[LOGICIEL] [RESOLU] Virus super recalcitrant ! HELP

[ZinZin]

Impossible de supprimer cette merde depuis ce matin

Avast ==> rien a faire

Stinger ==> le detecte même pas

Mode sans echec + avast ==> il le suprime et hop il revient tout de suite

l'outil de symantec ==> me dit qu'il ne trouve pas ce virus sur mon ordi

HELP je deviens fou

EDIT: tous les screenshots deplacés en page 6

[Warrior]

Salut,

En effet cette S***** est une vrai pot de colle, moi je te conseille de faire un Scan en Ligne chez Trend Micro voici le liens :

House Call

Au cas ou cherche un Antivirus : performant, leger, bref la total quoi

Tu peut toujour tester : NOD32

En esperant t'avoir aider, bonne chance

PS : pour une fois c'est pas Norton

[Scaramouche]

t'as pensé en plus à enlever la restauration système... parce que si c'est non c'est pas anormal qu'il revienne

[ZinZin]

Oue elle est giclée

[--Lord--]

Et bien tu démarre en mode sans échec, et tu bazarde le fichier contaminé

[ZinZin]

Il revient en permanence

[Warrior]

salut,

- Désactive la restauration du systeme

- Tu a cliquer sur mon liens pour scannez ton PC chez -> House Call ??

- Prend -> Kasperky ou NOD32 pour virer le virus

[ Troll ON ]

Au faite

l'outil de symantec ==> me dit qu'il ne trouve pas ce virus sur mon ordi

1 Virus ne peut pas supprimer 1 autre

[ Troll OFF ]

[ZinZin]

Warrior: ton scan online detecte mon pb mais ne parvient pas a le resoudre

[Scaramouche]

les outils de desinfection de symantech sont habituellement bons.. ils m'ont rednu des services pour desinfecter des copains ou des collègues.... (je parle pas de l'antivirus )

tu parles de cet outil là ZinZin : http://www.sarc.com/avcenter/venc/data/w32.gaobot.bow.html ?

si la méthode avec l'outil ne fonctionne pas.. faut que tu passe à la méthode manuelle qui est décrite dans la page dont j'ai donné le lien... du boulot en perspective

[D-Tune]

Un mec sur le net fait allusion à la suppression d'un fichier dans system32 : "WINDOWS/SYSTEM32/winhlpp32.exe"

Vérifie la dernière date de modification du fichier en question

Tu as essayé ZA comme parefeu ?

[D-Tune]

Il faut d'abord trouver la bonne variante de ton virus.. Backdoor.Win32.Agobot.

essaie ça :

Console Executer => Regedit

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez les entrées HKEY_LOCAL_MACHINE suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

et supprimez les références à tous les fichiers que vous avez supprimés.

Fermez l'éditeur du registre.

**Pris sur Sophos

[mixpixoto]

-j'ai eu cette verole l'année derniere,j'ai tout essayer(ou presque)scan,desinfection,patch...rien n'y a fait

-par contre la manip de bunee......pas essayée,c'est p'tete la soluce

[ZinZin]

Bunee: deja merci

Tu parle des fichiers contenant le virus ? Dans mon cas "sarge.exe"

Il n'y a aucune reference a ce fichier dans "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" et dans "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices"

C'est la merde

[D-Tune]

sarge.exe ?

pas plutot sagate.exe

[Scaramouche]

c'est ce que disaitmon lien bunee

ils disent aussi de faire ça en plus dans le lien que j'ai donné :

Removing entries from the Hosts file

If this threat has modified the Windows Hosts file, there are two ways to remove these entries:

    * Install and run the current version of LiveUpdate. This will remove only the entries that refer to Symantec domains.

    * Manually edit the Hosts file and remove all the entries that the worm added.

Overwrites %system%\drivers\etc\hosts with the following lines:

   * 127.0.0.1 www.trendmicro.com
   * 127.0.0.1 trendmicro.com
   * 127.0.0.1 rads.mcafee.com
   * 127.0.0.1 customer.symantec.com
   * 127.0.0.1 liveupdate.symantec.com
   * 127.0.0.1 us.mcafee.com
   * 127.0.0.1 updates.symantec.com
   * 127.0.0.1 update.symantec.com
   * 127.0.0.1 www.nai.com
   * 127.0.0.1 nai.com
   * 127.0.0.1 secure.nai.com
   * 127.0.0.1 dispatch.mcafee.com
   * 127.0.0.1 download.mcafee.com
   * 127.0.0.1 www.my-etrust.com
   * 127.0.0.1 my-etrust.com
   * 127.0.0.1 mast.mcafee.com
   * 127.0.0.1 ca.com
   * 127.0.0.1 www.ca.com
   * 127.0.0.1 networkassociates.com
   * 127.0.0.1 www.networkassociates.com
   * 127.0.0.1 avp.com
   * 127.0.0.1 www.kaspersky.com
   * 127.0.0.1 www.avp.com
   * 127.0.0.1 kaspersky.com
   * 127.0.0.1 www.f-secure.com
   * 127.0.0.1 f-secure.com
   * 127.0.0.1 viruslist.com
   * 127.0.0.1 www.viruslist.com
   * 127.0.0.1 liveupdate.symantecliveupdate.com
   * 127.0.0.1 mcafee.com
   * 127.0.0.1 www.mcafee.com
   * 127.0.0.1 sophos.com
   * 127.0.0.1 www.sophos.com
   * 127.0.0.1 symantec.com
   * 127.0.0.1 securityresponse.symantec.com
   * 127.0.0.1 www.symantec.com

[D-Tune]

En fait pour ton Win32.Gaobot-1540, il faudrait connaître le nom d'une autre variante pourtrouver plus facilement une solution.

La variante que Avast donne n'est sûrement pas assez précise.

A ta place j'essaierai d'installer un autre antivirus (install+maj), juste le temps de voir si il détecte le ver en question, et quel nom il lui attribue. Parce que les Agobot... il y en a plein

[ZinZin]

Scaramouche: oui mais pour live update faut avoir norton, j'ai pas moi et sinon je trouve pas l'endroit ou je doit remplacer certaines valeurs par celle de ton post

EDIT: jai trouver le fichier mais dedans il n'y a que:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost

Bunee: oui, sagate.exe !!!!!!! Oki pour un autre antivir, le quel tu me conseil ?

[Scaramouche]

je parlais de la partie sur la desinstallation manuelle.... faut juste mettre ton antivirus à jour et faire le reste. mais si tu trouve pas... ça doit être une hsitoire de version...

pour l'anti-virus, prend Kapserky : il y a une version d'évaluation d'un mois qui permet de faire ça justement

là (se mettre en bases étendues))

[ZinZin]

Je test avec Kasperspy

[D-Tune]

Kaspersky Anti-Virus Personal (l'autre version, la pro, pren beaucoup de ressources au démarrage)

Franchement c'est pas pour troller, mais je trouve que c'est une référence sous WinXP...

edit:// double grillade

[ZinZin]

Kasperspy n'a RIEN detecté du tout

Je commence a flipper la

[D-Tune]

Tu avais fait une Maj juste avant ?

Il y a un utilitaire de désinfection sur Secuser.com

Si ça marche

[ZinZin]

Oui bien sur j'avai maj le soft....

Sinon le "freescan" online de mcaffee = pas de virus sur votre computer -_-

Je test ton secuser

[ZinZin]

Deja tester ce soft de desinfection, il a pas detecter le virus

[Scaramouche]

une remarque bête : ça pourrait pas être AVAST qui a des hallucinations ?

parce que tu as décrit aucun symptome particulier de ton windows.. il se passe rien à part cette alerte ?

parce que c'est franchement bizarre ton truc...