Worm SDBOT/AGOBOT
Mr_Barth
Messages postés
17
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut,
Je vais essayer de résumer mon histoire simplement :
J'ai constaté un problème de ralentissement de ma machine en connection internet au départ puis tout le temps.
Après vérification des process j'ai trouvé
cvmonitor.exe
Recherche sur google --> C'est un worm
(Parenthèse d'utilité publique
Ce WORM_SDBOT.quelquechose se copie dans system32. J'ai lu qu'il se copiait parfois dans WINNT/. sous le nom cvmonitor.exe
Il se met également dans la base de registre
/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/Run ET /Run Services
Dans le fichier C:/WINNT/System32/drivers/host il fait correspondre toutes les adresses web de sites antivirus qu'il connait à l'adresse 127.0.0.1 et ainsi neutralise l'acces à ces sites.
Je ferme la parenthèse)
Bref je dégage tout ce bazard. Et il revient ! Et en plus il revient avec un copain wmon16.exe
Apres un nouveau nettoyage j'en ai 4
cvmonitor.exe (ca va il se laisse virer des process et des fichiers)
wmon16.exe (idem)
wumgrd.exe
ns.exe
Ce dernier est plus embêtant car c'est le premier qui m'a refusé l'acces au process en mode normal. Il est virable en mode sans echec.
Précision : Les scans en ligne sont négatifs pour tout le reste du disque et je n'ai rien fait de dangereux depuis le début du nettoyage.
Quelqu'un sait il pourquoi ils reviennent.
J'ai vu que ce genre de cheval de troie est utilisé pour le vol de cd-keys et de données via un canal IRC je crois.
Ont il pu garder un moyen de me réinfecter ?
Y a t il un fichier qui pourrait apparaitre non contaminé et en même temps contaminer les autres ?
Je sais vraiment pas quoi faire de plus
MERCI
ps : désolé si le message est long (je voulais être clair dans ma question et en même temps partager ce que je sais déjà)
Je vais essayer de résumer mon histoire simplement :
J'ai constaté un problème de ralentissement de ma machine en connection internet au départ puis tout le temps.
Après vérification des process j'ai trouvé
cvmonitor.exe
Recherche sur google --> C'est un worm
(Parenthèse d'utilité publique
Ce WORM_SDBOT.quelquechose se copie dans system32. J'ai lu qu'il se copiait parfois dans WINNT/. sous le nom cvmonitor.exe
Il se met également dans la base de registre
/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/Run ET /Run Services
Dans le fichier C:/WINNT/System32/drivers/host il fait correspondre toutes les adresses web de sites antivirus qu'il connait à l'adresse 127.0.0.1 et ainsi neutralise l'acces à ces sites.
Je ferme la parenthèse)
Bref je dégage tout ce bazard. Et il revient ! Et en plus il revient avec un copain wmon16.exe
Apres un nouveau nettoyage j'en ai 4
cvmonitor.exe (ca va il se laisse virer des process et des fichiers)
wmon16.exe (idem)
wumgrd.exe
ns.exe
Ce dernier est plus embêtant car c'est le premier qui m'a refusé l'acces au process en mode normal. Il est virable en mode sans echec.
Précision : Les scans en ligne sont négatifs pour tout le reste du disque et je n'ai rien fait de dangereux depuis le début du nettoyage.
Quelqu'un sait il pourquoi ils reviennent.
J'ai vu que ce genre de cheval de troie est utilisé pour le vol de cd-keys et de données via un canal IRC je crois.
Ont il pu garder un moyen de me réinfecter ?
Y a t il un fichier qui pourrait apparaitre non contaminé et en même temps contaminer les autres ?
Je sais vraiment pas quoi faire de plus
MERCI
ps : désolé si le message est long (je voulais être clair dans ma question et en même temps partager ce que je sais déjà)
12 réponses
j'ai eu le même probleme que toi! En fait c'est a ta connexion internet qu'il faut que tu t'attaque ? l'installation d'un firewall est indispensable. ton probleme vien du fait qu'a chaque fois que tu vires un worm ou un trojan tu ouvre ou libere un port de ta bécane donc tu ouvre la porte a quelqu'un d'autre ? et ainsi de suite ! je me suis renseigner aupres d'un vendeur informatique qui m'a dit qu'en fait tous ces espiogiciel etait plus ou moins connecter ensemble donc a part le part feu peu de soluce valable.
la sécurité est mere de surete
la sécurité est mere de surete
Salut,
Merci beaucoup de ta réponse si rapide. Je me doutais un peu de ca et je vais donc installer in firewall. Et faire mes sauvegardes de données tranquille sur CD avant de me reconnecter au net.
J'imagine qu'un petit tour sur les mises à jours micrsoft ne seraient pas en trop non plus ! lol
Merci beaucoup de ta réponse si rapide. Je me doutais un peu de ca et je vais donc installer in firewall. Et faire mes sauvegardes de données tranquille sur CD avant de me reconnecter au net.
J'imagine qu'un petit tour sur les mises à jours micrsoft ne seraient pas en trop non plus ! lol
coucou moi aussi j'ai eu le meme probleme a chaque fois que je le vire il reviens 30 min plus tard on ma conseillé de telecharger les correctif de windows xp et depuis il est plus revenu ;)
@+++++++++++++++++
@+++++++++++++++++
Salut,
Désolé j'auraidu préciser... Je suis sous W2000 pro
Mais ça doit être pareil vu que les deux systèmes sont très similaires dans leur architecture.
En fait je n'ai pas constaté de réapparition après X minutes mais plutot au bout de deux ou trois redémarrages.
Je vous tiens au courant...
Désolé j'auraidu préciser... Je suis sous W2000 pro
Mais ça doit être pareil vu que les deux systèmes sont très similaires dans leur architecture.
En fait je n'ai pas constaté de réapparition après X minutes mais plutot au bout de deux ou trois redémarrages.
Je vous tiens au courant...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut erwan essay ce ci
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
Action numero 1
ftp://www.renonce.com/pub/renonce/Rimouveur.exe
Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus
Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc
@+++
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
Action numero 1
ftp://www.renonce.com/pub/renonce/Rimouveur.exe
Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus
Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc
@+++
Salut,
J'ai enfin pu essayer la technique que tu conseille...
Je ne sais pas encore si ça a réglé tous les problèmes : je verrai à l'usage
Mais
Pour l'instant ce que je peux en dire c'est que le programme m'a retourné le message de résultat suivant :
Taches effectués sur le PC :
Elément(s) supprimé(s) :
Fichier C:\msconfig.dat supprimé (Virus Agobot/Gaobot)
Je cherchais à éliminer ce msconfig.dat depuis un moment mais impossible de stopper le process associé (J'avais pas pensé au mode sans échec... J'ai honte)
Fichier C:\WINNT\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)
bon ça OK
Fichier C:\WINNT\System32\prnt*.exe supprimé (Virus Trojan.Backdoor.CCT) :
prntfix.exe
Fichier C:\WINNT\System32\winhlpp32.exe supprimé (Virus Agobot/Gaobot)
Fichier C:\WINNT\System32\winsvcservice.exe supprimé (Virus Agobot/Gaobot)
Alors ceux là je ne les ai jamais vu se manifester, ni dans les process, ni dans la base de registres
wuamgrd.exe
Fichier C:\WINNT\System32\wuamgrd*.exe supprimé (Virus Agobot/Gaobot)
Celui là je pensais l'avoir eu (il s'est peut être réinstallé pendant que j'étais connecté pour télécharger le rimouveur
Fichier(s) avec demande de suppression manuelle :
C:\WINNT\System32\Wins\
Ca je ne sais pas ce que c'est... D'ailleur j'ai d'autres répertoires vides comme celui là dans C:\WINNT\System32
\cache (bof)
\dhcp (c'est pour obtenir une IP ça non?
\rocket (rasta rocket ?)
\rpcproxi (c'est juste au cas où y'aurais un proxy?)
\ShellExt (c'est juste au cas où j'utiliserais des shell ?)
\Wins (le fameux. ..)
Vous pensez que je dois le(s) virer
Correctif Microsoft KB824146 n'est pas installé
Correctif Microsoft KB835732 n'est pas installé
Mea culpa.
Cependant j'ai comme qui dirai un petit souci de licence alors j'ose pas trop me ballader chez eux.
Donc pour l'instant gros merci jess15 ça m'a bien aidé.
Si quelqu'un en sait plus je suis preneur.
A+
J'ai enfin pu essayer la technique que tu conseille...
Je ne sais pas encore si ça a réglé tous les problèmes : je verrai à l'usage
Mais
Pour l'instant ce que je peux en dire c'est que le programme m'a retourné le message de résultat suivant :
Taches effectués sur le PC :
Elément(s) supprimé(s) :
Fichier C:\msconfig.dat supprimé (Virus Agobot/Gaobot)
Je cherchais à éliminer ce msconfig.dat depuis un moment mais impossible de stopper le process associé (J'avais pas pensé au mode sans échec... J'ai honte)
Fichier C:\WINNT\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)
bon ça OK
Fichier C:\WINNT\System32\prnt*.exe supprimé (Virus Trojan.Backdoor.CCT) :
prntfix.exe
Fichier C:\WINNT\System32\winhlpp32.exe supprimé (Virus Agobot/Gaobot)
Fichier C:\WINNT\System32\winsvcservice.exe supprimé (Virus Agobot/Gaobot)
Alors ceux là je ne les ai jamais vu se manifester, ni dans les process, ni dans la base de registres
wuamgrd.exe
Fichier C:\WINNT\System32\wuamgrd*.exe supprimé (Virus Agobot/Gaobot)
Celui là je pensais l'avoir eu (il s'est peut être réinstallé pendant que j'étais connecté pour télécharger le rimouveur
Fichier(s) avec demande de suppression manuelle :
C:\WINNT\System32\Wins\
Ca je ne sais pas ce que c'est... D'ailleur j'ai d'autres répertoires vides comme celui là dans C:\WINNT\System32
\cache (bof)
\dhcp (c'est pour obtenir une IP ça non?
\rocket (rasta rocket ?)
\rpcproxi (c'est juste au cas où y'aurais un proxy?)
\ShellExt (c'est juste au cas où j'utiliserais des shell ?)
\Wins (le fameux. ..)
Vous pensez que je dois le(s) virer
Correctif Microsoft KB824146 n'est pas installé
Correctif Microsoft KB835732 n'est pas installé
Mea culpa.
Cependant j'ai comme qui dirai un petit souci de licence alors j'ose pas trop me ballader chez eux.
Donc pour l'instant gros merci jess15 ça m'a bien aidé.
Si quelqu'un en sait plus je suis preneur.
A+
re salut ne vire pas ca "Fichier(s) avec demande de suppression manuelle :
C:\WINNT\System32\Wins\ "
je te conseille d'installer les correctif windows c tres important et en plus c gratuit et c sans protocole ;))
si tu pense qu'il reste encore des trojan je te conseille de faire un scan en ligne chez ravantivirus comme ceci
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
salut
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
@+++++++++++++
C:\WINNT\System32\Wins\ "
je te conseille d'installer les correctif windows c tres important et en plus c gratuit et c sans protocole ;))
si tu pense qu'il reste encore des trojan je te conseille de faire un scan en ligne chez ravantivirus comme ceci
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
salut
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
@+++++++++++++
salut
pourriez vous m'aider svp j'ai essayer tout les scan en ligne et voila le rapport
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\TFTP2556 - Backdoor:IRC/Sdbot.dam#2 -> Infected
C:\WINDOWS\system32\TFTP668 - Backdoor:IRC/Sdbot.dam#2 -> Infected
est ce que quelqu'un peut m'aider svp
merci
pourriez vous m'aider svp j'ai essayer tout les scan en ligne et voila le rapport
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\TFTP2556 - Backdoor:IRC/Sdbot.dam#2 -> Infected
C:\WINDOWS\system32\TFTP668 - Backdoor:IRC/Sdbot.dam#2 -> Infected
est ce que quelqu'un peut m'aider svp
merci
salut redemare en mode sans echec (redemarage+tapotte sans cesse sur f8 ou f5)
ensuite va dans
demarrer/rechercher et tape : TFTP2556 et TFTP668 tu les suprime et puis tu vide ta corbeille
si ta le xp n'oublie pas de desactive ta restauration
@+++++++++++++
ensuite va dans
demarrer/rechercher et tape : TFTP2556 et TFTP668 tu les suprime et puis tu vide ta corbeille
si ta le xp n'oublie pas de desactive ta restauration
@+++++++++++++
Salut,
J'ai renoncé !!! :(
Je me suis résolu à formater mon disque après avoir transféré les données que je ne voulais pas écraser sur un autre ordi (avec scan régulier et tout et tout.
Et puis j'ai pris un windaube valide et j'ai fait les updates
J'ai même mis un firewall.
Donc...
Vous êtes tous témoins que j'ai été un bon garçon... ;)
Merci en tout cas de votre aide qui m'a permi d'en savoir un peu plus sur ce problème et j'espère que c'est fini...
A+ (sur un autre forum j'ose espérer)
J'ai renoncé !!! :(
Je me suis résolu à formater mon disque après avoir transféré les données que je ne voulais pas écraser sur un autre ordi (avec scan régulier et tout et tout.
Et puis j'ai pris un windaube valide et j'ai fait les updates
J'ai même mis un firewall.
Donc...
Vous êtes tous témoins que j'ai été un bon garçon... ;)
Merci en tout cas de votre aide qui m'a permi d'en savoir un peu plus sur ce problème et j'espère que c'est fini...
A+ (sur un autre forum j'ose espérer)
