Backdoor.win32.rbot.gen à détruire, plz
cotto
Messages postés
2
Statut
Membre
-
pascal -
pascal -
J'ai lu des messages concernant ce virus (un troyen ?) et j'ai récupéré sur le net Hijack et killbox.
Cette saleté est plus ou moins bien bloquée par zone alarme, avec une tentative de generic host process for win32 services qui essaye de sortir à destination de l'ip 239 255 255 250 port 1900 (au bout d'un certain nombre de tentatives, j'ai d'autres tentatives de sorties vers d'autres ip).
Il faut quand même noter que des processus se bloquent, en particulier lorsque je déco le net, et que le blocage ne disparaît qu'en déconnectant mon cable usb (le modem est reconnu lorsque je le rebranche, mais plus de connexion au net tant que j'ai pas redémarré la machine).
J'ai lancé hijack et voici le log qu'il m'affiche.
Logfile of HijackThis v1.99.1
Scan saved at 18:29:11, on 20/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
D:\Program Files\winzip\WZQKPICK.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\wuauclt.exe
D:\antivirus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] "D:\antivirus\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\winzip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111187713971
O23 - Service: kavsvc - Kaspersky Lab - D:\antivirus\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Est ce que quelqu'un pourrait me dire quelles lignes je dois fixer ? quels fichiers je dois kill ? Pourquoi msn tente sans arrêt de se connecter lui aussi ? Comment désinstaller msn sans tout casser ? Et pourquoi tant de haine ? Merci d'avance.
Au fait, vous l'aurez deviné, j'ai Kaspersky comme anti virus, zone alarme pour protéger des entrées et sorties non désirées, et le pack 1 (windows xp pro). J'ai pas le pack 2 parce qu'il n'aime pas zone alarm (à ce qu'on m'a dit).
Cette saleté est plus ou moins bien bloquée par zone alarme, avec une tentative de generic host process for win32 services qui essaye de sortir à destination de l'ip 239 255 255 250 port 1900 (au bout d'un certain nombre de tentatives, j'ai d'autres tentatives de sorties vers d'autres ip).
Il faut quand même noter que des processus se bloquent, en particulier lorsque je déco le net, et que le blocage ne disparaît qu'en déconnectant mon cable usb (le modem est reconnu lorsque je le rebranche, mais plus de connexion au net tant que j'ai pas redémarré la machine).
J'ai lancé hijack et voici le log qu'il m'affiche.
Logfile of HijackThis v1.99.1
Scan saved at 18:29:11, on 20/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
D:\Program Files\winzip\WZQKPICK.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\wuauclt.exe
D:\antivirus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] "D:\antivirus\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\winzip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111187713971
O23 - Service: kavsvc - Kaspersky Lab - D:\antivirus\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Est ce que quelqu'un pourrait me dire quelles lignes je dois fixer ? quels fichiers je dois kill ? Pourquoi msn tente sans arrêt de se connecter lui aussi ? Comment désinstaller msn sans tout casser ? Et pourquoi tant de haine ? Merci d'avance.
Au fait, vous l'aurez deviné, j'ai Kaspersky comme anti virus, zone alarme pour protéger des entrées et sorties non désirées, et le pack 1 (windows xp pro). J'ai pas le pack 2 parce qu'il n'aime pas zone alarm (à ce qu'on m'a dit).
A voir également:
- Backdoor.win32.rbot.gen à détruire, plz
- Comment détruire un virus informatique - Guide
- Détruire disque dur eau - Forum Disque dur / SSD
- Détruire, anéantir massacrer Avira Antivirus ✓ - Forum Virus
- Comment détruire le virus Zentom System Guard ✓ - Forum Virus
- Je vais detruire la famille de mon mari scan - Forum Windows
6 réponses
Bonsoir
Il n'y a rien d'anormal dans ton log.
Va voir là :
http://www.hijackthis.de/index.php
pour l'évaluer
et là :
http://www.zebulon.fr/articles/HijackThis.php
pour comprendre le contenu des lignes si ça t'échappe.
Concernant generic host process for win32, il faut l'empecher d'aller sur inernet surtout si tu gère ton fichier host.
CF l'explication de P. Pinard sur http://assiste.free.fr :
"Sous peine, avec de longues listes hosts, de voir votre ordinateur, sous Windows, se ralentir considérablement, vous devez totalement interdire au service "Generic Host Process for Win32 Services" d'accéder au Net. Ceci se fait de 2 manières :
Créez une règle, dans votre firewall, qui interdit complètement à "Generic Host Process for Win32 Services" (aussi appelé "Client DNS" - le programme s'appelle svchosts.exe et est situé dans c:\windows\system32) d'accéder au Net. Regardez, par exemple, la capture d'écran d'un réglage dans ZoneAlrm Pro.
Désactivez le service "Generic Host Process for Win32 Services" (ou "Client DNS"). Le principe de cette manipulation est décrit à Comment activer / désactiver un service de Windows. En résumé : Démarrer > panneau de configuration > performances et maintenance > outils d'administration > services > onglet "étendu" ou "standard" est indifférent (en bas à gauche) > double clic sur le nom du service "Generic Host Process for Win32 Services" (ou "Client DNS") pour ouvrir la boîte des "propriétés" de ce service > si le service est signalé "Démarré" dans "Statut du service", clic sur "Arrêter" > Type de démarrage : choisir "Désactiver" > Ok > Fermez
@+
Il n'y a rien d'anormal dans ton log.
Va voir là :
http://www.hijackthis.de/index.php
pour l'évaluer
et là :
http://www.zebulon.fr/articles/HijackThis.php
pour comprendre le contenu des lignes si ça t'échappe.
Concernant generic host process for win32, il faut l'empecher d'aller sur inernet surtout si tu gère ton fichier host.
CF l'explication de P. Pinard sur http://assiste.free.fr :
"Sous peine, avec de longues listes hosts, de voir votre ordinateur, sous Windows, se ralentir considérablement, vous devez totalement interdire au service "Generic Host Process for Win32 Services" d'accéder au Net. Ceci se fait de 2 manières :
Créez une règle, dans votre firewall, qui interdit complètement à "Generic Host Process for Win32 Services" (aussi appelé "Client DNS" - le programme s'appelle svchosts.exe et est situé dans c:\windows\system32) d'accéder au Net. Regardez, par exemple, la capture d'écran d'un réglage dans ZoneAlrm Pro.
Désactivez le service "Generic Host Process for Win32 Services" (ou "Client DNS"). Le principe de cette manipulation est décrit à Comment activer / désactiver un service de Windows. En résumé : Démarrer > panneau de configuration > performances et maintenance > outils d'administration > services > onglet "étendu" ou "standard" est indifférent (en bas à gauche) > double clic sur le nom du service "Generic Host Process for Win32 Services" (ou "Client DNS") pour ouvrir la boîte des "propriétés" de ce service > si le service est signalé "Démarré" dans "Statut du service", clic sur "Arrêter" > Type de démarrage : choisir "Désactiver" > Ok > Fermez
@+
Re (escalier, tjrs)
Pour désinstaller MSN de windows, va voir là :
http://trucs-astuces-windows.skynetblogs.be/?date=20030914&number=1&unit=months
@+
Pour désinstaller MSN de windows, va voir là :
http://trucs-astuces-windows.skynetblogs.be/?date=20030914&number=1&unit=months
@+
merci à vous. Il semble que tout m'indique qu'il n'y a pas de problème, et pourtant, quelque chose essaye de sortir et bloque mon pc s'il y arrive...
Pour le moment, zone alarm le bloque. Je vais voir ce que je vais faire, mais ... merci :)
Pour le moment, zone alarm le bloque. Je vais voir ce que je vais faire, mais ... merci :)
Re
Si c'est "Generic Host Process for Win32 Services" qui tente d'accéder au net, c'est normal.
Si tu as un fichier host, c'est normal aussi que ça ralentisse ton ordi.
Dans ce cas, fais ce que je t'ai dit.
Bloque "generic etc.) et désactive le service "client DNS.
@+
Si c'est "Generic Host Process for Win32 Services" qui tente d'accéder au net, c'est normal.
Si tu as un fichier host, c'est normal aussi que ça ralentisse ton ordi.
Dans ce cas, fais ce que je t'ai dit.
Bloque "generic etc.) et désactive le service "client DNS.
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re
Si tu as encore des pbs, va voir là :
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453087711
Tu trouveras la procédure complète d'éradication du backdoor rbot.gen
Vérifie et supprime (ou mets en zone de quarantaine ou dans un dossier spécifique) tous les fichiers listés (attention à ne pas se tromper !). fais ça en safe mode.
Ensuite nettoie ton registre avec regcleaner par exemple.
Quand tout marche normalement, supprime définitivement les fichiers.
@+
Si tu as encore des pbs, va voir là :
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453087711
Tu trouveras la procédure complète d'éradication du backdoor rbot.gen
Vérifie et supprime (ou mets en zone de quarantaine ou dans un dossier spécifique) tous les fichiers listés (attention à ne pas se tromper !). fais ça en safe mode.
Ensuite nettoie ton registre avec regcleaner par exemple.
Quand tout marche normalement, supprime définitivement les fichiers.
@+
Tu peux installer le SP2 et désélectionner l'option firewall. Ceci aura l'aventage que tu auras les corrections des failles de sécurité (pas toutes, faut pas rêver !!!) et tu pourras continuer d'utiliser Zone Alarm si tu le souhaites...
Mais n'utilises pas 2 Firewall en même temps car tu auras des problèmes...
Mais n'utilises pas 2 Firewall en même temps car tu auras des problèmes...
