Encore pour le virus agobot.hm

sphax -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
bonjour a tous,

j'ai aussi un probleme avec ce virus le dos agobot.hm trouver par le scan online de secuser.com dans le fichier c:\winnt\system32\drivers\etc\hosts

en paracourant le forum j'ai vu que je ne suis pas le seul avec se probleme donc j'ai lu les messages et j'ai télécharger le RimouveXpFr.exe et je l'est lancer en mode sans echec il ma installer le patch

ensuite j'ai lancer le scan en ligne de ravantivirus qui m'a rien trouver
Scanned
============================
Objects: 82241
Directories: 3461
Archives: 531
Size(Kb): -1943700
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 68

voila j'ai toujours le virus est je sais pas comment l'enlever ( le scan de secuser le trouve encore au meme endroit)

je vous remercie de vos conseils d'avance.

41 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un virus de type Agobot/gaobot est signalé, affectant le fichier hosts de Windows (c:\winnt\system32\drivers\etc\hosts) et persistant malgré des scans en ligne et interventions variées. Des solutions incluent l’emploi du patch RimouveXpFr.exe en mode sans échec, des tentatives de suppression de fichiers comme cvmonitor.exe, et des outils supplémentaires de décontamination. Des retours indiquent aussi le recours à Stinger avec détection et suppression du trojan Qhosts.apd et du W32/Sdbot.worm.gen, ainsi que la réparation du fichier hosts et des inquiétudes sur le pare-feu. En parallèle, des références suggèrent d’installer un pare-feu plus strict comme Kerio et de vérifier les ports en écoute, pour prévenir les redémarrages et les tentatives de réinjection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    qui te dit que tu as toujours le virus
    si c est on anti virus dit moi exactement ce qu il te dit
    0
  2. sphax
     
    ben j'ai encore le probleme pour me connecté a certain site, j'ai encore le probleme de son pour DAoC, et le scan de secuser le trouve encore dans le fichier hosts

    mon anti virus depuis le début le trouve pas le virus pour tant il est à jour ( c'est panda titanium2004)
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    il te donne pas le chemin exact
    et je croi que le fichier host est un genre de fichier de quarantaine
    cherche dans ton anti virus
    0
  4. sphax
     
    tous les antivirus que je fait ne me trouve rien, sauf celui online de secuser qui me trouve le dos agobot.hm dans le chemin que j'ai donner dans mon 1er post, et d'apres ce que j'ai vu sur certain site ce fichier hosts est une liste de site de sécurité, et je ne peux pas y accéder. ( quand on ouvre le fichier hosts avec notepad on voit la liste) j'ai essayer avec un programme sysclean trouvé chez trendmicro avec leur pattern, en mode sans echec, il ma trouver le virus au meme endroit la effacer mais il est revenu au démarrage.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    est ce que le rimouver ta trouver le agoboot
    sinon refait le il faut le reteleccarger il est constament mis a jour
    0
  7. sphax
     
    bon j'ai retélécharger le rimouver et j'ai refait la manip et il a rien trouver encore une fois
    0
  8. sphax
     
    je suis allez sur windows update et j'ai une mise a jour que je n'arrive pas a installer

    Windows 2000 Service Pack 4, installation rapide pour les utilisateurs finaux*

    des que je lance l'installation je télécharge le fichier et ensuite quand ca commence a installer la fenetre se ferme toute seule.

    et quand je refait une vérification des mise à jour a installer il me redemander de la réinstaller.
    0
  9. sphax
     
    oui j'utiliser ce lien pour patcher et il me trouve une mise a jour critique à installer ( celle que j'ai citer avant) mais ca ne marche pas.

    pour l'utilitaire de désinfection je n'arrive pas a le dl, mais un pote me la dl et filer, mais il ne me trouve rien.

    j'ai vu qu'il y a un autre fx pour gabot : "FxGaobotUJ" je le dl aussi?
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tu peut toujours
    a tu un pare feu
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    met en un imperatif pour etre tranquille
    0
  12. sphax
     
    tu en as un a me conseiller, plutot facile à utiliser parce que je suis un peu nul :p
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    non je ne saurai te conseiller
    moi perso j ai anti virus avec pare feu bit defender
    0
  14. sphax
     
    j'ai fait un scan avec stinger il ma trouver ca

    Scan initiated on Thu Apr 29 19:04:44 2004

    C:\WINNT\system32\drivers\etc\hosts

    Found the Qhosts.apd trojan !!!

    C:\WINNT\system32\drivers\etc\hosts has been repaired.

    C:\WINNT\system32\syconf.exe\syconf.exe

    Found the W32/Sdbot.worm.gen virus !!!

    C:\WINNT\system32\syconf.exe\syconf.exe has been deleted.

    Number of clean files: 77238

    Number of infected files: 1

    Number of files repaired: 1

    Number of files deleted: 1

    tu crois que c'est bon?

    sinon pour le pare feu j'ai dl kerio ca avais l'air pas mal

    et merci pour ton aide :)
    0
  15. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    sa a l air bon
    0
  16. sphax
     
    ben non le probleme est pas résolu j'ai toujours mes probleme sur mes fichier sounds comme au départ :/

    par contre j'ai l'impression que mon editeur de registre ne se referme plus tout seul
    0
  17. sphax
     
    Logfile of HijackThis v1.97.7
    Scan saved at 20:30:32, on 29/04/2004
    Platform: Windows 2000 SP2 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\SYSTEM32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv50.exe
    C:\WINNT\system32\regsvc.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Logitech\iTouch\iTouch.exe
    C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    C:\WINNT\system32\dslagent.exe
    C:\PROGRA~1\Wanadoo\taskbaricon.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
    C:\WINNT\system32\internat.exe
    C:\Program Files\CASIO\Photo Loader\Plauto.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\antipub\AntiPub\AntiPub.exe
    C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WUTemp\com_microsoft.Windows 2000 Service Pack 4 Express Install for End Users\SP4express_FR.exe
    c:\45f8a9f36923bacb885\update\update.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\fabre\Bureau\dossier Fabrice\hij\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec France Télécom
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
    O4 - HKLM\..\Run: [cvmonitor.exe] cvmonitor.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
    O4 - HKLM\..\RunServices: [cvmonitor.exe] cvmonitor.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Startup: AntiPub V1.8.lnk = C:\antipub\AntiPub\AntiPub.exe
    O4 - Startup: Pense-bête.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Wanadoo (HKCU)
    O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://66.79.166.152/go.exe
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/scan/Msie/bitdefender.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38101.4084027778
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{32D7DAA3-576D-400F-9498-C91F9AD4B721}: NameServer = 212.151.136.242 130.244.127.170

    voila tout ca
    0
  • 1
  • 2
  • 3