|
|
|
newman$ newman 19/01 :: 13:44
Invité
| | c'est encore moi , pour un probleme déja ancien
j'ai suivis tous vos conseil a la lettre , j'ai mit un firewall ( KAV anti hacker ) , je désactive la restau.systeme pour faire des gros scans , je passe en mode sans echec pour éffectuer aussi des scans avec des anti-malware, j'ai passé des nétteur ( trash it), meme fait des analyse en ligne ..... et pourtant je me prend par je ne sais comment le vers : backdoor.agobot.gen ainsi que le .wl et que le .xd .... ces 3 versions d'agobot commence vraiment a me saouler d'une force !!!!!
par éxemple : anti hacker bloque au moin 1000 attaque /jour .. mais se foutu vers est détecté par KAV de temps en temps !! et il crée un fichier printer dans system32 qui lance des impréssions sur mon imprimante !!! ...! impossible de m'en débarrasser, hier je me prend en pleine poire la dernier version je pense le .xd qui ma créé un éxécutable présent dans windows et system 32 !! dailleur son application maitre a faiili me tromper c'était winlgon ... a ne pas confondre avec WINLOGON ! fichier systeme. bref j'ai failli me fair pieger en acceptant winlgon de se conecter via mon firewall ... et la oulalala j'ai vu que son application avaient ouvert une 50 de port et qu'il se distribuaient sur le réseau ... bon en 1minute j'ai tout bloqué mais j'ai du distribuer le vers a une centaine de personnes ... ! ( merci hicjackthis qui ma permit de suprimer ses empreinte ds le registre ...!)
tous ça pour dire que j'arrive a le suprimer avec KAV et mes autres AV ... mais irrégulierement il refait surface !!
je tourne avec KAV 5... KAV antihacker en protection haute ! et :
-ad aware SE -spybot -pest patrol -anti trojan shield -a² -hijackthis
...... !!! de plus aucun FIX éxiste .. | |
|
stin07bis$2004001 stin07bis 19/01 :: 14:00
Arrivant
| | pour le "gaobot".... regarde dans le "gestionnare de taches" pour les exes suivantes.... msb32.exe svdhost.exe winhlpp32.exe >terminer leurs processus > voir ces clefs dans le "regedit" HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows\currentversion\run """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""\runservices """""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""\runonce si tu trouve ces exes....supprime les....@+ | |
|
newman$ newman 19/01 :: 16:50
Invité
| | oui j'ai bien les 2 clefs runservicec et runonce , c'est donc bien ces 2 clefs qui je dois suprimer ?
c'est ces 2 clefs qui perméttait a mon vers de rentré chez moi quand il voulait ..?
merci beaucoup stin' | |
|
stin07bis$2004001 stin07bis 19/01 :: 17:02
Arrivant
| | oki, j'espere que ton gaobot sera parti après.... | |
|
newman$ newman 19/01 :: 17:07
Invité
| | eu... juste une précision run service et runonce se trouve dans
''''''''''''''''''''''''''''''''''''''''\currentversion !! et non pas dans \currentversion\run comme tu me la indiqué ?
je les suprime quand meme ?? ou alors c'est moi qui t'es pas suivi ...lol | |
|
stin07bis$2004001 stin07bis 19/01 :: 17:11
Arrivant
| | attendez ....seulement ces exes... msb32.exe svdhost.exe winhlpp32.exe il te faut pas enlever "run"...lol si tu as les clefs mentionner HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows\currentversion\run\msb32.exe ou 1 des autres exes...a supprimer... euh, j'espere que je suis assez clair là?...sinon repose les questions qui te semble obsures...@+ | |
|
newman$ newman 19/01 :: 17:43
Invité
| | ahhh oki , ba oui j'avais mal compri , c'est pour ça je te redemandai , car suprimer des dossier dans le registre , ça me semblait tres bizarre ....
enfin bon , je n'est aucune de ses exes dans mes taches.
j'ai bien les clefs run , runservices et runonce , mais pas d'exe inscrit dans celle ci ..
voila , mais pour goabot je crois qu'il éxiste un FIX , goabot c'est la meme chose que agobot ? ( question conne , car c'est l'anagramme je sais lol) | |
|
stin07bis$2004001 stin07bis 19/01 :: 17:48
Arrivant
| | http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html | |
|
newman$ newman 19/01 :: 18:10
Invité
| | oki merci
je l'avais déja passer fut un temps , sans succes ... mais bon jvai le garder au chaud .
merci stin'
@+ pour d'autre probleme loll | |
|
newman$ newman 21/01 :: 19:37
Invité
| | bon j'ai eu des infos , concernant mon PB , sur un autre forum par un informaticien qui avait eu se meme pb dans son entreprise ( il y a 1 an ou agobot aparue ) => impréssion en masse !!!
les vers agobot/goabot utilise une faille de sécurité windows pour pénétrer dans l'ordinateur !!!
voila se qui expliquerait pourquoi mon firewall ne le bloque pas !!! en conséquent , il parait qu'il y a des patch correctif de windows qui corrige cette faille ... mais j'ai rien trouvé ! , de plus je suis a jour sur les windows update , sauf la SP2 que j'ai pas installé car chez pas mal de personne ça partait en sucette et trop gourmande .....
devrais je l'installé ? j'avais éssayé au tout début , ça m'avait planté mon bureau , oui mon bureau était en univers mode sans échec avec plein de bug !!
voila si quelqu'un a des infos , ou un patch ...
merci encore ! | |
|
Nemix$2004226 Nemix 21/01 :: 20:14
Arrivante
| | Petites info sur le Agobot.Gen : http://www.secuser.com/alertes/2003/gaobot.htm Utilitaire de désinfection à dl ici : http://securityresponse.symantec.com/avcenter/FxGaobot.exe (tu as peut être des restes de la bêbête sur ton pc ^^)
Personnellement je te déconseille d'installer le SP2... d'autres te diront le contraire mais il faut le configurer vraiment très bien si tu ne veux pas qu'au lieu de protéger ton pc, tu te retourves avec des conflits qui le fasse ramer ...
Mets juste à jour ta version de windows, ton navigateur web, ton antivirus, ton pare feu, ad aware se personal et spybot ^^ Et dl aussi Spyware Blaster (manip décrite ici : http://www.ordi-netfr.org/spywareblaster.html) à mettre à jour régulièrement aussi
| |
|
newman$ newman 21/01 :: 20:49
Invité
| | merci j'ai déja tous ça sur le PC ...!
bon la seule chose que je puisse faire c'est de trouver se correctif windows et de changer de naviguateur ( la honte je suis sur IE lool )
merci | |
|
Nemix$2004226 Nemix 21/01 :: 20:56
Arrivante
| | Vi mais tu as encore ce "Gaobot" ou pas lol ? Parce que l'utilitaire que je t'ai cité en haut du message devrait le virer pour de bon. Si jamais ça marche pas et que ça revient toujours malgré toutes les mises à jour, à mon avis tu as encore des trucs sur ta machine et là c'est une autre paire de manches ...
| |
|
newman$ newman 22/01 :: 10:53
Invité
| | non je l'es pas , mais il revient sans cesse irégulierement , car meme quand je passe le FIX alors que je l'es suprimé , il me dit que ya aucun vers gaobot détecté .. mais bon quelque jour apres , il revient , je le re suprime etc .... | |
|
newman$ newman 22/01 :: 10:54
Invité
| | et pourtant j'ai vérifié dans ma BDR , j'ai pas de fichier suspect , ni au démarrage , ni dans windows ou system32 ...
ça va me rendre fou lolll | |
|
stin07bis$2004001 stin07bis 22/01 :: 11:04
Arrivant
| | poste 1 log de "hijackthis" ici...;@+ | |
|
Nemix$2004226 Nemix 22/01 :: 11:30
Arrivante
| | Tu as essayé de virer tes points de restauration système juste avant de le virer ? Peut être que ça provient de là vu qu'on dit qu'il faut virer la restauration système avant d'effectuer tout nettoyage de ton pc.
| |
|
newman$ newman 24/01 :: 11:49
Invité
| | oui nemix quand je fait des analyse , j'ai désactivé la restau.systeme ! mais jpense pas que j'avais désactivé la toute premiere fois que se vers est arrivé ... bref en tous cas mes analyse sont OK ! c'est peu etre normal ? kapersky est considéré comme le meilleur antivirus , donc bon il me détecte se vers et je le suprime lol ! , donc peu etre que ceux , qui se croient protéger , sont en fait contaminé .... !!
voila le log hijckathis stin' Logfile of HijackThis v1.98.2 Scan saved at 12:45:15, on 24/01/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Messenger Plus! 3\MsgPlus.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\PESTPA~1\PPMemCheck.exe C:\PROGRA~1\PESTPA~1\PPControl.exe C:\PROGRA~1\PESTPA~1\CookiePatrol.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Program Files\SuperCopier\SuperCopier.exe C:\Program Files\RamBoost XP\rambxpfr.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Program Files\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\System32\HPZipm12.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\a2 free\a2start.exe C:\Program Files\a2 free\a2scan.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Gallon\Bureau\Nétoyage et sécurité\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.skyrock.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.free.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.LNK = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: officejet 6100.lnk = ? O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.skyrock.com/ O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {D3D83E08-54D1-4E9D-8EAF-9F979D139294} (MaxisSimCityScapeTeleX Control) - http://simcity.ea.com/scape/teleport/MaxisSimCityScapeTeleX.cab O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://photo.laredoute.fr/XUpload.ocx O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
merci a vous
| |
|
westernshadow$2004081 westernshadow 24/01 » 14:06
Arrivante
| | la version d'hijack est périmée (Habana est occupé-ohé!) la zone téléchargements n'est pas à jour - ce log est clean
version 1.99 http://www.zebulon.fr/articles/HijackThis.php | |
|
westernshadow$2004081 westernshadow 24/01 :: 14:18
Arrivante
| | j'ai peu être mal lu le post dans son entier mais le fix Gaobot a été appliqué? http://www.secuser.com/alertes/2003/gaobot.htm <-- ah! oui vu!
Gaobot l'infecte via le port 135, 445 ou 80 <--
tu as fais des tests de vulnérabilité? http://assiste.free.fr/p/frameset/tests_de_vulnerabilites_en_ligne.php | |