl+alt+supp, dans processus, tu arrêtes wuampd.exe (le tout en mode sans échec, touche F8 au démarrage de ta bécane)
Avec Hijackthis, Tu coches ces 2 lignes et tu cliques sur fix...
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe

Tu rebootes, et tu vois ce que çà donne...C'est une belle m....à enlever

Tu comprends l'anglais à tout hasard ????

tchô

soyons désinvolte...

jawad · Answer

salutpourquoi tu dis "je risque gros avec ca"???.ya un gros pb sur ma machine???poutant tu dis que mon log a l'air corrct!!!!peux tu m'eclaircir un peu?

Utilisateur anonyme · Answer

Non je parlais de la platform XP simple sur laquelle tu evolues.......pense a le mettre a jour ......Kiki t'a trouvé deux lignes a fixer........

jawad · Answer

mais tt le monde dit qu'il y a de grosses merdes avec SP 1 et 2.et que ca ne marche paspour wuampd, je l'ai effacé en mode sans echec.par contre je sais pas pourquoi il apparait encore avec hijackthis.en fait j ai ma petite idee.comme il apparait avec msconfig c normal qu'il le detcte.par contre je pense qu'il doit etre inactif

Utilisateur anonyme · Answer

Re  C'est sur, il y a des pblèmes de compatibilité entre le SP2 et certains logiciels (perso, je l'avais et je l'ai désinstallé), mais le SP1, man, c'est le minimum de sécurité qu'il te faut, sinon ton PC va devenir l'institut pasteur, une grosse banque à virusVa sur windows update, fais toutes les mises à jour proposéees pour SP1....et fixes les 2 lignes avec hijackthissoyons désinvolte...

jawad · Answer

je peux telecharger SP1 meme si g une version pirate?est il possible que windows update reconnaisse ma version pirate et me desactive tout?

Easlyneanar · Answer

Hola, bon je voulais faire peur un peu mdr :PBon pour commencer, ce n'est pas très bien d'avoir une version pirate d'un logiciel.  Mais rassure toi, même si microsoft a planté les numeros de serie utilisé par les pirates pour faire les mises à jour de SP1 (uniquemetn), il existe quand même une façon d'en venir à bout.  Il faudrait regarder pour un Keygen Windows XP français.  Je ne veux pas encourager le piratage, donc je vais laisser à d'autre le soin de te renseigner sur ce point.Sur pour quoi je voulais interagir, était sur le pourquoi de l'importance des mises à jour. Le virus Sasser s'exécute pas sur ton ordinateur à cause d'une action humaine.  En fait, il abuse totalement le système windows XP et l'oblige à l'exécuter sans l'intéraction humaine. C'est pourquoi, il est si virulent et dangereux.  Si ton système n'est pas à jour, le virus Sasser va se réinstaller autant de fois que tu vas le désinstaller.  Parceque, à toute les 30 secondes environ, le virus Sasser essaye de s'installer sur les ordinateurs autours des ordinateurs infectés.  Bref, il est primordiale de tenir ton ordinateur à jour si tu ne veux pas voir ton ordinateur devenir un outil de piratage en puissance.  Au fait rbot est un virus ou plus précisément un trojan qui va rejoindre un canal IRC (de chat). Ensuite, le pirate va pouvoir contrôler toute les machines infectées par son virus et pouvoir mettons avoir une armée de 10 000 machines capable de planter n'importe quel réseau dans le monde.  Bref, j'imagine que tu n'aimerais pas que ton ordinateur contribue à une attaque massive ciblant par exemple une base militaire quelques part dans le monde ou un site gouvernementale ou une grosse compagnie. Bref les mises a jours sont importantes pas juste pour ta propre sécurité mais pour la sécurité d'Internet au complet. Et ça : c'est ta responsabilité à toi :)Bon ça peut faire peur un peu mais bon c'est la réalité. Même si faut pas trop s'en faire avec ça (faut quand même arriver a dormir et être heureux. il n'y a pas que les pcs dans la vie après tout), il faut quand même faire son possible dans les limites de nos connaissances pour limité les risques.  Les vrais méchants après tout, c'est ceux qui créer ces programmes là, pas ceux qui sont victimes. :)EaslyneanarAdmin Report-Abuse www.Undernet.orgeaslyneanar@gmail.comP.S.: Désolé pour les fautes d'ortographe, j'ai du écrire mon email de bout en bout sans le relire par manque de temps.  Si j'en ai la possibilité, je repasserai plus tard pour le corriger.

jawad · Answer

peut on qd meme telecharger sp1 en tte securité???

GrandMa Ho · Answer

Salut.Cette discussion me fait un peu marrer -parce que j'ai aussi, disons, pour faire élégant, une version de XP Pro "empruntée" (quand on voit ce que coûte une version de XP Pro quand on l'achète et surtout quand on ne fait aucun travail professionnel avec l'ordi, pas d'état d'âme et Bill Gates est déjà bien assez riche !).Au départ, j'ai eu aussi des problèmes avec le pack1 - clé non valide .... Mais pour une raison que je ne m'explique pas, depuis tout un temps, je n'ai plus de problème.Je reçois régulièrement une invitation à télécharger les mises à jour critiques et je n'ai généralement pas de problème quand j'exécute. Ce qui n'est pas le cas quand j'utilise Windows Update de mon propre chef.De toute façon, avant detélécharger, je prends soin de me faire un point de restauration. On ne sait jamais !Si je devais avoir de gros problèmes, je finirais évidemment par acheter. Mais à part l'OS, je ne prends pas de version piratée - Quand j'ai besoin d'un logiciel pour certaines choses, je l'achète.Si Microsoft avait le bon sens de faire ce que d'autres font, cad de prévoir une version gratuite (ou pas très chère) pour les particuliers qui ne peuvent pas mettre ça comme frais sur leur déclaration au fisc, il y aurait moins de problèmes.Quand on voit le nombre d'utilisateurs des OS de Microsoft, même en baissant les prix, ce serait encore rentable.A bon entendeur, salut.

Easlyneanar · Answer

Les mises à jour que tu installes ne sont pas un service pack mais juste des mises à jour.  Ces mises à jour ne sont pas protéger comme le service pack.  Si tu n'as pas réglé ton problème de serial, à mon avis probablement que tu n'as pas le service pack installé.EaslyneanarAdmin Report-Abuserwww.undernet.org

poiseman · Answer

ben voila moi ossi g chopé cette merde ^^ lool (enfin c vrai !!!) backdoor.win32.rbot.gen c machin la i me rend fou car il a infecté un fichier dan system 32 c'est toujour un tftpXXXX (x= chiffre) ca depend defois ya moin de chiffre mé c toujour un tftp e jarive toujour a léfacé mé i revien sou un otre chiffre kelkun peu maider ????

GrandMa Ho · Answer

Salut.Si cette saleté revient quand tu l'as effacé, c'est qu'il est encore caché ailleurs que dans system 32.Fais un scan avec a² guard et note le résultat du scan.Essaie, avec Windows Explorer, de localiser les endroits où ça s'est mis et élimine les manuellement.Tu peux aussi essayer avec la version d'évaluation de PestPatrol. Là, normalement, s'il le trouve, il va pouvoir éliminer tout en une fois. Ce qui est tout de même plus facile.Une fois que c'est fait et que tu es sûr qu'il n'est plus là, tu crées un point de restauration (si tu peux). C'est ce que je fais quand je chope un truc.Un conseil, fait attention aux sites sur lesquels tu vas, parce que sur les sites douteux du point de vue légal, tu es pratiquement sûr de choper ce qu'il ne faut pas.

poiseman · Answer

merci

poiseman · Answer

o faite a² ca marche pa

david · Answer

a2free est compatible avec un autre antivirus deja installe sur mon pc et qui ne detect pas le virus

christian · Answer

Est ce que a2free est compatible avec un autre antivirus qui na pas detecté le virus backnoor... ?????

christian · Answer

Est ce que quel qu'un pe meclaire stp ???

Marc · Answer

Salut,Si ton pc reboot encore install un firewall et normalement ca passera(a condition que tu fasse attention de bloque l'acces a ce qui cause le reboot) en fait il y a des chance pour que ce soit une backdoor de win xp qui cause se probleme et ca arrive souvent au personne qui ont une version dont le serial a deja ete utilise.J'espere pour toi que ce sera ca...

patrick · Answer

bonjour jai le virus backdoor.win32agolot.gen jai lantit virus kapersky je narrive pas a sortir cette merde quelqun peut maider? merci

Virus backdoor.win32.rbot.gen

37 réponses

Votre réponse

Discussions similaires

Newsletters