[LOGICIEL] [RESOLU] Virus super recalcitrant ! HELP

[D-Tune]

Scara=> j'allais dire ça, avant de trouver le truc de Secuser en fait

Et si l'objet découvert par Avast n'était en réalité pas un virus...

Mais manque de pot... dans les caractéristiques d'Agobot... on voit qu'il a des facilités à neutraliser la détection de l'antivirus...

Faut se borner à faire plein de manips, passer tout le matos si il faut, le chercher en manuel, le renommer, etc

Il se lance au démarrage au fait ?

tu as essayé via Msconfig => onglet demarrage, de décocher l'entrée correspondante ?*

Ca serait cool si tu postais un screen

EDIT:/ortho

[ZinZin]

Oui il n'y a aucun symptome, avast deconne peut être, comme pour Krapace d'ailleurs...

Mais j'ai quand meme bien un fichier sagate.exe qui se ramene regulièrement dans ma partition de stockage

Imagnons qu'avast s'excite tout seul, que faire ?

EDIT: je v poster un screen

[ZinZin]

Le fichier sagate.exe n'est pas dans " Msconfig => onglet demarrage"

EDIT: il y a un screen dont tu aurait besoin ?

EDIT2: jai tester ça aussi sans resultats...

http://www.webnetvisa.com/astuces_4_3.htm

EDIT3: suis en train de tester ça: http://www.f-secure.com/v-descs/agobot.shtml

[D-Tune]

Un screen de ton msconfig=> demarrage, peut être qu'il y a des entrées "invisibles"

Il y a peut être une Maj de Windows update à mettre

Tu as le Sp2 ?

[ZinZin]

Nan jai pas le sp2.... et j'ai pas très envie de l'installer sachant que je suis infecté

[D-Tune]

Nan c'est pas pour de conseiller de l'installer

Moi même je ne l'ai pas non plus... juste quelques Maj critiques, et un bon parefeu

EDIT:// Il y a un truc bizarre c'est que Agobot n'infecte pas tout le temps le même fichier... par exemple "ndis.exe"

Faut essayer de trouver la Maj correspondante

[ZinZin]

Je vais manger, je reviens plus tard... ça commence a me courir sur le haricot cette histoire

[D-Tune]

Et dans regedit, à :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

T'as rien qui correspond non plus ?

[ZinZin]

Et dans regedit, à :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

T'as rien qui correspond non plus ?

La dedans ya rien ....

[ZinZin]

[D-Tune]

Tu as fait un screen ?

En fait quand tu le supprimes, et que ta session reste ouverte, le fichier ne revient pas, et dès que tu reboote et que tu te connectes au net, il revient ?

Franchement je vois plus trop...

A part les Maj de Windows update...

Ou alors le Format c:... mais là c'est une soution extrême...

[ZinZin]

[D-Tune]

In téressant : http://www.bleepingcomputer.com/startups/s...e.exe-7717.html

Donc il est obligatoirement planqué au démarrage dans le registre, ou dans Msconfig...

[ZinZin]

Tu as fait un screen ?

En fait quand tu le supprimes, et que ta session reste ouverte, le fichier ne revient pas, et dès que tu reboote et que tu te connectes au net, il revient ?

Franchement je vois plus trop...

A part les Maj de Windows update...

Ou alors le Format c:... mais là c'est une soution extrême...

Non, en fait, avast le detect genre 10 sec après le demarrage, je le supprime par avast, et hop 10 secondes apres avast me re alerte !

[ZinZin]

Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.

MAis moi je la voi pas cette entrée

EDIT: dans runservices; ya un "live update" alors que jai jamais eu norton sur ce pc :s

[D-Tune]

Et dans Msconfig, tu as quoi comme entrées 'louches" ?

Edit://http://www.bleepingcomputer.com/startups/s...e.exe-4705.html

l'autre lien vient d'un ver différent, et ce n'est pas une variante de Gaobot...

[ZinZin]

Jai deux msnplus! (jai msn plus mais yen a deux c louche) une en HKLM l'autre en HKCU.... jpense pas que çe soit ça...

Rien d'anormal

[ZinZin]

File Location: Unknown

Startup Type: Currently being identified.

Donc mon ver c'est pas un gaobot ?

[ZinZin]

A l'endroit il y avait sagate.exe deux nouveaux fichiers sont apparus : /

walg32.exe et mssfox32.exe

[D-Tune]

Quel casse tête... il se pourrait que ça ne soit pas un vers...

Mais autant s'en débarrasser

Il y a une manip complete iCi

Essaie de taper dans Cmd : NET STOP Sagate Security Firewall

Normalement il marque un truc comme quoi le service s'est bien arrêté

Si ya rien, ça veut dire que c'est juste un truc pour msn... qui a le même nom qu'un malware

[ZinZin]

Je vais tester ça tout de suite !!!!!!!

[ZinZin]

Sinon, pour les removal instructions, a chaque fois comme tu l'a vu (screenshots) mais jai de clefs avec sagate.exe, ni de processus sagate.exe....

On en deduit donc que c'est une fausse alerte super relou d'AVAST qui nous aura donner du fil a retordre ???????????

Si oui comment faire pour qu'il arrette de me p*ter les co*illes

[D-Tune]

iCi Ils disent la liste des dégâts qu'il fait, hé bien cette liste est énorme

regarde rien qu'à "Program Termination" et "Information Theft"

Ca kill plein de processus, et ça te vole même tes clefs de cd de jeux !!

Apparemment pas mal de monde est tombé sur ce virus...

Pour les deux fichiers que tu as cité, j'ai rien trouvé :/

[ZinZin]

Ma hosts file avait meme pas étée modifiée alors que partout ils disent que c'est le premier truc a retablir

[D-Tune]

Faudrait isoler le fichier... et trouver la faille qu'il exploite...