Virus Gaobot.S
Patrice
-
M&M Messages postés 5058 Statut Contributeur -
M&M Messages postés 5058 Statut Contributeur -
Bonjour,
Ci-dessous les infos concernant cette saleté de virus. J'ai tout essayé (sous XP). Merci de m'aider, si rien n'y fait un formatage peut-il avoir raison du virus ou réapparaitra-t-il éventuellement ? Merci, cordialement. PL
-Scan avec 4 anti-virus ou anti-trojan différents (Panda, PestPatrol, TrendMicro, AVGuard) qui n'ont soit rien trouvé soit détecté le virus sans pouvoir l'enlever.
-Impossible d'installer un anti virus efficace car la fenetre se ferme.
-Impossible d'ouvrir la base de registre et msconfig car la fenetre se ferme.
-Impossible d'installer un firewall (Zone Alarm Pro) car la fenetre se ferme.
-Impossible de lancer tous les correctifs micrososft qui se referme aussitôt.
-Impossible d'effectuer la procédure ci-dessous la fenetre se ferme aussitôt:
Open Windows Task Manager. Press
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs, locate the process:
LSAS.EXE
Description du ver (Impossible d'effectuer la procédure ci-après): http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.H
Date d'apparition sur Internet : 8 octobre 2003
Nom : Gaobot.S (alias Backdoor.Agobot.3.h,W32.HLLW.Gaobot.AO,WORM_AGOBOT.H)
Systèmes affectés : windows XP
- le ver se diffuse à partir d'une machine infectée en utilisant le
port 6667 pour se connecter à un serveur IRC (Internet Relay Chat)
- il tente d'exploiter les failles de sécurité RPC DCOM et WebDAV pour
attaquer des machines distantes qui n'auraient pas été "patchées" et en
prendre le contrôle
- il devient backdoor (en attente de connexions à partir de sites
distants) et permet, entre autre, l'exécution d'attaque de type DDoS
(Distributed Denial of Service) sur les ports 135 et 445
Symptômes :
- augmentation du traffic réseau sur les ports 135 et 445
- désactivation de programmes, dont les antivirus
- CPU utilisé à 100%
- Navigation Web très lente voire impossible.
Ci-dessous les infos concernant cette saleté de virus. J'ai tout essayé (sous XP). Merci de m'aider, si rien n'y fait un formatage peut-il avoir raison du virus ou réapparaitra-t-il éventuellement ? Merci, cordialement. PL
-Scan avec 4 anti-virus ou anti-trojan différents (Panda, PestPatrol, TrendMicro, AVGuard) qui n'ont soit rien trouvé soit détecté le virus sans pouvoir l'enlever.
-Impossible d'installer un anti virus efficace car la fenetre se ferme.
-Impossible d'ouvrir la base de registre et msconfig car la fenetre se ferme.
-Impossible d'installer un firewall (Zone Alarm Pro) car la fenetre se ferme.
-Impossible de lancer tous les correctifs micrososft qui se referme aussitôt.
-Impossible d'effectuer la procédure ci-dessous la fenetre se ferme aussitôt:
Open Windows Task Manager. Press
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs, locate the process:
LSAS.EXE
Description du ver (Impossible d'effectuer la procédure ci-après): http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.H
Date d'apparition sur Internet : 8 octobre 2003
Nom : Gaobot.S (alias Backdoor.Agobot.3.h,W32.HLLW.Gaobot.AO,WORM_AGOBOT.H)
Systèmes affectés : windows XP
- le ver se diffuse à partir d'une machine infectée en utilisant le
port 6667 pour se connecter à un serveur IRC (Internet Relay Chat)
- il tente d'exploiter les failles de sécurité RPC DCOM et WebDAV pour
attaquer des machines distantes qui n'auraient pas été "patchées" et en
prendre le contrôle
- il devient backdoor (en attente de connexions à partir de sites
distants) et permet, entre autre, l'exécution d'attaque de type DDoS
(Distributed Denial of Service) sur les ports 135 et 445
Symptômes :
- augmentation du traffic réseau sur les ports 135 et 445
- désactivation de programmes, dont les antivirus
- CPU utilisé à 100%
- Navigation Web très lente voire impossible.
A voir également:
- Virus Gaobot.S
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
3 réponses
fais cette manip la en premier Open Windows Task Manager. Press
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs, locate the process:
LSAS.EXE!que tu as cité!
et seulement ensuite tu fais la manip proposée sur trend micro!
sinon essaie de demarrer en mode sans echec en ayant avant desactivé la restauration systeme et en faisant un nettoayge de tes temporaires demarrer poste de travail clqie droit sur ta partiton system contenant ton noyau windows proprietes nettoayge disque tu coches tout et op nettoayge!
ensuite tu fais la manip de trend micro en mode sans echec!
peut etre que ca marchera!
sinon formatage complet de a a z toutes les partoches puis installation directe d'un antivirus!si tu fais une sauvegarde de tes fichiers sur cd tu analyses chaque fichier avec pl antivirus differents!
ps:normal que les antitrojans naient rien detecter car rares sont ceux qui detectent les worms!
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs, locate the process:
LSAS.EXE!que tu as cité!
et seulement ensuite tu fais la manip proposée sur trend micro!
sinon essaie de demarrer en mode sans echec en ayant avant desactivé la restauration systeme et en faisant un nettoayge de tes temporaires demarrer poste de travail clqie droit sur ta partiton system contenant ton noyau windows proprietes nettoayge disque tu coches tout et op nettoayge!
ensuite tu fais la manip de trend micro en mode sans echec!
peut etre que ca marchera!
sinon formatage complet de a a z toutes les partoches puis installation directe d'un antivirus!si tu fais une sauvegarde de tes fichiers sur cd tu analyses chaque fichier avec pl antivirus differents!
ps:normal que les antitrojans naient rien detecter car rares sont ceux qui detectent les worms!
Hé gars, il y a un truc qui me chiffonne, comment connais-tu le nom de ce virus qui t'a infecté ? C'est donc qu'un programme antivirus te l'a nommé, et donc nettoyé, non ?
Si je suis le lien que tu donnes, j'y lis qu'il suffit de faire apparaître le gestionnaire de tâche (Ctrl-Shift-ESC) et dans la section Processus, tu devrais voir les processus LSAS.exe et WINDRV.exe, qu'il suffit de "killer". Les vois-tu, ou non ? As-tu su les zigouiller, le temps de tout nettoyer, ou alors il faut disposer d'autres outils comme Bart (http://www.commentcamarche.net/forum/affich-345270-Qui-connait-AVAST-anti-virus#16 )
Je trouve les explications sur une bêtête similaire sur http://vil.nai.com/vil/content/v_100733.htm mais j'y découvre une extême variété de virus portant ce nom mais avec des caractéristiques très différentes.
As-tu bien noté que pour désinfecter un windows XP, il faut d'abord désactiver la restauration automatique du système faute de quoi le virus sera réinstallé par le mécanisme "salvateur" mis au point par Microsoft (http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.htm )
Il faut nettoyer de la base de registre les clés qui permettent au virus de réinfecter le PC à chaque démarrage. Un antivirus moderne s'occupe de faire cela comme un grand, je ne sais pas si le tien fait tout cela, mais il semble que tu ne sois pas bien conseillé, outillé, et protégé. Ces saloperies rentrent par la faille RPC, cela fait presque six mois qu'on vous dit de mettre à jour vos windows 2000 XP et NT4.
Tu peux aussi télécharger le nettoyeur Stinger 1.9.4 sur http://vil.nai.com/vil/stinger/
Pose toutes les questions que tu veux ici, tu es le bienvenu.
:,§_ ç _
(@)=(@)
Si je suis le lien que tu donnes, j'y lis qu'il suffit de faire apparaître le gestionnaire de tâche (Ctrl-Shift-ESC) et dans la section Processus, tu devrais voir les processus LSAS.exe et WINDRV.exe, qu'il suffit de "killer". Les vois-tu, ou non ? As-tu su les zigouiller, le temps de tout nettoyer, ou alors il faut disposer d'autres outils comme Bart (http://www.commentcamarche.net/forum/affich-345270-Qui-connait-AVAST-anti-virus#16 )
Je trouve les explications sur une bêtête similaire sur http://vil.nai.com/vil/content/v_100733.htm mais j'y découvre une extême variété de virus portant ce nom mais avec des caractéristiques très différentes.
As-tu bien noté que pour désinfecter un windows XP, il faut d'abord désactiver la restauration automatique du système faute de quoi le virus sera réinstallé par le mécanisme "salvateur" mis au point par Microsoft (http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.htm )
Il faut nettoyer de la base de registre les clés qui permettent au virus de réinfecter le PC à chaque démarrage. Un antivirus moderne s'occupe de faire cela comme un grand, je ne sais pas si le tien fait tout cela, mais il semble que tu ne sois pas bien conseillé, outillé, et protégé. Ces saloperies rentrent par la faille RPC, cela fait presque six mois qu'on vous dit de mettre à jour vos windows 2000 XP et NT4.
Tu peux aussi télécharger le nettoyeur Stinger 1.9.4 sur http://vil.nai.com/vil/stinger/
Pose toutes les questions que tu veux ici, tu es le bienvenu.
:,§_ ç _
(@)=(@)
Salut,
Merci pour ton message tout ce que tu abordes a été essayé ou fait sans succès. J'ai identifié le virus grace à un scan en ligne, identifié mais pas viré. Donc concernant la sécurisation j'ai zone alarm pro mais pas pu l'activer car bloqué par GOABOT.S
Ca craint cs virus, le formatage total c'est sur et pas cher au moins ?
A+ PL
Merci pour ton message tout ce que tu abordes a été essayé ou fait sans succès. J'ai identifié le virus grace à un scan en ligne, identifié mais pas viré. Donc concernant la sécurisation j'ai zone alarm pro mais pas pu l'activer car bloqué par GOABOT.S
Ca craint cs virus, le formatage total c'est sur et pas cher au moins ?
A+ PL
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs, locate the process:
LSAS.EXE
refuse de fermer le processus LSAS.EXE, donc impossible de poursuivre la procédur. En mode sans échec, je vire et décoche ce qu'il faut dans msconfig et rgedit mais une fois redémarrer (le système de restauration est pourtant désactivé sous xp) LSAS.EXE s'exécute au démarrage. Je n'avais vu une merde pareille. Le formatage complet et absolu est-il la seule soluce ??
Merci, PL
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs, locate the process:
LSAS.EXE
refuse de fermer le processus LSAS.EXE, donc impossible de poursuivre la procédur. En mode sans échec, je vire et décoche ce qu'il faut dans msconfig et rgedit mais une fois redémarrer (le système de restauration est pourtant désactivé sous xp) LSAS.EXE s'exécute au démarrage. Je n'avais vu une merde pareille. Le formatage complet et absolu est-il la seule soluce ??
Merci, PL