agobot toujours et encore Fermé

Question

bonjourd'abord merci et bravo pour ce site et leurs animateurs qui m'ont sauvé plus d'une fois.voici le pb :Je n'arrive pas à me débarasser de scheduler.exe et probablement de la bestiole qui va avec.symptome :très lent au démarragemodification des paramètres sur mon firewall (zone alarme, qui s'est mis à autoriser scheduler.exe à surfer.difficulté à accéder à certain site antivirus : maintenant ça va mieux mais toujours impossible d'accéder à un scan en ligne (pandava et secuser.com) : le premier ne trouve pas la page, le second n'arrive pas a chargé l'active X (mais je suis sur Mozilla (1.7.1) c'est peut-être ça)cependant une fois j'ai réussit avec IE (mais depuis je peux plus)le scan à trouver :zgoobot.gen, MSBLASTRBOT.IFRBOT.CYAGOBOT.UPDELF.ARRBOT.HUSDBOT.QXDEPUIS ce que j'ai fait.scheduler.exe invirable des processus.installation et vérif par ad aware Se, spybotne détecte plus rien MAINTENANT après m'avoir détecté et viré un paquet de merde.Avast : scan au démarrage : un virus éliminé : puis plantage (conflit avec zone alarme?)J'ai virer au moins temporairement des processus parasytes : video32sd.exe; msm.exe, webrebates. je ne les voit plusj'ai empêcher ces pg de démarrer au démarrage par msconfig. (ainsi que scheduler.exe)j'ai virer de la base de registre ce qui se rapportait à scheduler.exe (HKLM\...un service Scheduler=scheduler.exe)mais ça revientenfin j'ai vu dans un message que AVG le détectait mais pas moyen de se faire enregistrer en ce moment, (un lienc agobot?)voici que dit hijackthis:Logfile of HijackThis v1.98.2Scan saved at 11:09:03, on 10/09/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\AVPersonal\AVGUARD.EXEC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32\scheduler.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\scvhosting.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINDOWS\System32\GSICON.EXEC:\WINDOWS\System32\dslagent.exeC:\Program Files\HP\HP Software Update\HPWuSchd.exeC:\Program Files\Java\j2re1.4.2_05\bin\jusched.exeC:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\mozilla.org\Mozilla\Mozilla.exeC:\WINDOWS\System32undll32.exeC:\Program Files\Microsoft Office\Office\OSA.EXEC:\Program Files\Club-Internet\Lanceur\lanceur.exeC:\Documents and Settings	iti\Bureau	mp\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.club-internet.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-InternetR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32
vms.dllO2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dllO2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [GSICONEXE] GSICON.EXEO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USBO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exeO4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exeO4 - HKLM\..\Run: [starter] scvhosting.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exeO4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exeO4 - HKLM\..\Run: [WindowsRegKey update] svchostc.exeO4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exeO4 - HKLM\..\Run: [Service Scheduler] scheduler.exeO4 - HKLM\..\RunServices: [Microsoft Update] system32.exeO4 - HKLM\..\RunServices: [Microsoft Protection Subsystems] msm32.exeO4 - HKLM\..\RunServices: [starter] scvhosting.exeO4 - HKLM\..\RunServices: [Service Scheduler] scheduler.exeO4 - HKLM\..\RunServices: [WindowsRegKey update] svchostc.exeO4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exeO4 - HKLM\..\RunOnce: [starter] scvhosting.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turboO4 - HKCU\..\Run: [Dmea] C:\Documents and Settings	iti\Application Data\seca.exeO4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"O4 - HKCU\..\Run: [starter] scvhosting.exeO4 - HKCU\..\Run: [WindowsRegKey update] svchostc.exeO4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exeO4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1049.dll,InstantAccessO4 - HKCU\..\RunOnce: [starter] scvhosting.exeO4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXEO4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXEO4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO15 - Trusted Zone: http://www.secuser.comO16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - [url]http://public.windupdates.com/get_file.php?bt=ie&p=01fd3e5f78bc3d8e066d3bc6e669ff0d7a5533c3cdc849a3f43a7737780f8e76ac3665f47dba62a84bafbb038aad94a7200d2470:f7775abcd73d2fa63daf646f61636257[/url]O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094331103428O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabD'après des messages et sophos ça pourrait être agobot.gen allias agobot.lqmais pas moyen de trouver un anttivirus qui le détecte et le vire.je fais commentmercui d'avance.Tamtam

Utilisateur anonyme · Answer

HelloTu peux toujours essayer ce fix après avoir fait tes mises à jour windows pour boucher la faille utilisée par ce virus et après avoir désactivé la restauration du système : dèmarrer==>programmes==>accessoires==>outils système==>restauration du système . Le fix :http://securityresponse.symantec.com/avcenter/FxGaobot.exeBonne chance

Utilisateur anonyme · Answer

Tu peux aussi essayer celui la :http://securityresponse.symantec.com/avcenter/FxGaobotUJ.exetchô

tamtam0 · Answer

mercibonvisiblement j'ai réussit à virer scheduler a force de suppression de HKLM et avec antivir et avast. mais pas de trace d'agobot. pourtant selon sphos c'est le seul à utiliser scheduler.exe comme nom.alors je me dit que la bébette est encore là tapis dans l'ombre..brrrrrquant à ton fix, pas moyen de me connecter au site de symantec....et ça c'est typiquement vérolesque...re brrrr

petitemarie · Answer

Bonsoir.Essaie ce lien, pour trouver ton fix http://www.secuser.com/telechargement/desinfection.htmBon courage, ///Marie

Agobot toujours et encore

4 réponses