“Backdoor.Win32.Agobot.gen”
Cette saleté de vérole créé de .exe que j’efface en permanence, et Kaspersky n’arrive pas à le supprimer…
Quelle solution ?
Backdoor.Win32.Agobot.gen"
salut, ce agobot à quel extension…???
ou donne le nom de l’exe que tu efface…
@+
Essaye avec cet utilitaire spécifique pour Agobot
-> FIX
Avant de lancer l’utilitaire, désactive la restauration système, efface les fichiers emporaires internet puis lance cet utilitaire ! 
Plus de renseignement sur ce virus: http://www.secuser.com/alertes/2003/gaobot.htm
Tu dois faire la manip de suppression en mode sans echec (F8).
merci, je vais essayer en mode sans échec, car j’ai déjà fait un scan avec cet utilitaire comme indiqué, mais le virus est toujours là !
Bon, rien à faire ! J’ai suivi vos conseils scrupuleusement, mais ce foutu virus revient sans arrêt.
Il créé des fichiers arun.exe ou install.exe dans les différents disques durs…
HELP !
fait un log hijackthis
Hijack.1.99.1
(screenshot)
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français
- Le mettre dans 1 dossier ex: C:\HijackThis
- Le lancer -> Scan -> Save log
- Récupérer ce log/texte avec le bloc-notes.
- Le copier/coller ici
Logfile of HijackThis v1.99.1
Scan saved at 00:49:56, on 21/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\System32\mfsyncsv.exe
C:\WINDOWS\System32\mrfshl.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System\mssecure.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\mgabg.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Iomega\REV System Software\RevUDF.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe
C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe
C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe
C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\eDonkey2000\edonkey2000.exe
G:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=144446
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=144446
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 38.115.131.131 server.slsk.org
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM…\Run: [Jet Detection] “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe”
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [MirrorFolderShell] C:\WINDOWS\System32\mrfshl.exe
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM…\Run: [.mssecure] C:\WINDOWS\System\mssecure.exe
O4 - HKLM…\Run: [KAV50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe” -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM…\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKCU…\Run: [ACDSee] C:\Program Files\ACD Systems\ACDSee\6.0\ACDSee6.exe /tray
O4 - HKCU…\Run: [Copernic Desktop Search] “C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe” /tray
O4 - HKCU…\Run: [Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU…\Run: [Iomega Automatic Backup Pro] “C:\Program Files\Iomega\Automatic Backup Pro\LiveSystem.exe” -s
O4 - Startup: Konfabulator.lnk = C:\Program Files\Pixoria\Konfabulator\Konfabulator.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d’Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\fastload.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mcupdmgr.exe - Unknown owner - (no file)
O23 - Service: MirrorFolder auto-synchronization service (mfsyncsv) - Techsoft Pvt. Ltd. - C:\WINDOWS\System32\mfsyncsv.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: MpfService - McAfee Security - (no file)
O23 - Service: RevUDFService - Iomega Corp - C:\Program Files\Iomega\REV System Software\RevUDF.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
si tu as redémarré depuis, relance l’hijack et regarde si des lignes ne ce sont pas répliquées (04 RUN par exemple)
C:\WINDOWS\System[b]mssecure.exe[/b]<–worm DDOS_BOXED.X
http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=DDOS_BOXED.X
C:\Program Files\Pixoria\Konfabulator[i]Konfabulator.exe[/i] <-- 4 fois? vérifie dans Program Files
C:\Program Files\Messenger[i]msmsgs.exe[/i] <–supprime {?} tu as déjà MSN Messenger\MsnMsgr.Exe
1°) tu fais les fix dans le log et 2°) tu supprimes les fichiers
1°) fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http$://www.couldnotfind.com/search_page.html?&account_id=144446
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http$://www.couldnotfind.com/search_page.html?&account_id=144446
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) <–TwainTech adware
http://castlecops.com/clsid-39.html
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) <–tu peux fixer c’est la toolbar de McAfee, tu as Kasper
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) <–idem McAfee
les lignes 04
1) ctrl/alt/supp : arrête ces processus
2) tu repasses sur le log et tu fixes/b
O4 - HKLM…\Run: [.mscdsr] C:\WINDOWS\system[b]lsvchost.exe(fixe mais recherche ce fichier aussi pour vérifier)
O4 - HKLM…\Run: [.mssecure] C:\WINDOWS\System\mssecure.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm<–adaware Alexa Related (fixe ou utilise Ad-aware SE )
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
Pour ces 2 lignes utilise le bouton “Delete NT Service” de l’onglet : Misc Tools
O23 - Service: mcupdmgr.exe - Unknown owner - (no file) (McAfee encore)
O23 - Service: MpfService - McAfee Security - (no file)
2°) recherche et supprime
déplie (+) -->C:–>WINDOWS–>System<-- situé ici —> supprime : mssecure.exe
(idem pour Messenger si tu veux)
1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
2) affiche les dossiers cachés :
Clique sur “Démarrer” >> “Panneau de Configuration” >> “Options des Dossiers”
Clique sur l’onglet “Affichage”>> Dans la liste des “Paramètre avancés”, sous la rubrique “Fichiers et dossiers cachés”>>[!! coche!!] “Afficher les fichiers et dossiers cachés”
Pour afficher les autres fichiers cachés>>[ !!décoche!!] la case “Masquer les fichiers protégés du système d’exploitation” *
3) passe en mode sans échec :
donne des impulsions rapides dès l’allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php
4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32—> supprime : […].exe
5) redémarre en mode normal - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)
[u]6) réactive ta restauration système
[/u]
Pour le log
*ferme tous les programmes
*fixe les lignes trouvées dans l’hijack
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)
Pour ces 2 lignes utilise le bouton “Delete NT Service” de l’onglet : Misc Tools
O23 - Service: mcupdmgr.exe - Unknown owner - (no file) (McAfee encore)
O23 - Service: MpfService - McAfee Security - (no file)
Comment procéder exactement ?
- recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32—> supprime : […].exe
c’est quel fichier exactement que je dois supprimer ?