Agobot toujours et encore
tamtam0
-
petitemarie Messages postés 2541 Date d'inscription Statut Membre Dernière intervention -
petitemarie Messages postés 2541 Date d'inscription Statut Membre Dernière intervention -
bonjour
d'abord merci et bravo pour ce site et leurs animateurs qui m'ont sauvé plus d'une fois.
voici le pb :
Je n'arrive pas à me débarasser de scheduler.exe et probablement de la bestiole qui va avec.
symptome :
très lent au démarrage
modification des paramètres sur mon firewall (zone alarme, qui s'est mis à autoriser scheduler.exe à surfer.
difficulté à accéder à certain site antivirus : maintenant ça va mieux mais toujours impossible d'accéder à un scan en ligne (pandava et secuser.com) : le premier ne trouve pas la page, le second n'arrive pas a chargé l'active X (mais je suis sur Mozilla (1.7.1) c'est peut-être ça)
cependant une fois j'ai réussit avec IE (mais depuis je peux plus)
le scan à trouver :
zgoobot.gen, MSBLAST
RBOT.IF
RBOT.CY
AGOBOT.UP
DELF.AR
RBOT.HU
SDBOT.QX
DEPUIS ce que j'ai fait.
scheduler.exe invirable des processus.
installation et vérif par ad aware Se, spybot
ne détecte plus rien MAINTENANT après m'avoir détecté et viré un paquet de merde.
Avast : scan au démarrage : un virus éliminé : puis plantage (conflit avec zone alarme?)
J'ai virer au moins temporairement des processus parasytes : video32sd.exe; msm.exe, webrebates. je ne les voit plus
j'ai empêcher ces pg de démarrer au démarrage par msconfig. (ainsi que scheduler.exe)
j'ai virer de la base de registre ce qui se rapportait à scheduler.exe (HKLM\...\run service Scheduler=scheduler.exe)
mais ça revient
enfin j'ai vu dans un message que AVG le détectait mais pas moyen de se faire enregistrer en ce moment, (un lienc agobot?)
voici que dit hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 11:09:03, on 10/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\scheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\scvhosting.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\mozilla.org\Mozilla\Mozilla.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Documents and Settings\titi\Bureau\tmp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [WindowsRegKey update] svchostc.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Service Scheduler] scheduler.exe
O4 - HKLM\..\RunServices: [Microsoft Update] system32.exe
O4 - HKLM\..\RunServices: [Microsoft Protection Subsystems] msm32.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [Service Scheduler] scheduler.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] svchostc.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunOnce: [starter] scvhosting.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [Dmea] C:\Documents and Settings\titi\Application Data\seca.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [starter] scvhosting.exe
O4 - HKCU\..\Run: [WindowsRegKey update] svchostc.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1049.dll,InstantAccess
O4 - HKCU\..\RunOnce: [starter] scvhosting.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - [url]http://public.windupdates.com/get_file.php?bt=ie&p=01fd3e5f78bc3d8e066d3bc6e669ff0d7a5533c3cdc849a3f43a7737780f8e76ac3665f47dba62a84bafbb038aad94a7200d2470:f7775abcd73d2fa63daf646f61636257[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094331103428
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
D'après des messages et sophos ça pourrait être agobot.gen allias agobot.lq
mais pas moyen de trouver un anttivirus qui le détecte et le vire.
je fais comment
mercui d'avance.
Tamtam
d'abord merci et bravo pour ce site et leurs animateurs qui m'ont sauvé plus d'une fois.
voici le pb :
Je n'arrive pas à me débarasser de scheduler.exe et probablement de la bestiole qui va avec.
symptome :
très lent au démarrage
modification des paramètres sur mon firewall (zone alarme, qui s'est mis à autoriser scheduler.exe à surfer.
difficulté à accéder à certain site antivirus : maintenant ça va mieux mais toujours impossible d'accéder à un scan en ligne (pandava et secuser.com) : le premier ne trouve pas la page, le second n'arrive pas a chargé l'active X (mais je suis sur Mozilla (1.7.1) c'est peut-être ça)
cependant une fois j'ai réussit avec IE (mais depuis je peux plus)
le scan à trouver :
zgoobot.gen, MSBLAST
RBOT.IF
RBOT.CY
AGOBOT.UP
DELF.AR
RBOT.HU
SDBOT.QX
DEPUIS ce que j'ai fait.
scheduler.exe invirable des processus.
installation et vérif par ad aware Se, spybot
ne détecte plus rien MAINTENANT après m'avoir détecté et viré un paquet de merde.
Avast : scan au démarrage : un virus éliminé : puis plantage (conflit avec zone alarme?)
J'ai virer au moins temporairement des processus parasytes : video32sd.exe; msm.exe, webrebates. je ne les voit plus
j'ai empêcher ces pg de démarrer au démarrage par msconfig. (ainsi que scheduler.exe)
j'ai virer de la base de registre ce qui se rapportait à scheduler.exe (HKLM\...\run service Scheduler=scheduler.exe)
mais ça revient
enfin j'ai vu dans un message que AVG le détectait mais pas moyen de se faire enregistrer en ce moment, (un lienc agobot?)
voici que dit hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 11:09:03, on 10/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\scheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\scvhosting.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\mozilla.org\Mozilla\Mozilla.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Documents and Settings\titi\Bureau\tmp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [WindowsRegKey update] svchostc.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Service Scheduler] scheduler.exe
O4 - HKLM\..\RunServices: [Microsoft Update] system32.exe
O4 - HKLM\..\RunServices: [Microsoft Protection Subsystems] msm32.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [Service Scheduler] scheduler.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] svchostc.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunOnce: [starter] scvhosting.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [Dmea] C:\Documents and Settings\titi\Application Data\seca.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [starter] scvhosting.exe
O4 - HKCU\..\Run: [WindowsRegKey update] svchostc.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1049.dll,InstantAccess
O4 - HKCU\..\RunOnce: [starter] scvhosting.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - [url]http://public.windupdates.com/get_file.php?bt=ie&p=01fd3e5f78bc3d8e066d3bc6e669ff0d7a5533c3cdc849a3f43a7737780f8e76ac3665f47dba62a84bafbb038aad94a7200d2470:f7775abcd73d2fa63daf646f61636257[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094331103428
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
D'après des messages et sophos ça pourrait être agobot.gen allias agobot.lq
mais pas moyen de trouver un anttivirus qui le détecte et le vire.
je fais comment
mercui d'avance.
Tamtam
4 réponses
Hello
Tu peux toujours essayer ce fix après avoir fait tes mises à jour windows pour boucher la faille utilisée par ce virus et après avoir désactivé la restauration du système : dèmarrer==>programmes==>accessoires==>outils système==>restauration du système .
Le fix :
http://securityresponse.symantec.com/avcenter/FxGaobot.exe
Bonne chance
Tu peux toujours essayer ce fix après avoir fait tes mises à jour windows pour boucher la faille utilisée par ce virus et après avoir désactivé la restauration du système : dèmarrer==>programmes==>accessoires==>outils système==>restauration du système .
Le fix :
http://securityresponse.symantec.com/avcenter/FxGaobot.exe
Bonne chance
merci
bon
visiblement j'ai réussit à virer scheduler a force de suppression de HKLM et avec antivir et avast.
mais pas de trace d'agobot. pourtant selon sphos c'est le seul à utiliser scheduler.exe comme nom.
alors je me dit que la bébette est encore là tapis dans l'ombre..brrrrr
quant à ton fix, pas moyen de me connecter au site de symantec....et ça c'est typiquement vérolesque...re brrrr
bon
visiblement j'ai réussit à virer scheduler a force de suppression de HKLM et avec antivir et avast.
mais pas de trace d'agobot. pourtant selon sphos c'est le seul à utiliser scheduler.exe comme nom.
alors je me dit que la bébette est encore là tapis dans l'ombre..brrrrr
quant à ton fix, pas moyen de me connecter au site de symantec....et ça c'est typiquement vérolesque...re brrrr
Bonsoir.
Essaie ce lien, pour trouver ton fix
http://www.secuser.com/telechargement/desinfection.htm
Bon courage,
///Marie
Essaie ce lien, pour trouver ton fix
http://www.secuser.com/telechargement/desinfection.htm
Bon courage,
///Marie
