encore pour le virus agobot.hm

Question

bonjour a tous,

j'ai aussi un probleme avec ce virus le dos agobot.hm trouver par le scan online de secuser.com dans le fichier c:\winnt\system32\drivers\etc\hosts

en paracourant le forum j'ai vu que je ne suis pas le seul avec se probleme donc j'ai lu les messages et j'ai télécharger le RimouveXpFr.exe et je l'est lancer en mode sans echec il ma installer le patch

ensuite j'ai lancer le scan en ligne de ravantivirus qui m'a rien trouver
Scanned
============================
Objects: 82241
Directories: 3461
Archives: 531
Size(Kb): -1943700
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 68

voila j'ai toujours le virus est je sais pas comment l'enlever ( le scan de secuser le trouve encore au meme endroit)

je vous remercie de vos conseils d'avance.

Afficher la suite

balltrap34 · Answer

salutqui te dit que tu as toujours le virussi c est  on anti virus dit moi exactement ce qu il te dit

sphax · Answer

ben j'ai encore le probleme pour me connecté a certain site, j'ai encore le probleme de son pour DAoC, et le scan de secuser le trouve encore dans le fichier hostsmon anti virus depuis le début le trouve pas le virus pour tant il est à jour ( c'est panda titanium2004)

balltrap34 · Answer

il te donne pas le chemin exactet je croi que le fichier host est un genre de fichier de quarantaine cherche dans ton anti virus

sphax · Answer

tous les antivirus que je fait ne me trouve rien, sauf celui online de secuser qui me trouve le dos agobot.hm dans le chemin que j'ai donner dans mon 1er post, et d'apres ce que j'ai vu sur certain site ce fichier hosts est une liste de site de sécurité, et je ne peux pas y accéder. ( quand on ouvre le fichier hosts avec notepad on voit la liste) j'ai essayer avec un programme sysclean trouvé chez trendmicro avec leur pattern, en mode sans echec, il ma trouver le virus au meme endroit la effacer mais il est revenu au démarrage.

balltrap34 · Answer

est ce que le rimouver ta trouver le agobootsinon refait le il faut le reteleccarger il est constament mis a jour

sphax · Answer

bon j'ai retélécharger le rimouver et j'ai refait la manip et il a rien trouver encore une fois

balltrap34 · Answer

bon vas voir la et fait et lit bien toushttp://www.secuser.com/alertes/2003/gaobot.htm

sphax · Answer

je suis allez sur windows update et j'ai une mise a jour que je n'arrive pas a installerWindows 2000 Service Pack 4, installation rapide pour les utilisateurs finaux*des que je lance l'installation je télécharge le fichier et ensuite quand ca commence a installer la fenetre se ferme toute seule.et quand je refait une vérification des mise à jour a installer il me redemander de la réinstaller.

balltrap34 · Answer

vas la il y a le lien pour patcher et le fixhttp://www.secuser.com/alertes/2003/gaobot.htm

sphax · Answer

oui j'utiliser ce lien pour patcher et il me trouve une mise a jour critique à installer ( celle que j'ai citer avant) mais ca ne marche pas.pour l'utilitaire de désinfection je n'arrive pas a le dl, mais un pote me la dl et filer, mais il ne me trouve rien. j'ai vu qu'il y a un autre fx pour gabot : "FxGaobotUJ" je le dl aussi?

balltrap34 · Answer

tu peut toujoursa tu un pare feu

sphax · Answer

non je n'est pas de pare feu

balltrap34 · Answer

met en un imperatif pour etre tranquille

sphax · Answer

tu en as un a me conseiller, plutot facile à utiliser parce que je suis un peu nul :p

balltrap34 · Answer

non je ne saurai te conseillermoi perso j ai anti virus avec pare feu bit defender

sphax · Answer

j'ai fait un scan avec stinger il ma trouver caScan initiated on Thu Apr 29 19:04:44 2004C:\WINNT\system32\drivers\etc\hosts     Found the Qhosts.apd trojan !!!C:\WINNT\system32\drivers\etc\hosts has been repaired.C:\WINNT\system32\syconf.exe\syconf.exe     Found the W32/Sdbot.worm.gen virus !!!C:\WINNT\system32\syconf.exe\syconf.exe has been deleted.  Number of clean files: 77238  Number of infected files: 1  Number of files repaired: 1  Number of files deleted: 1tu crois que c'est bon?sinon pour le pare feu j'ai dl kerio ca avais l'air pas malet merci pour ton aide :)

balltrap34 · Answer

sa a l air bon

sphax · Answer

ben non le probleme est pas résolu j'ai toujours mes probleme sur mes fichier sounds comme au départ :/par contre j'ai l'impression que mon editeur de registre ne se referme plus tout seul

balltrap34 · Answer

fait un hijackthis pour voirHijackthis : http://www.spychecker.com/download/download_hijackthis.html  Fais scan puis save log et colle le contenu du fichier texte qui s'affiche

sphax · Answer

Logfile of HijackThis v1.97.7Scan saved at 20:30:32, on 29/04/2004Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\SYSTEM32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exeC:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv50.exeC:\WINNT\system32egsvc.exeC:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXEC:\WINNT\system32\MSTask.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINNT\system32\stisvc.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\System32\mspmspsv.exeC:\WINNT\system32\svchost.exeC:\WINNT\Explorer.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Logitech\iTouch\iTouch.exeC:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXEC:\WINNT\system32\dslagent.exeC:\PROGRA~1\Wanadoo	askbaricon.exeC:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXEC:\WINNT\system32\internat.exeC:\Program Files\CASIO\Photo Loader\Plauto.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\antipub\AntiPub\AntiPub.exeC:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WUTemp\com_microsoft.Windows 2000 Service Pack 4 Express Install for End Users\SP4express_FR.exec:\45f8a9f36923bacb885\update\update.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\fabre\Bureau\dossier Fabrice\hij\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec France TélécomR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXEO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USBO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo	askbaricon.exeO4 - HKLM\..\Run: [cvmonitor.exe] cvmonitor.exeO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /sO4 - HKLM\..\RunServices: [cvmonitor.exe] cvmonitor.exeO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - Startup: AntiPub V1.8.lnk = C:\antipub\AntiPub\AntiPub.exeO4 - Startup: Pense-bête.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXEO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO9 - Extra button: Related (HKLM)O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)O9 - Extra button: Wanadoo (HKCU)O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\NO_SUCH_MHT.MHT!http://66.79.166.152/go.exeO16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CABO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cabO16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/scan/Msie/bitdefender.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38101.4084027778O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{32D7DAA3-576D-400F-9498-C91F9AD4B721}: NameServer = 212.151.136.242 130.244.127.170voila tout ca

balltrap34 · Answer

bon relance hijackthis et fix ces lignes
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://66.79.166.152/go.exe
le coupable le voila je pense
mais fait ceci avant de fix les lignes
dslagent.exe
telecharge se log utilise le et met le a jour avant
utilise cet anti trojan
http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc

sphax · Answer

excuse moi mais comme je suis un peu perdu j'ai un gros doute sur l'ordre dans lequel je doit faire les choses

je dois
telecharger le scan sur http://www.emsisoft.net/fr/
le mettre a jour
faire un scan avec
et fix les lignes que tu as cité

ou je doit fix les lignes avant de scan?

dsl si c'est une question un peu con mais je suis vraiment pas sur :/

balltrap34 · Answer

non ce n ait pas une question con
utilise emisoft et si ca regle le probleme c est ok
sinon
relance hijackthis et fix la ligne que je t ai dit
et une question n est jamais con il vaut mieux la poser que de faire une betise

sphax · Answer

j'ai fait le scan et il n'a rien trouver

mais j'ai un probleme avec hijackthis il se referme tout seul avant que j'ai eu le temps de cocher les ligne pour les fix :/

je peux le faire en mode sans echec?

balltrap34 · Answer

oui essaie

sphax · Answer

j'ai fix les ligne dans hijackthis mais une n'y etait plus, celle la
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

par contre j'ai toujours les problemes que j'avais :(

balltrap34 · Answer

redemarre en mode sans echec
tu fait demarrer rechercher tous les dossiers et fichier et tu met ca
C:\WINNT\system32\dslagent.exe
une fois trouver tu click une fois dessus ensuite tu appuie sur la touche majuscule et sans la lacher tu appuie sur la touche suppr
tu redemarre et dit moi ou en sont les problemes sur ton pc pour faire le point

BmV · Answer

salut.Voir là http://www.secuser.com/alertes/2003/gaobot.htm aussi.A+-=O(_BmV_)O=-  L'amour comme épée,      ||       ||       l'humour comme bouclier.

sphax · Answer

salut,j'ai deja utiliser leur patch et il ne m'a rien trouver.

sphax · Answer

j'ai fait la manip que tu m'as demander aucun changement.

Voici les problemes que je rencontre

-l'editeur de registre qui se ferme tout seul au bout de quelque seconde
-l'acces a certain site impossible (site de sécurité)
-DAoC (jeu online) qui me telecharge ses fichiers sound tout le temps et qui plante quand il s'initialise, donc impossible de jouer
-l'installation d'antivirus plantait aussi, mais j'ai pas essayer une nouvelle fois depuis
-par contre le probleme pour installer les patch windows je sais pas si ca foire encore vu que j'ai pu tout mettre a jour hier (avant le dernier patch marchait pas) windows update ne me demande plus de mise a jour

par contre j'ai remarquer un truc, mais je sais pas si c'est normal ou pas, j'ai un logiciel antipub, il montre les ports en ecoute et je trouve que j'ai beaucoup de port en ecoute, je peux pas faire la liste de tous car quand je descend la fenetre qui les affiche elle remonte toute seule

voila c'est tout ce que j'ai remarquer, encore merci pour ton aide balltrap34

balltrap34 · Answer

la dur durrepasse le rimouver de axlretelecharge le il la mis a jour pour voir

sphax · Answer

voila j'ai passer le rimouver il ma fait ca
Taches effectués sur le PC :

Elément(s) supprimé(s) :
Fichier C:\WINNT\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)

Fichier(s) avec demande de suppression manuelle :
C:\
reboot.exe

Correctif Microsoft KB824146 déjà installé

je supprime le fichier reboot.exe?

sinon pendant son scan j'ai vu un trucje sais pas si c'est normal

il marque : le processus ne peux pas acceder au fichier car il est activer par un autre processus

c'est normal?

balltrap34 · Answer

c est pas normal le rimouve tu le fait en mode sans echec?

sphax · Answer

oui oui je le fait bien en mode sans echec

balltrap34 · Answer

dit en relisent le post en entier ti met ca
ben non le probleme est pas résolu j'ai toujours mes probleme sur mes fichier sounds comme au départ :/
hors j ai bien regarder a aucun moment dans les messages tu ne parle de ca
la je comprend plus

sphax · Answer

si si a mon deuxieme message j'ai dit ca

"ben j'ai encore le probleme pour me connecté a certain site, j'ai encore le probleme de son pour DAoC, et le scan de secuser le trouve encore dans le fichier hosts "

le probleme des fichier sounds c que sur DAoC le son de mon pc marche

sinon j'ai fait un scan de l'antivirus enligne de symantec voila le résultat

86754 fichiers analysés, 2 fichier(s) contaminé(s) sur vos disques.

Aucun virus n'a été détecté dans la mémoire.

Votre ordinateur ne contient aucun virus ou cheval de Troie connu. La recherche de virus n'analyse pas les fichiers compressés.

Aucun virus n'a été détecté dans la mémoire.

L'analyse a été annulée avant d'être terminée. Pour relancer l'analyse, cliquez ici.

Votre ordinateur ne contient aucun virus ou cheval de Troie connu. La recherche de virus n'analyse pas les fichiers compressés.

Avertissement L'analyse a détecté un virus actif dans la mémoire de l'ordinateur.
L'analyse a été interrompue afin d'éviter la propagation du virus.

Nous vous conseillons d'arrêter immédiatement votre ordinateur et de le redémarrer avec un disque de sauvetage antivirus ou un outil similaire.

Aucun virus n'a été détecté dans la mémoire.

Votre ordinateur est contaminé par au moins un virus ou cheval de Troie connu.

Nous vous conseillons d'acheter un programme antivirus complet qui vous permettra de réparer vos fichiers.
Sinon, supprimez les fichiers suivants :

Aucun virus n'a été détecté dans la mémoire.

Votre ordinateur est contaminé par au moins un virus ou cheval de Troie connu.

Remarque : L'analyse a été annulée avant d'être terminée. Il se peut que d'autres fichiers soient contaminés sur cet ordinateur.

Nous vous conseillons d'acheter un programme antivirus complet qui vous permettra de réparer vos fichiers.
Sinon, supprimez les fichiers suivants :

Aucune analyse n'a été lancée. Pour lancer l'analyse antivirus, cliquez ici.

C:\WINNT\cvmonitor.exe est contaminé par W32.HLLW.Gaobot.gen
C:\WINNT\system32\cvmonitor.exe est contaminé par W32.HLLW.Gaobot.gen

j'avais pas fait un scan avec leur anti virus avant car activeX passait pas je fait quoi je delete les deux fichier exe qui m'on donner?

balltrap34 · Answer

par securite met les d abord sur disquette on c est jamais et suppr les

sphax · Answer

C:\WINNT\cvmonitor.exeje l'est supprimer mais C:\WINNT\system32\cvmonitor.exeil refuse car le fichier est en cours d'execution, pour arreter le processus je passe en mode sans echec?

balltrap34 · Answer

oui

sphax · Answer

bon voila je les est effacer et a priori tout rmarche correctement

plus de probleme pour acceder au site de sécurité, fichier sounds revenu, et le regedit ne se referme plus

un grand merci a toi balltrap34 pour tous tes conseils et ton aide :)

balltrap34 · Answer

de rien ca pas ete facile sur tout pour toia++

Encore pour le virus agobot.hm

41 réponses

Votre réponse

Discussions similaires

Newsletters