|
|
|
 |
newman$ newman
19/01 :: 13:44
Invité
| | c'est encore moi , pour un probleme déja ancien
j'ai suivis tous vos conseil a la lettre , j'ai mit un firewall ( KAV anti hacker ) , je désactive la restau.systeme pour faire des gros scans , je passe en mode sans echec pour éffectuer aussi des scans avec des anti-malware, j'ai passé des nétteur ( trash it), meme fait des analyse en ligne ..... et pourtant je me prend par je ne sais comment le vers : backdoor.agobot.gen ainsi que le .wl et que le .xd .... ces 3 versions d'agobot commence vraiment a me saouler d'une force !!!!!
par éxemple :
anti hacker bloque au moin 1000 attaque /jour .. mais se foutu vers est détecté par KAV de temps en temps !! et il crée un fichier printer dans system32 qui lance des impréssions sur mon imprimante !!! ...! impossible de m'en débarrasser, hier je me prend en pleine poire la dernier version je pense le .xd qui ma créé un éxécutable présent dans windows et system 32 !! dailleur son application maitre a faiili me tromper c'était winlgon ... a ne pas confondre avec WINLOGON ! fichier systeme. bref j'ai failli me fair pieger en acceptant winlgon de se conecter via mon firewall ... et la oulalala j'ai vu que son application avaient ouvert une 50 de port et qu'il se distribuaient sur le réseau ... bon en 1minute j'ai tout bloqué mais j'ai du distribuer le vers a une centaine de personnes ... ! ( merci hicjackthis qui ma permit de suprimer ses empreinte ds le registre ...!)
tous ça pour dire que j'arrive a le suprimer avec KAV et mes autres AV ... mais irrégulierement il refait surface !!
je tourne avec KAV 5... KAV antihacker en protection haute ! et :
-ad aware SE
-spybot
-pest patrol
-anti trojan shield
-a²
-hijackthis
...... !!! de plus aucun FIX éxiste .. | |
|
stin07bis$2004001 stin07bis
19/01 :: 14:00
Arrivant
| | pour le "gaobot"....
regarde dans le "gestionnare de taches" pour les exes suivantes....
msb32.exe
svdhost.exe
winhlpp32.exe
>terminer leurs processus
> voir ces clefs dans le "regedit"
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows\currentversion\run
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""\runservices
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""\runonce
si tu trouve ces exes....supprime les....@+ | |
|
newman$ newman
19/01 :: 16:50
Invité
| | oui j'ai bien les 2 clefs runservicec et runonce , c'est donc bien ces 2 clefs qui je dois suprimer ?
c'est ces 2 clefs qui perméttait a mon vers de rentré chez moi quand il voulait ..?
merci beaucoup stin' | |
|
stin07bis$2004001 stin07bis
19/01 :: 17:02
Arrivant
| | oki, j'espere que ton gaobot sera parti après.... | |
|
newman$ newman
19/01 :: 17:07
Invité
| | eu... juste une précision run service et runonce se trouve dans
''''''''''''''''''''''''''''''''''''''''\currentversion !! et non pas dans \currentversion\run comme tu me la indiqué ?
je les suprime quand meme ?? ou alors c'est moi qui t'es pas suivi ...lol | |
|
stin07bis$2004001 stin07bis
19/01 :: 17:11
Arrivant
| | attendez ....seulement ces exes...
msb32.exe
svdhost.exe
winhlpp32.exe
il te faut pas enlever "run"...lol
si tu as les clefs mentionner
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows\currentversion\run\msb32.exe
ou 1 des autres exes...a supprimer...
euh, j'espere que je suis assez clair là?...sinon repose les questions qui te semble obsures...@+ | |
|
newman$ newman
19/01 :: 17:43
Invité
| | ahhh oki , ba oui j'avais mal compri , c'est pour ça je te redemandai , car suprimer des dossier dans le registre , ça me semblait tres bizarre ....
enfin bon , je n'est aucune de ses exes dans mes taches.
j'ai bien les clefs run , runservices et runonce , mais pas d'exe inscrit dans celle ci ..
voila , mais pour goabot je crois qu'il éxiste un FIX , goabot c'est la meme chose que agobot ? ( question conne , car c'est l'anagramme je sais lol) | |
|
stin07bis$2004001 stin07bis
19/01 :: 17:48
Arrivant
| | http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html | |
|
newman$ newman
19/01 :: 18:10
Invité
| | oki merci
je l'avais déja passer fut un temps , sans succes ... mais bon jvai le garder au chaud .
merci stin'
@+ pour d'autre probleme loll | |
|
newman$ newman
21/01 :: 19:37
Invité
| | bon j'ai eu des infos , concernant mon PB , sur un autre forum par un informaticien qui avait eu se meme pb dans son entreprise ( il y a 1 an ou agobot aparue ) => impréssion en masse !!!
les vers agobot/goabot utilise une faille de sécurité windows pour pénétrer dans l'ordinateur !!!
voila se qui expliquerait pourquoi mon firewall ne le bloque pas !!! en conséquent , il parait qu'il y a des patch correctif de windows qui corrige cette faille ... mais j'ai rien trouvé ! , de plus je suis a jour sur les windows update , sauf la SP2 que j'ai pas installé car chez pas mal de personne ça partait en sucette et trop gourmande .....
devrais je l'installé ? j'avais éssayé au tout début , ça m'avait planté mon bureau , oui mon bureau était en univers mode sans échec avec plein de bug !!
voila si quelqu'un a des infos , ou un patch ...
merci encore ! | |
|
Nemix$2004226 Nemix
21/01 :: 20:14
Arrivante
| | Petites info sur le Agobot.Gen : http://www.secuser.com/alertes/2003/gaobot.htm
Utilitaire de désinfection à dl ici : http://securityresponse.symantec.com/avcenter/FxGaobot.exe
(tu as peut être des restes de la bêbête sur ton pc ^^)
Personnellement je te déconseille d'installer le SP2... d'autres te diront le contraire mais il faut le configurer vraiment très bien si tu ne veux pas qu'au lieu de protéger ton pc, tu te retourves avec des conflits qui le fasse ramer ...
Mets juste à jour ta version de windows, ton navigateur web, ton antivirus, ton pare feu, ad aware se personal et spybot ^^
Et dl aussi Spyware Blaster (manip décrite ici : http://www.ordi-netfr.org/spywareblaster.html) à mettre à jour régulièrement aussi 
| |
|
newman$ newman
21/01 :: 20:49
Invité
| | merci j'ai déja tous ça sur le PC ...!
bon la seule chose que je puisse faire c'est de trouver se correctif windows et de changer de naviguateur ( la honte je suis sur IE lool )
merci | |
|
Nemix$2004226 Nemix
21/01 :: 20:56
Arrivante
| | Vi mais tu as encore ce "Gaobot" ou pas lol ? Parce que l'utilitaire que je t'ai cité en haut du message devrait le virer pour de bon. Si jamais ça marche pas et que ça revient toujours malgré toutes les mises à jour, à mon avis tu as encore des trucs sur ta machine et là c'est une autre paire de manches ...
| |
|
newman$ newman
22/01 :: 10:53
Invité
| | non je l'es pas , mais il revient sans cesse irégulierement , car meme quand je passe le FIX alors que je l'es suprimé , il me dit que ya aucun vers gaobot détecté .. mais bon quelque jour apres , il revient , je le re suprime etc .... | |
|
newman$ newman
22/01 :: 10:54
Invité
| | et pourtant j'ai vérifié dans ma BDR , j'ai pas de fichier suspect , ni au démarrage , ni dans windows ou system32 ...
ça va me rendre fou lolll | |
|
stin07bis$2004001 stin07bis
22/01 :: 11:04
Arrivant
| | poste 1 log de "hijackthis" ici...;@+ | |
|
Nemix$2004226 Nemix
22/01 :: 11:30
Arrivante
| | Tu as essayé de virer tes points de restauration système juste avant de le virer ?
Peut être que ça provient de là vu qu'on dit qu'il faut virer la restauration système avant d'effectuer tout nettoyage de ton pc.
| |
|
newman$ newman
24/01 :: 11:49
Invité
| | oui nemix quand je fait des analyse , j'ai désactivé la restau.systeme ! mais jpense pas que j'avais désactivé la toute premiere fois que se vers est arrivé ... bref en tous cas mes analyse sont OK ! c'est peu etre normal ? kapersky est considéré comme le meilleur antivirus , donc bon il me détecte se vers et je le suprime lol ! , donc peu etre que ceux , qui se croient protéger , sont en fait contaminé .... !!
voila le log hijckathis stin'
Logfile of HijackThis v1.98.2
Scan saved at 12:45:15, on 24/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\a2 free\a2start.exe
C:\Program Files\a2 free\a2scan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Gallon\Bureau\Nétoyage et sécurité\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.skyrock.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C 7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.LNK = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.skyrock.com/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D3D83E08-54D1-4E9D-8EAF-9F979D139294} (MaxisSimCityScapeTeleX Control) - http://simcity.ea.com/scape/teleport/MaxisSimCityScapeTeleX.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://photo.laredoute.fr/XUpload.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
merci a vous
| |
|
westernshadow$2004081 westernshadow
24/01 » 14:06
Arrivante
| | la version d'hijack est périmée (Habana est occupé-ohé!) la zone téléchargements n'est pas à jour - ce log est clean
version 1.99
http://www.zebulon.fr/articles/HijackThis.php | |
|
westernshadow$2004081 westernshadow
24/01 :: 14:18
Arrivante
| | j'ai peu être mal lu le post dans son entier mais le fix Gaobot a été appliqué?
http://www.secuser.com/alertes/2003/gaobot.htm <-- ah! oui vu!
Gaobot l'infecte via le port 135, 445 ou 80 <--
tu as fais des tests de vulnérabilité?
http://assiste.free.fr/p/frameset/tests_de_vulnerabilites_en_ligne.php | |
