Virus WORM/AGOBOT.12.BX

[invite5eb13cb6]

Bonjour.

Je possède AVG free edition comme antivirus, ainsi que Norton mais lui n'est pas installé sur mon ordinateur.
Cependant, depuis plusieurs mois, je recois sans cesse les virus Worm_Nachi.B et Worm_Agobot.av. Je parvenait facilement à les supprimer.
Cependant, je viens de recevoir hier 5 virus dont deux Worm/AGOBOT.12.BX
Le site ou je cherchais les caracteristiques du virus ne connaissent pas son nom.
L'antivirus non plus.
L'antivirus ne parvient pas à la supprimer, le reconnait mais ne parvient même pas à le déplacer.
Pour info, il s'est logé dans explorer.exe.....

Savez vous où:
- Je pourrais trouver ses caracteristiques
- J'aurais pu choper ces et ce virus
- On pourrais m'expliquer comment l'enlever.
Avez vous déjà rencontré un tel virus?
Me recommandez vous d'installer Norton?
Serait il pratique de reseter l'ordinateur?

Merci d'avance!
-----

[JP]

Bonjour,

1er chose à faire mettre à jour windows.
2eme chose mettre a jour ton antivirus.
3eme chose essaye de faire une disquette de boot pour scanner ton ordi à partir du DOS. (ca se fait a partir de ton antivirus)
Il se peut que Windows bloque toutes modifications d’explorer puisqu'il est exécuté, c’est sûrement pour cette raison que ton antivirus n’arrive pas à le supprimer.

Voilà comment je procéderai
Bonne désinfection

[invite03f54461]

Slu
T'as essayé un scan de virus ?

[invite5eb13cb6]

Salut.

Merci pour l'adresse. Je me servait de ce site pour leur listes de virus, mais c'est vrai qu'il marche drolement bien leur antivirus: j'ai trouvé 3 autres worm/agobot....

Sinon, est-ce que AVG free edition est meilleur ou moins bien que Norton?
Puis-je mettre les deux en même temps?

Encore Merci.

[A voir en vidéo sur Futura]

[JPL]

C'est une saleté qui arrive directement depuis le réseau (et aussi par IRC) en exploitant des failles bien connues et corrigées de Windows. Donc le conseil déjà donné de mettre à jour Windows est évident. En effet cette infection prouve que ton Windows n'est pas à jour et que tu n'utilises pas de pare-feu, 2 précautions obligatoires de nos jours. Par contre scanner depuis le DOS ne marchera pas si tu as W2000 ou XP et un disque formaté en NTFS.
Il faut donc opérer de la manière suivante :
1) Avec XP ou Millenium, arrêter le système de restauration.
2) Avec tous les Windows, redémarrer en mode sans échec et ensuite scanner avec un antivirus à jour. Normalement il devrait alors supprimer la bête.
3) Remettre en route le système de restauration.

Pour répondre à une autre question : ne jamais activer 2 antivirus sur un ordinateur, c'est la meilleure façon d'aboutir à une catastrophe.

[invite30ba1057]

pour répondre (encore) à l'autre question, j'utilise avg sans soucis depuis .. pff, 4 ans, par là, aucun problème. des virus détectés, supprimés, oui, mais pas plus (faut dire que je le mets à jour .. tous les jours).

quant à norton, bah je serai franc, déjà il est payant, et la rumeur court qu'au bout d'un certain temps, les mises à jour sont payantes aussi. passons. mais un exemple :

(mon boulot est de dépanner les gens qui ont des soucis avec leur pc) un jour je recois un mail d'un de mes "clients", contaminé par je ne sais plus quel virus. AVG se met en route, me supprime le bazar, parfait, je choppe mon tél. et j'appelle le client pour le prévenir, qui me dit que son norton (à jour) n'avait rien détecté ..

[invite5eb13cb6]

A propos de AVG, bien que je l'ais mis à jour, cet antivirus n'avait pas vu virus que house call a détecté...

Pour en revenir à windows, je vais réseter mon ordi dans quelques temps. Mais pour l'info, on fait comment pour le mettre à jour?
Sinon, question firewall, j'utilise Zone Alarm. On m'a dit qu'il était super. Est-il alors nécessaire d'utiliser un anonymayzer (désolé, je sais pas comment ça s'écrit...)?
Comment est-il possible de savoir où est-ce qu'on a chopé un virus?

Désolé de vous assassiner de questions, mais il en va de la sécurité de mon ordinateur... et je l'aime moi!

[JPL]

Pour mettre à jour Windows , Internet Explorer et Outlook Express : dans Internet Explorer aller au menu Outils, puis dans Windows Update. Indispensable comme premier geste, les versions en cours comportant de nombreuses failles.
Attraper Agobot avec Zone Alarm, c'est surprenant mais pas impossible. Il arrive tout seul comme un grand quand on est connecté à Internet et il a pu se glisser par un port (=une voie de communication) qui était ouverte pour un autre programme. Là aussi, il faut télécharger la dernière version parce qu'il y a eu 2 mises à jour en peu de temps, dont au moins une à cause d'une faille de sécurité.
Les diverses versions d'Agobot tentent d'inactiver, quand elles ont contaminé l'ordinateur, les antivirus les plus connus ainsi que plusieurs pare-feux. Cela explique peut-être (???) pourquoi AVG n'a pas tout vu, mais je ne suis pas très satisfait de cette explication.

[kinette]

Bonjour,
Au labo on a choppé cette saleté de worm, plus précisément DOS-Agobot.hm d'après housecall qui le rtouve et le supprime... mais il revient...
Norton Av même mis à jour ne le détecte pas, ni les deux removals tools disponibles (info de fin d'après-midi, peut-être en ont-ils produit de nouveaux).
La bestiole bloque l'accès au site de Symantec... après enlèvement du virus avec Housecall, on peut à nouveau y accéder et télécharger les mises à jour et removal tools.

J'ai fait toutes les mises à jour de Win2000 possibles... et c'est toujours la même chose, au bout de peu de temps la bête revient et se réinstalle dasn WINNT/system32/drivers/etc
Je suppose qu'elle revient par le réseau, et je ne sais pas comment l'empêcher. Je pense qu'il y a des ports à fermer (?). Un firewall peut-il régler le problème?

Merci pour votre aide!!!

K.i a passé quelques heures à essayer de tuer la bête...

[JPL]

Je

suppose qu'elle revient par le réseau, et je ne sais pas comment l'empêcher.

A tout hasard, peut-être par un disque ou un répertoire partagé sur le réseau local ? Parce que si tout le système est à jour, je ne vois pas... mais il y a tellement de variantes qui portent des noms différents selon les éditeurs qu'on a du mal à s'y retrouver. Est-ce que tous les ordinateurs du réseau ont été testés ?

[invitefd69dbe2]

Pour les virus un seul mot : KASPERSKY Antivirus, le must !!!!

Norton, c'est de la m^^^ meme avec les mise a jour et oui !!!
Moi non plus je n'y croyais pas, j'ai fais le test, Norton 2004 + Mise a jour = 0 Virus de trouver
Je le vire je met Kaspersky + mise a jour = 9 Virus de trouvés pas moins !!!!

Si vous voulez evitez les virus, le meilleur firewall : look'n'stop 17.8/20 le premier du classement, pour info Zone Alarme Pro n'a que 10,5/20

Enfin si vous voulez voir qui est connecté a voir pc en ce moment, fermer toutes vos pages web, icq, msn, etc

FAites Executer : tapez cmd
Puis dans la fenetre : netstat -a (c le moins)

Et vous verez qui et combien de personnes sont connectés sur votre pc a votre insut

Voilou

@+

[invite9b523b0c]

Pour les virus un seul mot : KASPERSKY Antivirus, le must !!!!

Norton, c'est de la m^^^ meme avec les mise a jour et oui !!!
Moi non plus je n'y croyais pas, j'ai fais le test, Norton 2004 + Mise a jour = 0 Virus de trouver
Je le vire je met Kaspersky + mise a jour = 9 Virus de trouvés pas moins !!!!

L'efficacité des antivirus n'est pas du tout absolue ! Selon les cas l'un vaudra mieux que l'autre... c'est pratiquement aléatoire... [si l'on prend en compte tous les paramètres]

Pour exemple [en reprenant l'antivirus dont tu parles]:
Kaspersky = 2 virus soit disant supprimés
Et finalement Sophos = 32 virus enfin supprimés...
[ah oui c'était un sacré exemple le pc cité ! lol souvenir mémorable]

[invite30ba1057]

Je pense qu'il y a des ports à fermer (?). Un firewall peut-il régler le problème?

Merci pour votre aide!!!

K.i a passé quelques heures à essayer de tuer la bête...

Oui. Moi qui utilise Zone Alarm (Pro) depuis longtemps je sais que c'est c'est possible avec la verion pas pro aussi, il me semble, par exemple. De principe tout bon firewall permet de bloquer un ou plusieurs ports de manière manuelle, ZA comprend en plus la fonction "block all", ce qui doit normalement bloquer toute communication, mais évidemment, là, plus rien ...

[invite45cef8e5]

slt qnuneo

J ai fait ce que tu as dit , cmd et netstat -a
et j ai ya une liste hyper longue qui est apparu:s.
La plupart yavais listenning d'écrit a la fin ,et dans un ligne était écrit etablished
ca veut dire que j ai un trojan ??????

merci

arimix

[invite37693cfc]

lut

vires deja tout ce qui est P2P Arimix, ensuite listening ca veut dire ecoute, ca ne veut pas dire établi donc c'est pas trop dangereux a priori.

++

[kinette]

Bonsoir,
Bon je commence à en avoir marre de ce truc de *****
Après mise à jour de mon antivirus (merci Norton, elle date d'hier, on attend toujours celle d'aujourd'hui sur le serveur de symantec), après toutes les updates possibles pour Microsoft, après vérification qu'aucun dossier n'est en partage, après élimination du fichier hosts.exe (qui se met heureusement toujours au même endroit), j'ai pourtant vu réapparaître la bête (toujours au même endroit...).
J'ai même essayé (on ne sait jamais) de mettre de dossier etc en lecture seule... et il revient (ça me rappelle une chanson ça... et la matou revient...)...
Bon bref je ne sais plus quoi faire...
En plus maintenant j'ai une merde au démarrage: quand je redémarre, mon ordi se bloque avec mon beau fond d'écran, un sablier (pour la souris), et rien d'autre (pas de barre des tâches ni d'icônes sur le bureau).
L'UC reste à 0, tout est calme... rien ne se passe. Si je refait ctrl+alt+suppr et que je redémarre tout se passe cette fois-ci sans problème...

Si quelqu'un comprend quelque chose à cette histoire merci 1000fois de m'expliquer (et surtout de me dire comment faire...).

K.
Agobot, ou comment s'en débarrasser...

[invite37693cfc]

lut

t'as viré les choses dans les registres ? a mon avis non ... c'est pour ca que la mechante bebete revient

http://www.sophos.fr/virusinfo/analy...2agobotbx.html

tout est expliqué et en francais en plus

++

[kinette]

Recherchez les entrées sous HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Window s\CurrentVersion\Run\
Windows Configuration

HKLM\Software\Microsoft\Window s\CurrentVersion\RunServices\
Windows configuration

et supprimez-les si elles existent.

Rien de tout ça sur mon ordi...

Le mystère continue...

K.

[invite37693cfc]

lut

t'es sur que c'est ce virus Kinette alors ?

++

[kinette]

Bon oui le problème est venu de ce virus, qui ayant désactivé Norton a ouvert la porte aux autres bestioles qui sont Netsky, Bugbear, Mimail et Mydoom... mais bon j'ai fait le nettoyage...

Apparemment notre informaticien est repassé après mon départ et a installé un utilitaire de nettoyage (remoove.bat et restoreservice.bat ainsi qu'une appli appelée WindowsKP-KB824146-x86-FRA.exe). Bon je ne sais pas trop ce que c'est tout ça (il a mis ça sur un dossier temporaire sur le bureau), j'en discuterai avec lui.
Aux dernières nouvelles ça a l'air d'aller (pas de nouveaux virus, Norton fonctionne bien, j'ai pu faire la mise à jour, et j'ai accès au site de symantec...), mais je n'ai encore pas redémarré donc je ne sais pas si mon problème au démarrage persiste...

Bon mais maintenant que ça a l'air d'aller je vais me concentre sur des choses plus importantes.

Merci à tous,
K.

[JPL]

ainsi qu'une appli appelée WindowsKP-KB824146-x86-FRA.exe).

C'est une mise à jour de sécurité pour XP, mais curieusement ce n'est pas la dernière !
http://www.microsoft.com/downloads/d...displaylang=en

[kinette]

En plus j'ai Win2000... mais bon je ne comprends pas toujours tout ce que fait notre informaticien... en tout cas ça semble s'être calmé... y a juste Netsky et co. qui revient régulièrement et est régulièrement bloqué... AGOBOT a l'air d'être parti...

K.

[invite00c17237]

Bonjour à tous,

Moi j'ai le virus backdoor.agobot.qh

Il infecte le répertoire windows\system32\spool\printer s

Mon avp le détecte mais je n'arrive pas à le supprimer. Enfin, si j'arrrive à le supprimer en mode sans échec à partir de l'invite ms-dos.

Mais il revient tjs quelques temps après (environ 2 à 3 h) au même endroit.

J'ai fait la mise à jour windows mais çà ne fait rien.

Si qqn a des suggestions, je le remercie d'avance ....

[JPL]

J'ai fait la mise à jour windows mais çà ne fait rien.

C'est une mise à jour très récente ? Ton ordinateur est-il isolé ou fait-il partie d'un réseau local ? Fais-tu du chat par IRC ? As-tu un pare-feux ?

[invite00c17237]

J'ai l'adsl et j'ai kerio personnal firewall

Mais je l'ai configuré très mal : je ne sais pas les réglages qu'il faut mettre pour ce qui rentreet ce qui sort.

Si tu peux m'aider, c'est pas de refus

[JPL]

Je ne connais pas Kerio, qui a très bonne réputation. Il y a normalement des réglages préconfigurés. Si quelqu'un a la pratique de ce produit, merci de l'aider.
Fais-tu du chat avec un programme d'IRC ? C'est une des voies possibles d'entrée.

[invitedae3312c]

bonjour, j'ai le meme virus que kinette le dos agobot.hm trouver par l'antivirus en ligne de housecall. c'est le seul anti virus qui a réussi a me le trouver mais il ne parviens pas le virer

j'ai mis a jour windows sauf deux patch
Windows 2000 Service Pack 4, installation rapide pour les utilisateurs finaux*

Package de déploiement de sécurité pour Windows 2000 (SRP1), Janvier 2002*

que j'arrive pas a installer quand je suis en train des les installer la fenetre se ferme avant la fin de l'installation.

kinette a l'air de l'avoir virer mais j'ai pas vraiment compris comment elle a fait.

je ne sais vraiment pas comment virer ce virus et je suis un peu perdu, quelqu'un serait comment faire?

mon anti virus est a jour est c'est panda titanium 2004

[JPL]

Il faut toujours démarrer en mode sans échec avant de demander à l'antivirus de nettoyer. De plus si on a Millenium ou XP il faut désactiver temporairement la restauration du système. Autre solution : quand on connaît la référence exacte de la bête, on peut trouver un utilitaire spécifique gratuit pour d'en débarasser, sur les sites de tous les éditeurs d'antivirus. On peut aussi utiliser l'application gratuite Stinger de MacAfee qui est un éradicateur pour tous les virus/vers courants actuellement en liberté.

[kinette]

Bonjour,
Bon on n'est en fait pas tirés d'affaire loin de là... notre informaticien a scanné mon DD à partir d'une autre bête... résultat plein de saletés détectées... a priori c'était bon... je rebranche mon ordi... un tour de scan en mode sans échec... nettoyage d'un Agobot...
Ayant besoin du net je me reconnecte... j'essaie d'aller sur le site de symantec... la bête était revenue dans le fameux dossier... j'ai récupéré la derniere version de NA... refait un scan... reviré des bête: NetskyP et NetskyQ, plus Agobot et un virus inconnu... (seconde fois que NA m'en trouve un encore non répertorié).

Maintenant j'ai Kelkio: résultat, on observe plein de connection, sans arrêt d'ordi de la fac et de l'extérieur...
De mon ordi un Winsvc n'arrête pas d'essayer d'aller sur un site qui s'appelle quelque chose comme reverse.planète.com...
Et peut-être parce que je n'ai pas su quoi interdire et autoriser je n'arrive plus à imprimer...

Enfin si je redémarre plus d'une fois sur deux tout s'arrêt et je n'ai sur mon écran qu'un sablier sur mon beau fond d'écran (un cougard en gros plan ).

Bref on n'est pas tirés d'affaire... on doit avoir des troyens installés sur les ordis dont on ne s'est pas débarrassés...

Et j'ai VRAIMENT besoin de mon ordi...



K.

[JPL]

Et les autres ordi du réseau local, ils ont les mêmes problèmes ? Parce qu'il n'y a aucune raison que tu attires les virus et vers, comme une tartine de confiture abandonnée sur une table de camping attire les abeilles.
As-tu des répertoires partagés avec le réseau sur cette machine ? Si oui, supprime tous les partages.
Netsky p et Q ne peuvent arriver que par des mails. Donc ce n'est pas de la génération spontanée. Ou bien il faut cliquer sur le document attaché, ou bien Internet Explorer et Outlook Express ne sont pas à jour, et là il n'est pas nécessaire de cliquer sur le document attaché (mais cela fait longtemps que la faille est connue et corrigés).
Par contre Kelkio, je ne connais pas et une recherche sur reverse.planete.com est infructueuse.