Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Cpu ... key xp ... tranxène et Cie


johanna

Messages recommandés

Bonsoir Johanna, pascal46, bonsoir à tous,

 

Oui, je pense que tu as un virus et sans doute Agobot !

Tu m'as décontenancé avec ce ver Randex.AB que je ne trouvais nulle part mais je pense que tu avais au moins 2 malwares !

 

Tu t'en es aperçue, le virus se relance au démarrage et il faut intervenir à 3 endroits :

- les processus

- le fichier infecté !

- la base de registres

 

Je pense que le fichier infecté est "ccApp32" mais nous allons le vérifier.

 

Voici ce que je propose :

Nous allons vérifier le nom du fichier infecté-

-1- lance http://www.secuser.com/antivirus/ c'est un très bon antivirus en ligne ; je l'aime bien parce que :

--- toujours à jour

--- pas de paramétrage (toujours bien paramétré)

--- vitrine de la société Trend Micro

--- très efficace !

il va te signaler un certain nombre de fichiers infectés ; note le nom du virus, le nom du fichier, l'emplacement de ce fichier et s'il est Cleanable ou Uncleanable

- à la fin du scan, demande "Clean"pur toutes les lignes

- pour les lignes non réparées :

--- si le fichier est dans un répertoire "Temporaire" ou "Temporary Internet Files", supprime le

--- si non, crée un dossier C:\_ASUPPR, copie le fichier dans ce dossier pour le conserver quelques jours, supprime le fichier

 

Donne le résultat et nous t'indiquerons la suite

 

-----

 

-2- Pendant l'examen antivirus, n'utilise pas ton ordinateur sauf ce qui suit :

- lance l'explorateur Windows par clic-droit sur Démarrer/Explorer/clique sur le + de Programmes/clique sur Démarrage... y a-t-il des fichiers là ? quels sont-ils ?

- même question pour Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage que tu trouves un peu plus haut

 

Va examiner les répertoires suivant à la recherche de fichiers .exe ou .DLL datant de moins d'un mois.

Dans l'explorateur Windows :

- Outils/Options des dossiers/onglet Affichage/clique sur "Afficher tous les fichiers" et décoche "Cacher les extensions..."

- Affichage/Détails

- C:\Windows ; sur la partie droite, clique dans l'entête sur le mot "Modidié" de manière à classer les fichiers dans l'ordre décroissant de date de mise à jour (il faut que tu aies les plus récents en début, sinon clique encore une fois sur "Modifier")... y a-t-il un .EXE ou un .DLL datant de moins d'un mois ? note le nom, la date et l'heure

- même chose pour C:\Windows\System

- même chose pour C:\Windows\System32

- même chose pour C:\Windows\System32\Wins

 

S'il y a un .EXE ou un .DLL datant de moins d'un mois (ou peut-être d'une semaine), copie le dans le répertoire C:\_ASUPPR puis supprime le

Si tu ne peux pas le supprimer, dis le !

Modifié par ipl_001
Lien vers le commentaire
Partager sur d’autres sites

:P

 

 

Et vi! j'avais bien deux soucis en même temps .... Le scan a détecté Agobot.AR

(c:/windows/system32/svdhost.exe)

non cleanable et seul ...

 

J'ai crée le dossier _ASUPPR dans c:/, je l'ai copié à l'interieur et ai placé l'orignial dans la poubelle. Aucune résistance pour le moment.

 

J'ai fait la même chose avec les .dll et .exe récents trouvés dans

 

#c:/ windows :

- tsc.exe 26/01 23h36 (il me dit que c trend micro damage)

- HCExtOutput.dll 26/01 23h36

- usapi32.dll/BPMT.dll/TMUPDATE.dll/UNZIP.dll/PATCH.exe = tous du 23/01 17h20-25 et sont décris comme venant de Trend micro donc pour le moment je m'affole pas trop.

 

#c:/windows/system:

rien :-P

 

#c:/windows/system32:

- ccApp32.exe 20/01 18h31

Accompagné d'un ccApp32.exe.poly du 20/1 18h37 qui l'est impossible de jeter ...

 

Est-ce un hasard? .... :-P

 

 

 

J'espere avoir tout fait bien, en pas à pas pour être sûre. J'ai au moins appris qlqs options :-P

 

Merci pour tout en tout cas. Ce que j'ai placé dans le fichier _ASUPPR je le conserve là en attendant ... Je vais aussi aller lire de façon plus approfondie les infos sur ce Agobot qui m'a décidement l'air plus que populaire. (pis ce qu'est ce genre de fichier "assuppr" par la même occasion :-P )

 

Pour le Randex.AB j'ai bien trouvé des choses, mais concernant les autres extensions (.Q .C etc) il n'est pas cité sur securiser.com, ou alors j'ai bien mal cherché ... tu me rassure

 

Merci encore de tes minutes consacrées à mon cas désolant :-(:-P

Lien vers le commentaire
Partager sur d’autres sites

:-(

 

je reprends -->

 

"- ccApp32.exe 20/01 18h31

Accompagné d'un ccApp32.exe.poly du 20/1 18h37 qui l'est impossible de jeter"

 

J'ai pu jeter le ccApp32.exe.poly

 

Mais impossible de jeter le ccApp32.exe

 

 

:P

Lien vers le commentaire
Partager sur d’autres sites

hello ipl_001 , hello johanna

 

bah je te rassure je suis pas une fille et pas blond et pourtant des fois j ais l impression qu il faudrais que je me fasse greffer un cerveau.... :P

 

il me semble qu un zebulonien a ecrit un post concernant la maniere deradiquer agobot.....

 

pour en revenir a xp si tu as installe la version pro ,logiquement la version home n existe plus sur ton mulet

 

concernant l activation de xp , rien n oblige de le declarer , pour ma part j estime que c est une intrusion dans ma vie privee , pour ma version actuelle (avant j avais la version home et maintenant pro , pour des raisons professionnele, ma femme etant artisant ....) j ais rentre des fausses infos du style "gfghfh" a la place de mon nom , microsoft n as pas besoin de savoir qui je suis. de plus il existe un petit prog (hé oui encore un.... :-( ) , antispy xp , qui permet de simuler l enregistrement en ligne .enlever la cla alexa ,eradiquer messenger....

donc je me retrouve dans le meme cas que toi et je n ais pas eu de probleme pour installer le sp1

concernant la license je croit que la version pro de xp est pour 2 license....mais je vais me renseigner

 

voila je vien de trouver pour agobot

http://forum.zebulon.fr/index.php?showtopic=36748&hl=

a mon avis imprime la page ce seras plus simple

 

pour la reinstalle , oui tu va perdre tes donnees mais si tu as sauvegarde toutes tes donnees importante , pas de soucis

je l ais fais dernierement a cause d un prob mechant et la manip m as pris une heure chrono en comptant l installe des drivers et de tous mes periph.....mais le fait que tu cherche une solution a ton probleme est une tres bonne demarche .......c est comme ca qu ont progresse

bon courage

amicalement

Lien vers le commentaire
Partager sur d’autres sites

j y est pense aussi.....mais j ais pas osé

 

par contre je vien de penser a un truc qui peut marcher

si a l origine ton pc etait un mulet monter d usine avec une batterie de logiciels inclus d origine ,tu avais ce qu ont appelle un cd de restauration, mais pas forcement les masters cd ....... :-(

ils servent au cas ou ton disque dur rend l ame ,là le cd de restauration ne sert , a ce moment là , a rien, il te faut donc reinstaller un nouveau HDD et reinstaller avec les masters cds

si ton systeme est de ce type ,il te faut ecrire au fournisseur du pc ,siemens, et leur demander de te les fournir,ils sont obliges et c est totalement gratuit, vu que tu paye la license avec ton pc a l achat

j ais fait cette manip avec mon ancien pc (optenus avec le CE de gaz de france ....il y en a qui connaissent.... :P ) et j ais bien recus les masters.....mais bon cette manip ne marche que si c est un pc assemble en usine...... :-P

amicalement

Modifié par pascal46
Lien vers le commentaire
Partager sur d’autres sites

Bonjour johanna, pascal46, nick667, bonjour à tous,

 

> c:\windows\system\svdhost.exe

Es-tu sûre qu'il s'agissait de svdhost et non de svchost ? ce serait la première fois qu'on verrait ce fichier !

 

Zut ! j'ai écrit trop vite : les fichiers de c:\Windows sont effectivement relatifs à l'installation préalable au scan de Trend Micro... non, ils n'étaient pas infectés, rassure toi ! je n'avais plus pensé à ceux-là mais il n'y a pas de bobo !

 

Les deux fichiers c:\Windows\System32\ccApp32.exe et ccApp32.exe.poly me plaisent ! ce sont bien des fichiers du virus et tu as été infectée le 20/01 vers 18h31 !

Pour supprimer les fichiers, redémarre en mode sans échec et là, tu pourras supprimer !

Quand tu auras supprimé ce ccApp32.exe, tu n'auras plus le virus (j'espère) mais le nettoyage ne sera pas fini pour autant (base de registre) !

 

Oui, conserve le répertoire C:\_ASUPPR quelques jours au cas où on aurait supprimé des fichiers bons !

Ne cherche pas de la doc : ce répertoire C:\_ASUPPR est une invention à moi ! "_" de manière à ce que le répert. soit en tête de liste et qu'on n'ait pas à le chercher longtemps, ASuppr pour anoncer clairement l'objet de ce répertoire dont le contenu peut être supprimé (au cas où on le redécouvrirait dans 3 mois, lorsque ton ordi fonctionnement super bien :P !)

Modifié par ipl_001
Lien vers le commentaire
Partager sur d’autres sites

Bonjour tout le monde

 

 

Alors voilà, j'ai fait une nuit blanche (tite fête sans prétention) et ce matin je me suis remise à fouiller sur mon metamoteur préféré http://www.kartoo.com/flash.php3 .....

 

Là de fil en aiguille j'ai appris que Agobot était aussi Goabot .... j'ai fini par trouver un patch!

 

vi vi ...

 

Voilà ce que j'ai fait. J'ai pris une demo de Bitdefender. J'ai du changer de firewall parce que AGobot passe au travers de Zone Alarme

 

:-P

 

Ca tombait mal c'était le mien ...

 

Je n'ai pas essayé d'installer Bitdefender puisque Agobot ne permet aucune install de ce genre. Je l'ai laissé sur mon bureau.

 

J'ai téléchargé le patch en question. Je l'ai laissé sur mon bureau aussi.

 

J'ai ensuite appliqué le petit docu que vous m'aviez passé "regtools". j'ai redemarré mon pc avec l'âme d'une Jeanne d'Arc ... Dés l'arrivée sur mon bureau j'ai installé le patch qui m'a tout de suite trouvé qlq chose. Au bout de 10/15 mn mon cpu était à 4% :-P

 

J'ai ensuite installé Bitdefender ... Pour tester et observer un peu je suis allée faire qlq pas sur le net en observant toutes les demandes de Bitdefender quant aux autorisations à donner ... au bout de 4 ou 5 pages quelque chose est arrivé "explored.exe tente de modifier la base de registre" j'ai mis non ... au moins 20 fois ... a chaque fois une ville differente était sur l'adresse donnée. J'ai reverifié mon cpu, tout allait bien. J'ai eu une seconde charge de ces messages, encore par paquet de 15 ou 20. J'ai attendu et à la troisième volée j'ai mis un oui ... et là devinez, cpu a 100% :-(

 

Donc je dois refaire la manip precedente et virer ces ccApp ?

je dois y aller certainement par le mode sans echec parce que je ne peux toujours pas acceder à ma bBdr, même juste aprés le patch. (compte administrateur).

 

Bon bein je vais jeter ça et le chercher dans ma Bdr.

 

ipl_001 je vais éradiquer les traces, ça va degainer sec :P

 

Pascal, j'ai ma lef, ma facture et tous les papiers, en fait au lieu d'envoyer des mails je devrais leur téléphoner directement ...

 

Nick667, à vrai dire mon ex est loin et m'a laissé entendre que c'était pas la peine de réclamer mes cds (je n'ai que les offices), ensuite je me sens pas trop de me faire 200 bornes pour prendre un thé soit avec sa mère, soit avec sa nouvelle blondasse (qui chausse du 42 au moins... )

 

Gratuit mais c'est le meilleur :-P

 

Je vais donc recommencer et virer les traces ...

Je reviendre, en attendant voilà le patch (3,52 Mo)

 

http://www.securitoo.com/fra/top10/patches...atch_agobot.exe

 

(telecharger / redemarrer / appliquer )

 

 

A plus et merci-merci :-P

Lien vers le commentaire
Partager sur d’autres sites

:P

 

 

 

 

Rectification (encore???)

 

 

 

 

C'est fixswen.inf que j'ai appliqué sur mon pc avant de redemarrer !

 

 

 

:-( ok c souvent mais j'ai pas dormi encore naméo!

Lien vers le commentaire
Partager sur d’autres sites

:-P

 

Bonjour tout le monde!

 

 

Voilà, ayé! J'avais bien un svdhost (et non svchost). Ainsi qu'un explored.exe (et non explorer.exe)

 

:-(

 

J'ai tout épluché, j'ai désinfecté, j'ai appris plein de trucs géants et j'ai installé le sp1 :-P

 

Merci merci beaucoup !!!!!!! :P

 

Grace à vous j'ai su apprendre à regler ce genre de problème, mais en plus vous m'avez ouvert un nouvel angle sur la logique de mon pc.

 

:-P

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...