encore pour le virus agobot.hm

Question

bonjour a tous,

j'ai aussi un probleme avec ce virus le dos agobot.hm trouver par le scan online de secuser.com dans le fichier c:\winnt\system32\drivers\etc\hosts

en paracourant le forum j'ai vu que je ne suis pas le seul avec se probleme donc j'ai lu les messages et j'ai télécharger le RimouveXpFr.exe et je l'est lancer en mode sans echec il ma installer le patch

ensuite j'ai lancer le scan en ligne de ravantivirus qui m'a rien trouver
Scanned
============================
Objects: 82241
Directories: 3461
Archives: 531
Size(Kb): -1943700
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 68

voila j'ai toujours le virus est je sais pas comment l'enlever ( le scan de secuser le trouve encore au meme endroit)

je vous remercie de vos conseils d'avance.

Afficher la suite

balltrap34 · Answer

salutqui te dit que tu as toujours le virussi c est  on anti virus dit moi exactement ce qu il te dit

sphax · Answer

ben j'ai encore le probleme pour me connecté a certain site, j'ai encore le probleme de son pour DAoC, et le scan de secuser le trouve encore dans le fichier hosts

mon anti virus depuis le début le trouve pas le virus pour tant il est à jour ( c'est panda titanium2004)

balltrap34 · Answer

il te donne pas le chemin exactet je croi que le fichier host est un genre de fichier de quarantaine cherche dans ton anti virus

sphax · Answer

tous les antivirus que je fait ne me trouve rien, sauf celui online de secuser qui me trouve le dos agobot.hm dans le chemin que j'ai donner dans mon 1er post, et d'apres ce que j'ai vu sur certain site ce fichier hosts est une liste de site de sécurité, et je ne peux pas y accéder. ( quand on ouvre le fichier hosts avec notepad on voit la liste) j'ai essayer avec un programme sysclean trouvé chez trendmicro avec leur pattern, en mode sans echec, il ma trouver le virus au meme endroit la effacer mais il est revenu au démarrage.

balltrap34 · Answer

est ce que le rimouver ta trouver le agobootsinon refait le il faut le reteleccarger il est constament mis a jour

sphax · Answer

bon j'ai retélécharger le rimouver et j'ai refait la manip et il a rien trouver encore une fois

balltrap34 · Answer

bon vas voir la et fait et lit bien toushttp://www.secuser.com/alertes/2003/gaobot.htm

sphax · Answer

je suis allez sur windows update et j'ai une mise a jour que je n'arrive pas a installer

Windows 2000 Service Pack 4, installation rapide pour les utilisateurs finaux*

des que je lance l'installation je télécharge le fichier et ensuite quand ca commence a installer la fenetre se ferme toute seule.

et quand je refait une vérification des mise à jour a installer il me redemander de la réinstaller.

balltrap34 · Answer

vas la il y a le lien pour patcher et le fixhttp://www.secuser.com/alertes/2003/gaobot.htm

sphax · Answer

oui j'utiliser ce lien pour patcher et il me trouve une mise a jour critique à installer ( celle que j'ai citer avant) mais ca ne marche pas.

pour l'utilitaire de désinfection je n'arrive pas a le dl, mais un pote me la dl et filer, mais il ne me trouve rien.

j'ai vu qu'il y a un autre fx pour gabot : "FxGaobotUJ" je le dl aussi?

balltrap34 · Answer

tu peut toujoursa tu un pare feu

sphax · Answer

non je n'est pas de pare feu

balltrap34 · Answer

met en un imperatif pour etre tranquille

sphax · Answer

tu en as un a me conseiller, plutot facile à utiliser parce que je suis un peu nul :p

balltrap34 · Answer

non je ne saurai te conseillermoi perso j ai anti virus avec pare feu bit defender

sphax · Answer

j'ai fait un scan avec stinger il ma trouver ca

Scan initiated on Thu Apr 29 19:04:44 2004

C:\WINNT\system32\drivers\etc\hosts

Found the Qhosts.apd trojan !!!

C:\WINNT\system32\drivers\etc\hosts has been repaired.

C:\WINNT\system32\syconf.exe\syconf.exe

Found the W32/Sdbot.worm.gen virus !!!

C:\WINNT\system32\syconf.exe\syconf.exe has been deleted.

Number of clean files: 77238

Number of infected files: 1

Number of files repaired: 1

Number of files deleted: 1

tu crois que c'est bon?

sinon pour le pare feu j'ai dl kerio ca avais l'air pas mal

et merci pour ton aide :)

balltrap34 · Answer

sa a l air bon

sphax · Answer

ben non le probleme est pas résolu j'ai toujours mes probleme sur mes fichier sounds comme au départ :/par contre j'ai l'impression que mon editeur de registre ne se referme plus tout seul

balltrap34 · Answer

fait un hijackthis pour voirHijackthis : http://www.spychecker.com/download/download_hijackthis.html  Fais scan puis save log et colle le contenu du fichier texte qui s'affiche

sphax · Answer

Logfile of HijackThis v1.97.7
Scan saved at 20:30:32, on 29/04/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINNT\system32\MSTask.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\dslagent.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\antipub\AntiPub\AntiPub.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WUTemp\com_microsoft.Windows 2000 Service Pack 4 Express Install for End Users\SP4express_FR.exe
c:\45f8a9f36923bacb885\update\update.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\fabre\Bureau\dossier Fabrice\hij\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec France Télécom
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [cvmonitor.exe] cvmonitor.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [cvmonitor.exe] cvmonitor.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: AntiPub V1.8.lnk = C:\antipub\AntiPub\AntiPub.exe
O4 - Startup: Pense-bête.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://66.79.166.152/go.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38101.4084027778
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32D7DAA3-576D-400F-9498-C91F9AD4B721}: NameServer = 212.151.136.242 130.244.127.170

voila tout ca

balltrap34 · Answer

bon relance hijackthis et fix ces lignesR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USBO16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\NO_SUCH_MHT.MHT!http://66.79.166.152/go.exele coupable le voila je pensemais fait ceci avant  de fix les lignesdslagent.exetelecharge se log utilise le et met le a jour avantutilise cet anti trojanhttp://www.emsisoft.net/fr/penser a le metre a jour avant de scanner le pc

sphax · Answer

excuse moi mais comme je suis un peu perdu j'ai un gros doute sur l'ordre dans lequel je doit faire les chosesje doistelecharger le scan sur http://www.emsisoft.net/fr/ le mettre a jourfaire un scan avecet fix les lignes que tu as citéou je doit fix les lignes avant de scan?dsl si c'est une question un peu con mais je suis vraiment pas sur :/

balltrap34 · Answer

non ce n ait pas une question conutilise emisoft et si ca regle le probleme c est oksinonrelance hijackthis et fix la ligne que je t ai ditet une question n est jamais con il vaut mieux la poser que de faire une betise

sphax · Answer

j'ai fait le scan et il n'a rien trouvermais j'ai un probleme avec hijackthis il se referme tout seul avant que j'ai eu le temps de cocher les ligne pour les fix :/je peux le faire en mode sans echec?

balltrap34 · Answer

oui essaie

sphax · Answer

j'ai fix les ligne dans hijackthis mais une n'y etait plus, celle laR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank par contre j'ai toujours les problemes que j'avais :(

balltrap34 · Answer

redemarre en mode sans echectu fait demarrer rechercher tous les dossiers et fichier et tu met ca C:\WINNT\system32\dslagent.exe une fois trouver tu click une fois dessus ensuite tu appuie sur la touche majuscule et sans la lacher tu appuie sur la touche supprtu redemarre et dit moi ou en sont les problemes sur ton pc pour faire le point

BmV · Answer

salut.Voir là http://www.secuser.com/alertes/2003/gaobot.htm aussi.A+-=O(_BmV_)O=-  L'amour comme épée,      ||       ||       l'humour comme bouclier.

sphax · Answer

salut,j'ai deja utiliser leur patch et il ne m'a rien trouver.

sphax · Answer

j'ai fait la manip que tu m'as demander aucun changement.Voici les problemes que je rencontre-l'editeur de registre qui se ferme tout seul au bout de quelque seconde-l'acces a certain site impossible (site de sécurité)-DAoC (jeu online) qui me telecharge ses fichiers sound tout le temps et qui plante quand il s'initialise, donc impossible de jouer-l'installation d'antivirus plantait aussi, mais j'ai pas essayer une nouvelle fois depuis-par contre le probleme pour installer les patch windows je sais pas si ca foire encore vu que j'ai pu tout mettre a jour hier (avant le dernier patch marchait pas) windows update ne me demande plus de mise a jourpar contre j'ai remarquer un truc, mais je sais pas si c'est normal ou pas, j'ai un logiciel antipub, il montre les ports en ecoute et je trouve que j'ai beaucoup de port en ecoute, je peux pas faire la liste de tous car quand je descend la fenetre qui les affiche elle remonte toute seulevoila c'est tout ce que j'ai remarquer, encore merci pour ton aide balltrap34

balltrap34 · Answer

la dur durrepasse le rimouver de axlretelecharge le il la mis a jour pour voir

sphax · Answer

voila j'ai passer le rimouver il ma fait caTaches effectués sur le PC :  Elément(s) supprimé(s) :Fichier C:\WINNT\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)Fichier(s) avec demande de suppression manuelle :C:\reboot.exeCorrectif Microsoft KB824146 déjà installéje supprime le fichier reboot.exe?sinon pendant son scan j'ai vu un trucje sais pas si c'est normalil marque : le processus ne peux pas acceder au fichier car il est activer par un autre processusc'est normal?

balltrap34 · Answer

c est pas normal le rimouve tu le fait en mode sans echec?

sphax · Answer

oui oui je le fait bien en mode sans echec

balltrap34 · Answer

dit en relisent le post en entier ti met caben non le probleme est pas résolu j'ai toujours mes probleme sur mes fichier sounds comme au départ :/ hors j ai bien regarder a aucun moment dans les messages tu ne parle de cala je comprend plus

sphax · Answer

si si a mon deuxieme message j'ai dit ca"ben j'ai encore le probleme pour me connecté a certain site, j'ai encore le probleme de son pour DAoC, et le scan de secuser le trouve encore dans le fichier hosts "le probleme des fichier sounds c que sur DAoC le son de mon pc marchesinon j'ai fait un scan de l'antivirus enligne de symantec voila le résultat86754 fichiers analysés, 2 fichier(s) contaminé(s) sur vos disques. Aucun virus n'a été détecté dans la mémoire.Votre ordinateur ne contient aucun virus ou cheval de Troie connu.  La recherche de virus n'analyse pas les fichiers compressés. Aucun virus n'a été détecté dans la mémoire.L'analyse a été annulée avant d'être terminée. Pour relancer l'analyse, cliquez ici.Votre ordinateur ne contient aucun virus ou cheval de Troie connu.  La recherche de virus n'analyse pas les fichiers compressés. Avertissement L'analyse a détecté un virus actif dans la mémoire de l'ordinateur. L'analyse a été interrompue afin d'éviter la propagation du virus. Nous vous conseillons d'arrêter immédiatement votre ordinateur et de le redémarrer avec un disque de sauvetage antivirus ou un outil similaire. Aucun virus n'a été détecté dans la mémoire.Votre ordinateur est contaminé par au moins un virus ou cheval de Troie connu.Nous vous conseillons d'acheter un programme antivirus complet qui vous permettra de réparer vos fichiers. Sinon, supprimez les fichiers suivants :  Aucun virus n'a été détecté dans la mémoire.Votre ordinateur est contaminé par au moins un virus ou cheval de Troie connu.Remarque : L'analyse a été annulée avant d'être terminée. Il se peut que d'autres fichiers soient contaminés sur cet ordinateur.Nous vous conseillons d'acheter un programme antivirus complet qui vous permettra de réparer vos fichiers. Sinon, supprimez les fichiers suivants :  Aucune analyse n'a été lancée. Pour lancer l'analyse antivirus, cliquez ici.C:\WINNT\cvmonitor.exe est contaminé par W32.HLLW.Gaobot.gen  C:\WINNT\system32\cvmonitor.exe est contaminé par W32.HLLW.Gaobot.gen  j'avais pas fait un scan avec leur anti virus avant car activeX passait pas je fait quoi je delete les deux fichier exe qui m'on donner?

balltrap34 · Answer

par securite met les d abord sur disquette on c est jamais et suppr les

sphax · Answer

C:\WINNT\cvmonitor.exeje l'est supprimer mais C:\WINNT\system32\cvmonitor.exeil refuse car le fichier est en cours d'execution, pour arreter le processus je passe en mode sans echec?

balltrap34 · Answer

oui

sphax · Answer

bon voila je les est effacer et a priori tout rmarche correctementplus de probleme pour acceder au site de sécurité, fichier sounds revenu, et le regedit ne se referme plusun grand merci a toi balltrap34 pour tous tes conseils et ton aide :)

balltrap34 · Answer

de rien ca pas ete facile sur tout pour toia++

Encore pour le virus agobot.hm

41 réponses

Votre réponse

Discussions similaires

Newsletters