Un removal tool pour Backdoor.Agobot.3.Gen ?

J'ajoute...
Le site www.secuser.com détecte et élimine ce virus, seulement à
condition que le répertoire soit accessible en écriture.

Ne pensez-vous pas que si je déplace, mettons tous les fichiers
détectés par BitDefender dans le répertoire c:temp , que je passe le
dévirusage avec www.secuser.com, que je désinfecte la base des
registres, puis que je réinstalle tous les fichiers dans leurs
répertoires respectifs, celà devrait coller ?

Ou bien est-ce suffisant de désactiver la restauration système, pour que
le dévirusage en ligne soit efficace ?

Par ailleur, BitDefender est installé sur cet ordinateur. Celà ne
pose-t-il pas un problème ?

Bien à vous pour vos réponses.

Jean Francois Ortolo

--
Visitez mon Site entièrement gratuit
donnant des Statistiques et des Historiques Graphiques
sur les Courses de Chevaux:
http://www.ortolojf-courses.com

Pour me répondre, enlevez .no_reply

Salut,

Jean Francois Ortolo:

Quelqu'un pourrait-il m'indiquer un outil gratuit à
télécharger,

Stinger:
http://vil.nai.com/vil/stinger

demander un rapport pour confirmer le nettoyage.

Clrav:
ftp://updates3.kaspersky-labs.com/utils/clrav.zip

regarder dans les options comment créer un rapport à la sortie
du scan. A lancer depuis Démarrage | Exécuter

--
joke0

Salut,

Jean Francois Ortolo:

Ne pensez-vous pas que si je déplace, mettons tous les
fichiers détectés par BitDefender

Ces fichiers sont-il dans des répertoires spéciaux type
_restore?

Ou bien est-ce suffisant de désactiver la restauration
système, pour que le dévirusage en ligne soit efficace ?

Oui, et désactiver l'antivirus résident si le ver ne s'en est déjà
pas occupé ;o)

Par ailleur, BitDefender est installé sur cet ordinateur.
Celà ne pose-t-il pas un problème ?

Non, par contre ce qui pose pb, c'est que ce pc n'est pas à jour
ou mal configuré. Agobot n'est pas venu comme ça, il utilise
plusieurs failles dont la RPC DCOM (comme Blaster) et se diffuse
via les partages réseaux mal configurés.

--
joke0

joke0 a écrit:

Salut,

Bonsoir

Jean Francois Ortolo:

Ne pensez-vous pas que si je déplace, mettons tous les
fichiers détectés par BitDefender

Ces fichiers sont-il dans des répertoires spéciaux type
_restore?

Non, seulement c:windows , et c:windowssystem32

Sinon il y a un cvhost.exe qqchose et également illtime.exe ou
qqchose comme ça, qui ont été mis en quarantaine par BitDefender à mon
premier dévirusage.

Je pense que ces fichiers ne sont pas cryptés, bien qu'étant en
quarantaine, donc à la limite je pourrais les remettre, mais où ?

En effet, lors d'un premier dévirusage en ligne, ces deux fichiers,
bien qu'en quarantaine, étaient détectés par www.secuser.com , et
celui-ci passait la main à BitDefender, qui signalait le virus pour ces
fichiers.

Ou bien est-ce suffisant de désactiver la restauration
système, pour que le dévirusage en ligne soit efficace ?

Oui, et désactiver l'antivirus résident si le ver ne s'en est déjà
pas occupé ;o)

Il faut le désactiver pour déviruser en ligne, ou définitivement ?

Si je dois le désactiver pour déviruser en ligne, je vais être obligé
d'installer un firewall genre ZoneAlarm Free entre temps.

Est-il suffisant de désactiver la restauration système, pour que
www.secuser.com me déviruse c:windows et c:windowssystem32 ?

Ne faut-il pas en plus, leur donner la permission en écriture ?

Par ailleur, BitDefender est installé sur cet ordinateur.
Celà ne pose-t-il pas un problème ?

Non, par contre ce qui pose pb, c'est que ce pc n'est pas à jour
ou mal configuré. Agobot n'est pas venu comme ça, il utilise
plusieurs failles dont la RPC DCOM (comme Blaster) et se diffuse
via les partages réseaux mal configurés.

BitDefender est aussi firewall, ses permissions étaient mal
configurées, trop laxistes, car j'ai été absent de ce local assez
longtemps, et les utilisateurs ne sont pas très bien formés à
l'utilisation des firewalls.

Cette après-midi, j'ai remis les permissions correctes, mais je pense
comme toi qu'une mise à jour Windows Update est recommandée.

Bien à toi pour tes réponses.

Jean Francois Ortolo

--
Visitez mon Site entièrement gratuit
donnant des Statistiques et des Historiques Graphiques
sur les Courses de Chevaux:
http://www.ortolojf-courses.com

Pour me répondre, enlevez .no_reply

Encore une chose...

Pourrais-tu m'indiquer un lien donnant la procédure à suivre, pour
nettoyer la base des registres ?

C'est un ordi Windows XP.

Merci beaucoup.

Jean Francois Ortolo

--
Visitez mon Site entièrement gratuit
donnant des Statistiques et des Historiques Graphiques
sur les Courses de Chevaux:
http://www.ortolojf-courses.com

Pour me répondre, enlevez .no_reply

Salut,

Jean Francois Ortolo:

Sinon il y a un cvhost.exe qqchose et également illtime.exe
ou qqchose comme ça, qui ont été mis en quarantaine par
BitDefender à mon premier dévirusage.

Ouvre BitDefender et cherche si ça ne parle pas de quarantaine
dans un des menus. Si tu trouves, il y aura probablement
'vider la quarantaine'. Sinon part à la recherche de ce
répertoire de quarantaine (probablement 'quarantine' dans le
répertoire de BitDefender.

Il faut le désactiver pour déviruser en ligne, ou
définitivement ?

Temporairement car sinon tu as interaction entre les deux ce
qui conduit généralement à une annihilation ou un beau plantage.

Si je dois le désactiver pour déviruser en ligne, je vais
être obligé d'installer un firewall genre ZoneAlarm Free
entre temps.

Le firewall ICF de windows devrait suffire.

Est-il suffisant de désactiver la restauration système,
pour que
www.secuser.com me déviruse c:windows et
c:windowssystem32 ?

Oui.

Ne faut-il pas en plus, leur donner la permission en
écriture ?

Si. Sauf si vous voulez nettoyer à la main, ce qui est possible
en redémarrant en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec",

BitDefender est aussi firewall, ses permissions étaient mal
configurées, trop laxistes, car j'ai été absent de ce local
assez longtemps, et les utilisateurs ne sont pas très bien
formés à l'utilisation des firewalls.

On ne peut donc désactiver l'antivirus sans désactiver le
firewall? Ce serait trop moche ;-(

--
joke0

Jean Francois Ortolo a écrit:

Encore une chose...

Pourrais-tu m'indiquer un lien donnant la procédure à suivre, pour
nettoyer la base des registres ?

Voilà, j'ai trouvé

La valeur "Windows Configuration" = "wsys32.exe"
doit être supprimée des clés:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
et
************************************************************Run

Et les clés
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesa4
et
*******************************************EnumRootLEGACY_A4

doivent être supprimées.

De plus, il faut:
- Désactiver la restauration système,
- Redémarrer en mode sans échec,
- Supprimer le service W32.HLLW.GaobotFB ou ses variantes, des
services, puis mettre le démarrage du/des service(s) en mode manuel.
- Redémarrer en mode sans échec,
- Lancer Stinger.exe puis l'autre Cdif
- Redémarrer en mode normal pour avoir Internet,
- Désactiver l'antivirus Bitefender si c'est possible,
- Mettre les droits en écriture sur c:windows et
c:windowssystem32
- Démarrer le dévirusage sur le site www.secuser.com
- Attendre et croiser les doigts,
- Redémarrer en mode normal,
- Recopier les fichiers dévirusés à leur places respectives.
- Reactiver la restauration système,
- etc...

Et là... Il y a un problème, car il me semble avoir lu quelque part,
que le programme cvhost.exe ou qqchose comme çà, était copié dans le
répertoire c:windowssystem32 à partir du réseau. Donc, il semblerait
qu'il faille tout bonnement le supprimer ?

Qu'en penses-tu ?

Merci beaucoup de ta réponse.

Jean Francois Ortolo

--
Visitez mon Site entièrement gratuit
donnant des Statistiques et des Historiques Graphiques
sur les Courses de Chevaux:
http://www.ortolojf-courses.com

Pour me répondre, enlevez .no_reply

Salut,

Jean Francois Ortolo:

Et là... Il y a un problème, car il me semble avoir lu
quelque part,
que le programme cvhost.exe ou qqchose comme çà, était copié
dans le répertoire c:windowssystem32 à partir du réseau.

cvhost.exe et pas scvhost.exe? scvhost.exe est une composante
indispensable de windows (1 seul exemplaire localisé dans
c:windowssystem32).

Donc, il semblerait qu'il faille tout bonnement le supprimer ?

cvhost.exe? Sans problème. Veille avant à déconnecter le pc du
réseau local (les autres pc doivent également être infectés
non?) et d'internet, et après le nettoyage et avant de
reconnecter, configure les partages: mots de passe forts,
partage de dossiers isolés et pas de tout le disque si possible.

--
joke0

Résultat final...
C'est que le fichier wsys32.exe ou je ne sais quoi, censé avoir été
placé dans le répertoire c:windowssystem32 par le virus ( dixit un
site de symantec.com auquel j'ai accédé en mettant comme mot-clé:
"Backdoor Agobot.3.Gen removal tool" par l'intermédiaire de Google.com
), n'y figure pas ou plus.

Toutes les entrées dans la base des registres qui auraient du pointer
sur ce fichier, pointent sur quelque chose d'inconnu ( nom de fichier
non spécifié, je crois qu'il est indiqué "EZ qqchose" ou "GEZ qqchose" ).

Je pense que ce fichier a été effacé par le premier dévirusage que
j'ai fait sur le site www.secuser.com Je me demande comment, vu que ce
fichier devait être dans ce répertoire c:windowssystem32 , qui est à
lecture seule, et système en plus.

Quant aux fichiers vérolés, qui sont:

- vdhost.exe ( mis en quarantaine par BitDefender, le nom a
peut-être été modifié )
- lttime.exe ( même chose )
- explore.exe ( dans c:windows )
- winhlp32.exe ( dans c:windowssystem32 )

Aucune des solutions suivantes n'a permis de les déviruser, même en
utilisant la procédure:

- Désactiver la restauration système
- Redémarrer en mode sans échec
- Là, j'ai eu un problème pour créer un répertoire c:Tmp qui soit
en mode inscriptible, cependant j'y ai bel et bien copié ces 4 fichiers
ci-dessus. ) Le répertoire restait en mode "lecture seule" en grisé.
- J'ai donc du redémarrer en mode normal sans Internet ( connexion
débranchée ).
- J'ai lancé Stinger, qui ne m'a rien détecté.
- J'ai redémarré en mode normal avec Internet.
- J'ai redévirusé en ligne sur le site www.secuser.com sur le
répertoire c:Tmp ( autant abréger ), qui a détecté 3 fichiers vérolés,
donc les 4 sauf le fichier explore.exe ). Par "détecté" j'entend: laissé
dans la liste des fichiers non dévirusable et laisser le choix de les
effacer.
- Reactiver la restauration système.

Quand j'ai vu çà, je me suis dit que www.secuser.com ne permettait
pas de déviruser correctement ces virus ( il y en avait un de différent
pour chaque fichier ).

Les fichiers vdhost.exe et lttime.exe étant en quarantaine, j'ai
supposé qu'il ne restait plus que explore.exe et winhlp32.exe de gênant
en utilisation courante, j'au supprimé le répertoire c:Tmp avec ses
fichiers. J'ai vérifié que BitDefender, en l'occurence Virus Shield,
était configuré pour 1- déviruser 2- bloquer les fichiers non
dévirusables, et que donc les virus ne pouvait pas s'étendre, et j'ai
mis à jour WindowsXP et Internet Explorer à la version 6.

Pour l'instant donc, cet ordi est utilisable tel quel, il doit
prochainement être réinstallé avec Windows 2000, et là, il ne devrait
plus y avoir de problèmes.

J'ai encore besoin d'une info: Ne te semble-t-il pas que l'antivirus
le moins en retard pour l'éradication des nouveaux virus, est Norton
Antivirus 2004 ?

En tout cas, le site de Symantec prétend qu'il est capable
d'éradiquer ce virus Backdoor.Agobot.3.Gen , ce qui n'est apparemment
pas le cas pour BitDefender mis à jour.

D'un autre côté, je me méfie de Kapersky, que j'ai eu en mains, et
qui me paraît complexe de configuration, sinon d'utilisation. Je sais
bien que c'est théoriquement le meilleur, mais le tout est de savoir
s'il est en avance sur les autres antivirus pour l'éradication des
nouveaux virus.

Cette solution de Norton Antivirus 2004, associé avec le firewall
Zone Alarm Free, qui m'a toujours donné satisfaction, ne te semble-t-il
pas une bonne solution pour sécuriser cet ordinateur ?

Merci beaucoup pour tes réponses.

Jean Francois Ortolo

--
Visitez mon Site entièrement gratuit
donnant des Statistiques et des Historiques Graphiques
sur les Courses de Chevaux:
http://www.ortolojf-courses.com

Pour me répondre, enlevez .no_reply

Jean Francois Ortolo wrote:

J'ai encore besoin d'une info: Ne te semble-t-il pas que l'antivirus
le moins en retard pour l'éradication des nouveaux virus, est Norton
Antivirus 2004 ?

Bof, où avez-vous entendu ça?

D'un autre côté, je me méfie de Kapersky, que j'ai eu en mains, et
qui me paraît complexe de configuration, sinon d'utilisation.

Eh oui :-/

Je sais bien que c'est théoriquement le meilleur, mais le tout est de savoir
s'il est en avance sur les autres antivirus pour l'éradication des
nouveaux virus.

Le meilleur, ça veut tout et rien dire. Au niveau détection, il n'y a
pas grand chose au-dessus de lui. Ces mises à jour sont quotidiennes,
donc un virus a moins de chances de passer à travers.