Virus agobot.cz, jsuis mal barré !!!!

Question

voila j ai installé windows xp pro mais j ai le pb de l'arret du systeme, j ai effacé quelques virus mais y a ce virus que je peux pas supprimer car il est utilisé :

virus : agobot.cz
Fichier infecté : iSVCHost.exe

j ai essayé de mettre à jour mon windows mais impossible :/

si quelqun a une réponse claire svp..??

merci à tous!!

Afficher la suite

balltrap34 · Answer

salut
vas dans la base de registre
demarrer/executer et tu tape regedit
ensuite tu cherche si ces clefs existe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Config Loader
= SCVHOST.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loader
= SCVHOST.EXE

si oui tu les supprimes

nagash · Answer

j y arrive pas, des ke je lance le registre ca se ferme 2 sc apres et y a ce put1 de message d arret du system !!!ca m ennerve !!!!

nagash · Answer

j viens de regarder ca le peu ke j ai pu et il y est pas :'(en plus je rame c horrible !!et ce message insupportable !!! help je c plu koi faire !!!

balltrap34 · Answer

dur
fait ctrl alt suppr et regarde si tu vois ca
iSVCHost.exe si tu le trouve click dessus et terminer le processus
attention ne te trompe pas bien avec le i devant
il existe plusieurs fichiers SVCHost.exe
ceux la pas touche
et essaie a nouveaux la manip de regedit explique plus haut

nagash · Answer

ba je viens d essayer mais kan je met terminer le prossecus, il reviens :/

nagash · Answer

alors la l antivirus viens de me cleaner : hktl_dcom.y worm_nachi worm_agabot-2 je c plus koi faire :'(

balltrap34 · Answer

si ton anti virus la nettoyer c est tous bon
fait ce scan en ligne par securite et colle le raopport ici
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.

nagash · Answer

alors voila :

- virus : worm agobot.cz
- scann result : not cleanable
- file : C:\windows\system32\iSVCHOST.exe

quand je veux le clean ou le delete, ca me met que c'est impossible car il est actuellement utilisé...

et quand je met terminer le processus, il reaparait...

balltrap34 · Answer

re
demarrer/execute
tape msconfig
regarde si tu le trouve sur l onglet demarrage
si oui tu le decovche tu redemarre une fenetre vas s ouvrir tu click sur ne plus affiche ce message
essaie a nouveau d arrete le prossesus
fait ctrl alt suppr et regarde si tu vois ca
iSVCHost.exe si tu le trouve click dessus et terminer le processus
attention ne te trompe pas bien avec le i devant
il existe plusieurs fichiers SVCHost.exe
ceux la pas touche
et essaie a nouveaux la manip de regedit explique plus haut

balltrap34 · Answer

re
demarrer/execute
tape msconfig
regarde si tu le trouve sur l onglet demarrage
si oui tu le decovche tu redemarre une fenetre vas s ouvrir tu click sur ne plus affiche ce message
essaie a nouveau d arrete le prossesus
fait ctrl alt suppr et regarde si tu vois ca
iSVCHost.exe si tu le trouve click dessus et terminer le processus
attention ne te trompe pas bien avec le i devant
il existe plusieurs fichiers SVCHost.exe
ceux la pas touche
et essaie a nouveaux la manip de regedit explique plus haut

balltrap34 · Answer

re
demarrer/execute
tape msconfig
regarde si tu le trouve sur l onglet demarrage
si oui tu le decovche tu redemarre une fenetre vas s ouvrir tu click sur ne plus affiche ce message
essaie a nouveau d arrete le prossesus
fait ctrl alt suppr et regarde si tu vois ca
iSVCHost.exe si tu le trouve click dessus et terminer le processus
attention ne te trompe pas bien avec le i devant
il existe plusieurs fichiers SVCHost.exe
ceux la pas touche
et essaie a nouveaux la manip de regedit explique plus haut

nagash · Answer

bon, alors je viens de faire comme tu m a dis, mais rien ne marche .......
je l enleve du demarage, ca marche mais un autre apparait, ensuite je le decoche et l autre se recoche ...... 'cecle sans fin'

ensuite tj pareil, pas moyen de terminer sa tache .......

et pour le registre, y a 2 fichiers ki ont rien a voir ....

ca sent vaguement le changement de dd .....

ca me fais deprimer !!!!!!!!!

balltrap34 · Answer

on vas essayer ca
dans l explorateur cherche regedit.exe
il est dabs c/windows
tu fait un copier coller
tu le met sur le bureau
tu le renomme en regedit.com
tu double click dessus et si ca a marcher la base de registre s ouvrira
si non essaie de le renommer en pattate.com
et recommence

ludichris · Answer

si tu a le temps fait un windows update telecharge les mises a jour critique de securiteil me semble que windows peut le resoudre tout seul comme blasteret active le firewall d xp

TomC · Answer

Salut,

J'ai eu exactement le même le problème que toi Nagash mais moi c'était juste car mon antivirus n'était plus à jour et je n'avais pas de firewall.

Pour supprimer ce sale virus qui t'empêche d'ouvrir et de mettre à jour ou configurer tout ce qui lui nuit : antivirus, base des registres, mise à jours windows... tu peux essayer de faire comme moi :

Je me suis servi de votre discussion pour élaborer ce plan. MERCI A VOUS.

En fait la procédure et bonne mais pas tout à fait complète.

Pour palier au problèmes des fenêtres qui se ferment toute seule dès que tu veux essayer de faire quelque chose contre ce virus (je crois plutôt que c'est un cheval de Troie...) :

- il faut que TU DEMARRE EN MODE SANS ECHEC : appuie plusieurs fois F8 au démarrage et choisi le mode sans échec.

- je suis allé comme indiqué par l'excéllent balltrap34 dans msconfig pour décliquer ce programme dans l'onglet démarrage

- tape REGEDIT dans exécuter et supprime les clefs suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersoin\Run\Config loading=SVCHOST.exe
HKLM\Software\Microsoft\Windows\CurrentVersoin\Run services\Config loading=SVCHOST.exe

mais cela ne suffit pas pour le supprimer sinon il se recrée automatiquement (j'ai testé.....)
Alors en tapant dans le rechercher de la base de registres, "iSVCHOST.exe" il m'a aussi indiqué les clefs suivantes que j'ai également supprimées

HKLM\Software\Microsoft\Shared Tools\ MS Config\ Startupreg\Configuration Loadings\command=iSVCHOST.exe
HKLM\SYSTEM\controlset001\Services\India111\ImagePath="C:Windows\System32\iSVCHOST.exe"

- ensuite supprime comme le dernier chemin le fait comprendre le fichier iSVCHOST.exe dans system32 ("C:Windows\System32\iSVCHOST.exe")

Voilà c'est dans la poche !!!!!!! et mon ordi remarche je suis content

RQ : tu parlais aussi du problème de l'arrêt du système. Je l'ai eu aussi en même temps. C'était une variante de Blaster.
Tout est bien expliqué sur
http://www.laboratoire-microsoft.org/articles/win/blaster/1/

Sinon
Va voir sur le site http://www.secuser.com/alertes/index.htm
C'est le top et il y a beaucoup de documentation sur les virus trojans et vers de manière générale mais aussi la fiche détaillée de chaque virus et des liens sur des antivirus et firewall gratuits.

balltrap34 · Answer

salutattention si vous faite comme tomc tres bien mais ne vous tromper pas c est iSVCHOST.exeet non SVCHOST.exe

Axl Virus-Killer · Answer

Rimouveur le fait a sa place si non :opMCP 70-270  |  http://www.renonce.comftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

balltrap34 · Answer

oui vaut mieux

TomC · Answer

Description complète du vers en question :http://www.secuser.com/alertes/2003/gaobot.htm

nagash · Answer

bon, pour moi tt est revenu dans l ordre, j en avait trop mare, j ai reinstallé a plusieurs reprises winxp, en fait, j ai mis tt de suite a jour mon xp (que j avais téléchargé la fois d avant et gravé) et tt de suite j ai mis l antivirus panda, maintenant tt est revenu dans l ordre ( enfin presque )

Axl Virus-Killer · Answer

enfin presque ?MCP 70-270  |  http://www.renonce.comftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

nagash · Answer

y reste à tt reinstaller les drivers, et g des pb avec ma carte son, et il veut plu installer real one player ni mon scanner... a part ca il marche tres bien

Axl Virus-Killer · Answer

ah ok !MCP 70-270  |  http://www.renonce.comftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

Faberluxus · Answer

Bonjour,Je viens de découvrir ce forum et je vous remercie par avance pour l'adie que vous voudrez bien m'apporter.Mon PC est contaminé par le troyen HKTL_DCOM.Y.Mon McAfee est passé au travers et seul Trend Micro l'a détecté. et soi-disant désinfecté. Il m'invite à redémarrer le PC pour définitivement me débarasser du troyen mais au redémarrage, Trend le redétecte.Je ne l'ai pas trouvé dans la base de registre ni dans msconfig.Quelqu'un saurait-il comment me débarrasser défintivement de ce troyen.J'ai formaté le PC et tout réinstaller mais je l'ai eu aussitôt dès l'emploi de Trend, ce qui me laisse croire qu'il pollue soit le Bios, soit est lié à mes fichiers en téléchargement sur emule et WinMx mais je ne sais pas lequel de ces fichiers.Merci par avance pour toute aide bienveillante.Cordialement,Faberluxus"qui n'y connait pas grand chose en virus et troyen"

balltrap34 · Answer

salut fait un scan iciFaite scan en ligne et coller le rapport ici sur le postutiliser l'antivirus en ligne suivant : http://www.ravantivirus.com/scan/  Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.   Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"A la fin de l'analyse, copier/coller le rapport ici.

Faberluxus · Answer

Bonjour Balltrap34,Merci pour ton aide.Voici un état des lieux.J'ai formaté le PC ce matin. Après l'installation de XP, j'ai uniquement mis à jour XP et installer McAfee Virus Scan et mis à jour McAfee.Point barre.J'ai ensuite scanné le PC avec:- McAfee- Micro Trend- RAVVoici les résultats:-McAfee: Trojan IRC-Cowbot, aucune action possible, localisé dans C:\WINDOWS\system32\wuamgrd.exe- MicroTrend: Trojan HKTL_DCOM.Y redémarrer pour nétooyer définitivement votre PC du trojan.- RAV: voici le rapport.Scan started at 22/04/2004 14:03:56 Scanning memory...Scanning boot sectors...Scanning files...C:\WINDOWS\system32\syshost.exe - Trojan:Win32/Francette.F -> InfectedScanned============================	Objects: 13591	Directories: 1170	Archives: 312	Size(Kb): 1362798	Infected files: 1Found============================	Viruses found: 1	Suspicious files: 0	Disinfected files: 0	Mail files: 19J'ai reformaté le PC, j'ai réinstallé XP, mis à jour XP, idem pour McAfee, je suis allé dans regedit, virer manuellement les fichiers corrompus.Tous ces fichiers résistent à la suppression manuelle, à la suppression sous DOS, à la suppression dans regedit, et résiste à un formatage.J'en suis à me demander si je ne vais pas devoir trashé carrément mon disque dur.Je possède 2 disques durs: C: avec windows et D: avec mes documents.Je ne parle pas de partitions mais bien de deux disques durs physiques séparés.Que faire et surtout, changer mon disque dur résoudra t-il le problème ? Faut-il aller chercher dans le BIOS ou formater le BIOS ?Je ne sais plus quoi faire.Merci à toute âme charitable qui saura m'aider.Cordialement,Faberluxus

balltrap34 · Answer

non ne fait pas ca ce sont des trojansutilise cet anti trojanhttp://www.emsisoft.net/fr/penser a le metre a jour avant de scanner le pc

Faberluxus · Answer

Bonsoir,Désolé pour la lenteur de mes posts mais je passe mes journées à formater la bécane.Voilà la suite du feuilleton:J'ai introduit le CD d'XP dans le PC. J'ai éteint le PC en le laissant sous tension puis j'ai retiré la RAM pour vider la mémoire.Jai remis la RAM en place, j'ai rebooté sur le CD, installer XP et McAfee, téléchargé et installé (et mis à jour) a² et j'ai lancé simultanément McAfee, RAV, MicroTrends, a² pour finalement avoir exactement les mêmes trojans alors que a² ne les a même pas détectés.J'envisage maintenant deux solutions:1/ un formatage de niveau bas (j'ai trouvé un iso en freeware sur pucezone.com)2/ je ne sais pas si en remplaçant le disque dur par un neuf, ça résoudra le pb.Merci par avance.Cordialement,Faberluxus

balltrap34 · Answer

salutpour celui la voila ce que j ai trouver-McAfee: Trojan IRC-Cowbot, aucune action possible, localisé dans C:\WINDOWS\system32\wuamgrd.exe Tape regedit. La base de registre s'ouvre. Ouvre les clé qui se trouve dans HKEY_LOCAL_MACHINE  : \Software\Microsoft\Windows\CurrentVersion\Run\ A droite tu dois avoir une clé appellé Microsoft Update = wuamgrd.exe \Software\Microsoft\Windows\CurrentVersion\RunOnce\ A droite tu dois avoir une clé appellé Microsoft Update = wuamgrd.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ A droite tu dois avoir une clé appellé Microsoft Update = wuamgrd.exe et supprime ces clés si elles existes.. Ouvre les clés suivantes qui se trouve dans Hkey_users (pour trouver le numéro, moi cétait le 3eme numéro..aprés toi fo voir fo ke tu trouve les clés) [numéro]\Software\Microsoft\Windows\CurrentVersion\Run\ A droite tu dois avoir une clé appellé Microsoft Update = wuamgrd.exe [meme numéro]\Software\Microsoft\Windows\CurrentVersion\RunOnce\ A droite tu dois avoir une clé appellé Microsoft Update = wuamgrd.exe   et supprime ces clés si elles existes.. Ferme le registre et redemarre. pour francetteutilise le rimouver il la dans ces donneesalors action numero 1 telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliserftp://www.renonce.com/pub/renonce/RimouveXPFr.exe Action numero 2 :o) Demarrer en mode sans echec : tapotter sur la touche F8 sans arret desque tu allume ton PC et si ca ne marche pas utiliser la touche f5 a la placeAppliquer le fichier dans le mode sans echec le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virusAction numero 3 copier ici le contenu du fichier resulata.txt qui se trouve dans le dossier tmp que le fichier rimouveur.exe vas creer ...action numero 4un petit http://www.ravantivirus.com/scan/ si le Rimouveur ne trouve pas le virus :o)pour le 3eme je cherche

faberluxus · Answer

Bonjour,Merci pour ton aide précieuse.Je tiens à m'excuser pour ce silence de presque deux jours mais j'étais en plein bricolage sur la machine.En effaçant de la base de registre les entrées wuamgrd, je n'ai résolu le problème.Comme je possède deux disques durs distincts, j'ai opté pour une solution plus radicale:J'ai procédé à un formatage de bas niveau.Radical!Certes, ça a remis le disque dur physique à 0, ça a effacé les partitions et tout  le contenu mais comme ce disque dur ne contenait que l'OS, aucune perte réelle.Bilan, après 7 heures de formatage total, réinstallation après partitionnage avec fdisk, installation de Win 98 et XP.Installation d'Internet et passage des deux partitions Win98 et XP à McAfee, Micro Trends, RAV, etc...,Rien, plus rien, la machine a été cleanée.Je ne sais pas si c'était la meilleure solution, mais elle fonctionne parfaitement.Par contre si un utilisateur est infecté et que son disque contient ses documents, il doit savoir que tout sera irrémédiablement perdu par un formatage de bas niveau!Je conseille pour ceux qui souhaite obtenir l'outil en question de télécharger UltimateBootCD sur pucezone.comUne fois le logiciel téléchargé, décompressez-le dans un répertoire non infecté. Décompressez le nouveau fichier apparut dans le répertoire.Introduisez un CD vierge dans votre graveur.Ouvrez votre logiciel de gravure et choisissez dans le menu "graver image" (le fichier décompressé est en .ISO). Par exemple, avec Nero, annulez la création d'une CD dans la boite de démarrage puis allez dans l'onglet Fichier, et sélectionner graver image.Ne gravez que le fichier ISO et pas les autres.Une fois le CD gravé, rebootez le PC. Il boot automatiquement sur le CD Ultimate Boot.Une fenêtre verte apparaît avec toute une panoplie de près de 50 utilitaires d'entretien de PC.Tapez F1 (Hard Drive Utilities), puis F6 (HDD Wipes, Dirk's Clean & Nuke), tapez autoclean, et patientez quelques heures.Bilan: Disque dur en état neuf, comme s'il sortait de son emballage d'origine. Il faut même le reformater et le repartionner après.J'espère que mon expérience pourra être utile à ceux qui souhaite éradiquer toutes ces saloperies qui pourrissent les bécanes.A Noter également que sur le site de symantec, vous pouvez taper le nom d'une virus ou d'un troyen et que vous avez une chance que vous soit proposé le removal gratuitement.Cordialementet surtout merci encore pour ta petience et tous tes efforts.Faberluxus

Akira1138 · Answer

HelloJ'espère que tu t'en es sorti avec ton virus wuamgrd.exe... je l'ai aussi chopé et j'ai dû pas mal batailler contre pour le gicler. Finalement j'ai essayé de virer le .exe manuellement, vérifié dans la base de reg si y avait des traces, je sais pas ce que j'ai fais ensuite mais il est jamais revenu....par contre malgrès moi je me suis pris après direct dans la gueule SASSER... (putain mais keski m'as pris de réinstaller mon PC un 3 mai !!!)  =-\  donc pour ceux qui ont des prob avec voilà le lien au cas ou http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx et pour toi si jamais :-)PS: Et N'oubliez pas : Vive Unix!!!

Virus agobot.cz, jsuis mal barré !!!!

31 réponses

Votre réponse

Discussions similaires

Newsletters