Spyware coriaces
#1
Salut,
J'ai trois petits spyware qui commencent sérieusement à me gonfler.
A chaque démarrage, ils réapparaissent (même si je les ait supprimé avec Ad-Aware).
Voila un screen du résultat du scan:
Cette saleté m'empêche notament d'afficher le panneau de controle lorsque je fais ctrl+alt+suppr. Il me met le message: "l'administrateur a désactivé cette option sur votre compte" (ou qqch dans ce gout la), sauf que "l'admin" c'est moi et qu'il n'y a qu'un seul compte de créé.
Des idées ?
Merci.
J'ai trois petits spyware qui commencent sérieusement à me gonfler.
A chaque démarrage, ils réapparaissent (même si je les ait supprimé avec Ad-Aware).
Voila un screen du résultat du scan:
Cette saleté m'empêche notament d'afficher le panneau de controle lorsque je fais ctrl+alt+suppr. Il me met le message: "l'administrateur a désactivé cette option sur votre compte" (ou qqch dans ce gout la), sauf que "l'admin" c'est moi et qu'il n'y a qu'un seul compte de créé.
Des idées ?
Merci.
-
- Pilote émérite
- Messages : 9128
- Inscription : 15 mars 2004
#3
agobot est un troyen voir là donc ton antispyware il sert à rien
il en existe une centaine de variante la plus drole etant la version KK qui porte bien son nom toi tu as la E c'est plus simple
http://www.sophos.fr/virusinfo/analyses ... botee.html
W32/Agobot-EE est un cheval de Troie de porte dérobée IRC ainsi qu'un ver de réseau.
W32/Agobot-EE est capable de se propager sur des ordinateurs du réseau
local protégés par des mots de passe trop évidents.
Lorsqu'il est exécuté pour la première fois, W32/Agobot-EE se copie dans le dossier système Windows sous le nom ccApp32.exe et crée, pour s'exécuter au démarrage, les entrées suivantes dans le registre :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec Configuration Loader
= ccApp32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Symantec
Configuration Loader = ccApp32.exe
Sur les versions NT de Windows, le ver crée un nouveau service avec le nom d'affichage "Symantec Configuration Loader" et une propriété de démarrage paramétrée sur automatique, de manière à ce que le service démarre automatiquement à chaque démarrage de Windows.
Chaque fois que W32/Agobot-EE est exécuté, il tente de se connecter à un serveur IRC distant et de joindre un canal spécifique.
W32/Agobot-EE fonctionne ensuite en permanence en tâche de fond, permettant à l'intrus distant d'accéder via des canaux IRC à un ordinateur et de le contrôler.
Enfin, W32/Agobot-EE tente de terminer et de désactiver plusieurs programmes antivirus et de sécurité.
on resume
avast antivirus= gratuit
sygate 5.0 parefeu= gratuit
microsoft antispyware+spybot= gratuit aussi
il en existe une centaine de variante la plus drole etant la version KK qui porte bien son nom toi tu as la E c'est plus simple
http://www.sophos.fr/virusinfo/analyses ... botee.html
W32/Agobot-EE est un cheval de Troie de porte dérobée IRC ainsi qu'un ver de réseau.
W32/Agobot-EE est capable de se propager sur des ordinateurs du réseau
local protégés par des mots de passe trop évidents.
Lorsqu'il est exécuté pour la première fois, W32/Agobot-EE se copie dans le dossier système Windows sous le nom ccApp32.exe et crée, pour s'exécuter au démarrage, les entrées suivantes dans le registre :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec Configuration Loader
= ccApp32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Symantec
Configuration Loader = ccApp32.exe
Sur les versions NT de Windows, le ver crée un nouveau service avec le nom d'affichage "Symantec Configuration Loader" et une propriété de démarrage paramétrée sur automatique, de manière à ce que le service démarre automatiquement à chaque démarrage de Windows.
Chaque fois que W32/Agobot-EE est exécuté, il tente de se connecter à un serveur IRC distant et de joindre un canal spécifique.
W32/Agobot-EE fonctionne ensuite en permanence en tâche de fond, permettant à l'intrus distant d'accéder via des canaux IRC à un ordinateur et de le contrôler.
Enfin, W32/Agobot-EE tente de terminer et de désactiver plusieurs programmes antivirus et de sécurité.
on resume
avast antivirus= gratuit
sygate 5.0 parefeu= gratuit
microsoft antispyware+spybot= gratuit aussi
Asrock E3 890GX Phenom II X6 @4ghz avec Corsair H50 8go SSD OCZ agility2 HD6950@ 6970 Seven 64
Hulk of Dover Never before in the fields of human gaming has so much been promised by so few and not been delivered to so many.
Hulk of Dover Never before in the fields of human gaming has so much been promised by so few and not been delivered to so many.
#4
Je confirme aussi ; McAfee forever !!! il m'a déjà sorti de sacré galère celui là ( enfin plutôt passé a coté de .... )Originally posted by Warlordimi@16 May 2005, 20:07
Ad-aware+Spybot+CWShredder+McAfee!
"vitesse , je suis la vitesse !! , concentration , 1 gagnant 42 perdants ; je mange du perdant au déjeuner !!"
#6
rajoute aussi "SpySweeper" il est demoniaque contre les spywares et en trouveras une version d'évaluation sur le site de l'éditeur: http://www.webroot.comOriginally posted by Luigi@16 May 2005, 22:45
Ok merci pour vos réponses, je vais m'attaquer à ce vers !
Fred "skyeyes" Miquel
Asus Striker Extreme - Core2Duo 6850 - 2048 DDR2 - 8800 GTX (180.48) - DX 9.0c - WinXPpro sp3 - X52
Asus Striker Extreme - Core2Duo 6850 - 2048 DDR2 - 8800 GTX (180.48) - DX 9.0c - WinXPpro sp3 - X52
#7
je l'ai eu un coup et avec Avast ca part niquel
P8Z68evop + I2600K+ 2*8GO DDR3 2133mhz+ GTX 570+ Powerstream 520W + RAPTOR 300GO + F1 750go tout Watercooler + X52pro + palo saitek et TIR5 Portable X200 Nvidia 8700mGT @ 750/900
#9
dans le lien tu as la réponse pour desinfecter
Asrock E3 890GX Phenom II X6 @4ghz avec Corsair H50 8go SSD OCZ agility2 HD6950@ 6970 Seven 64
Hulk of Dover Never before in the fields of human gaming has so much been promised by so few and not been delivered to so many.
Hulk of Dover Never before in the fields of human gaming has so much been promised by so few and not been delivered to so many.
#11
Bon, ben j'ai reinstallé windows, tant pis. J'ai perdu le temps de 3 reinstall de windows pour essayer de supprimer cette saleté deja....
Et puis je change d'anti virus.... Avast n'a pas l'air aussi formidable que ca....
Merci pour votre aide en tout cas
Et puis je change d'anti virus.... Avast n'a pas l'air aussi formidable que ca....
Merci pour votre aide en tout cas
#12
avast marche tres bien pour les canaux irc ce par quoi ton agobot est arrivé
si tu as perdu trois reinstal c'est que tu as des partitions rien empêche un vers de passer de l'une a l'autre ce n'est pas parce que tu formate ton c: que dans ton d: il n'y a rien même ci ça n'est pas le disque système. certain se colle mêm dans la ram en resident pour attendre ta fin de reinstall
dans le lien fournit tu as toute l'explication pour retirer ton troyen rubrique desinfection
http://www.sophos.fr/support/disinfection/worms.html
je vais a dessein d'être clair te mettre le fonctionnement d'une autre variante d'agobot
W32/Agobot-KK est un cheval de Troie de porte dérobée IRC et un ver de réseau qui établit un canal IRC vers un serveur distant pour accorder à un intrus l'accès à la machine compromise.
Le ver se déplace dans le dossier système Windows sous le nom TSKDBG.EXE et, pour pouvoir s'exécuter automatiquement au redémarrage du système, crée les entrées de registre suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Task Debugger = tskdbg.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Task Debugger = tskdbg.exe
W32/Agobot-KK tente aussi de recueillir des adresses électroniques dans le Carnet d'adresses Windows et de s'envoyer à ces adresses à l'aide de son propre moteur SMTP en s’incluant en tant que pièce jointe exécutable.
W32/Agobot-KK tente de terminer plusieurs programmes antivirus et de sécurité, en plus d'autres virus, vers et chevaux de Troie. Par exemple :
_AVPM
_AVPCC
_AVP32
ZONEALARM
ZONALM2601
ZATUTOR
ZAPSETUP3001
ZAPRO
XPF202EN
WYVERNWORKSFIREWALL
WUPDT
WUPDATER
WSBGATE
WRCTRL
WRADMIN
WNT
WNAD
WKUFIND
WINUPDATE
WINTSK32
WINSTART001
WINSTART
WINSSK32
WINSERVN
WINRECON
WINPPR32
WINNET
WINMAIN
WINLOGIN
WININITX
WININIT
WININETD
WINDOWS
WINDOW
WINACTIVE
WIN32US
WIN32
WIN-BUGSFIX
WIMMUN32
WHOSWATCHINGME
WGFE95
WFINDV32
WEBTRAP
WEBSCANX
WEBDAV
WATCHDOG
W9X
W32DSM89
VSWINPERSE
VSWINNTSE
VSWIN9XE
VSSTAT
VSMON
VSMAIN
VSISETUP
VSHWIN32
VSECOMR
VSCHED
VSCENU6.02D30
VSCAN40
VPTRAY
VPFW30S
VPC42
VPC32
VNPC3000
VNLAN300
VIRUSMDPERSONALFIREWALL
VIR-HELP
VFSETUP
VETTRAY
VET95
VET32
VCSETUP
VBWINNTW
VBWIN9X
VBUST
VBCONS
VBCMSERV
UTPOST
UPGRAD
UPDAT
UNDOBOOT
TVTMD
TVMD
TSADBOT
TROJANTRAP3
TRJSETUP
TRJSCAN
TRICKLER
TRACERT
TITANINXP
TITANIN
TGBOB
TFAK5
TFAK
TEEKIDS
TDS2-NT
TDS2-98
TDS-3
TCM
TCA
TC
TBSCAN
TAUMON
TASKMON
TASKMO
TASKMG
SYSUPD
SYSTEM32
SYSTEM
SYSEDIT
SYMTRAY
SYMPROXYSVC
SWEEPNET.SWEEPSRV.SYS.SWNETSUP
SWEEP95
SVSHOST
SVCHOSTS
SVCHOSTC
SVC
SUPPORTER5
SUPPORT
SUPFTRL
STCLOADER
START
ST2
SSGRATE
SS3EDIT
SRNG
SREXE
SPYXX
SPOOLSV32
SPOOLCV
SPOLER
SPHINX
SPF
SPERM
SOFI
SOAP
SMSS32
SMS
SMC
SHOWBEHIND
SHN
UPDATE
SHELLSPYINSTALL
SH
SGSSFW32
SFC
SETUP_FLOWPROTECTOR_US
SETUPVAMEEVAL
SERVLCES
SERVLCE
SERVICE
SERV95
SD
SCVHOST
SCRSVR
SCRSCAN
SCANPM
SCAN95
SCAN32
SCAM32
SC
SBSERV
SAVENOW
SAVE
SAHAGENT
SAFEWEB
RUXDLL32
RUNDLL16
RUNDLL
RUN32DLL
RULAUNCH
RTVSCN95
RTVSCAN
RSHELL
RRGUARD
RESCUE32
RESCUE
REGEDT32
REGEDIT
REGED
REALMON
RCSYNC
RB32
RAY
RAV8WIN32ENG
RAV7WIN
RAV7
RAPAPP
QSERVER
QCONSOLE
PVIEW95
PUSSY
PURGE
PSPF
PROTECTX
PROPORT
PROGRAMAUDITOR
PROCEXPLORERV1.0
PROCESSMONITOR
PROCDUMP
PRMVR
PRMT
PRIZESURFER
PPVSTOP
PPTBC
PPINUPDT
POWERSCAN
PORTMONITOR
PORTDETECTIVE
POPSCAN
POPROXY
POP3TRAP
PLATIN
PINGSCAN
PGMONITR
PFWADMIN
PF2
PERSWF
PERSFW
PERISCOPE
PENIS
PDSETUP
PCSCAN
PCFWALLICON
PCDSETUP
PCCWIN98
PCCWIN97
PCCNTMON
PCCIOMON
PAVW
PAVSCHED
PAVPROXY
PAVCL
PATCH
PANIXK
PADMIN
OUTPOSTPROINSTALL
OUTPOSTINSTALL
OTFIX
OSTRONET
OPTIMIZE
ONSRVR
OLLYDBG
NWTOOL16
NWSERVICE
NWINST4
NVSVC32
NVC95
NVARCH16
NUI
NTXconfig
NTVDM
NTRTSCAN
NT
NSUPDATE
NSTASK32
NSSYS32
NSCHED32
NPSSVC
NPSCHECK
NPROTECT
NPFMESSENGER
NPF40_TW_98_NT_ME_2K
NOTSTART
NORTON_INTERNET_SECU_3.0_407
NORMIST
NOD32
NMAIN
NISUM
NISSERV
NETUTILS
NETSTAT
NETSPYHUNTER-1.2
NETSCANPRO
NETMON
NETINFO
NETD32
NETARMOR
NEOWATCHLOG
NEOMONITOR
NDD32
NCINST4
NAVWNT
NAVW32
NAVSTUB
NAVNT
NAVLU32
NAVENGNAVEX15.NAVLU32
NAVDX
NAVAPW32
NAVAPSVC
NAVAP.NAVAPSVC
AUTO-PROTECT.NAV80TRY
NAV
OUTPOST
NUPGRADE
N32SCANW
MWATCH
MU0311AD
MSVXD
MSSYS
MSSMMC32
MSMSGRI32
MSMGT
MSLAUGH
MSINFO32
MSIEXEC16
MSDOS
MSDM
MSCONFIG
MSCMAN
MSCCN32
MSCACHE
MSBLAST
MSBB
MSAPP
MRFLUX
MPFTRAY
MPFSERVICE
MPFAGENT
MOSTAT
MOOLIVE
MONITOR
MMOD
MINILOG
MGUI
MGHTML
MGAVRTE
MGAVRTCL
MFWENG3.02D30
MFW2EN
MFIN32
MD
MCVSSHLD
MCVSRTE
MCTOOL
MCSHIELD
MCMNHDLR
MCAGENT
MAPISVC32
LUSPT
LUINIT
LUCOMSERVER
LUAU
LSETUP
LORDPE
LOOKOUT
LOCKDOWN2000
LOCKDOWN
LOCALNET
LOADER
LNETINFO
LDSCAN
LDPROMENU
LDPRO
LDNETMON
LAUNCHER
KILLPROCESSSETUP161
KERNEL32
KERIO-WRP-421-EN-WIN
KERIO-WRL-421-EN-WIN
KERIO-PF-213-EN-WIN
KEENVALUE
KAZZA
KAVPF
KAVPERS40ENG
KAVLITE40ENG
JEDI
JDBGMRG
JAMMER
ISTSVC
MCUPDATE
LUALL
ISRV95
ISASS
IRIS
IPARMOR
IOMON98
INTREN
INTDEL
INIT
INFWIN
INFUS
INETLNFO
IFW2000
IFACE
IEXPLORER
IEDRIVER
IEDLL
IDLE
ICSUPPNT
ICMON
ICLOADNT
ICLOAD95
IBMAVSP
IBMASN
IAMSTATS
IAMSERV
IAMAPP
HXIUL
HXDL
HWPE
HTPATCH
HTLOG
HOTPATCH
HOTACTIO
HBSRV
HBINST
HACKTRACERSETUP
GUARDDOG
GUARD
GMT
GENERICS
GBPOLL
GBMENU
GATOR
FSMB32
FSMA32
FSM32
FSGK32
FSAV95
FSAV530WTBYB
FSAV530STBYB
FSAV32
FSAV
FSAA
FRW
FPROT
FP-WIN_TRIAL
FP-WIN
FNRB32
FLOWPROTECTOR
FIREWALL
FINDVIRU
FIH32
FCH32
FAST
FAMEH32
F-STOPW
F-PROT95
F-PROT
F-AGNT95
EXPLORE
EXPERT
EXE.AVXW
EXANTIVIRUS-CNET
EVPN
ETRUSTCIPE
ETHEREAL
ESPWATCH
ESCANV95
ICSUPP95
ESCANHNT
ESCANH95
ESAFE
ENT
EMSW
EFPEADM
ECENGINE
DVP95_0
DVP95
DSSAGENT
DRWEBUPW
DRWEB32
DRWATSON
DPPS2
DPFSETUP
DPF
DOORS
DLLREG
DLLCACHE
DIVX
DEPUTY
DEFWATCH
DEFSCANGUI
DEFALERT
DCOMX
DATEMANAGER
Claw95
CWNTDWMO
CWNB181
CV
CTRL
CPFNT206
CPF9X206
CPD
CONNECTIONMONITOR
CMON016
CMGRDIAN
CMESYS
CMD32
CLICK
CLEANPC
CLEANER3
CLEANER
CLEAN
CFINET32
CFINET
CFIADMIN
CFGWIZ
CFD
CDP
CCPXYSVC
CCEVTMGR
CCAPP
BVT
BUNDLE
BS120
BRASIL
BPC
BORG2
BOOTWARN
BOOTCONF
BLSS
BLACKICE
BLACKD
BISP
BIPCPEVALSETUP
BIPCP
BIDSERVER
BIDEF
BELT
BEAGLE
BD_PROFESSIONAL
BARGAINS
BACKWEB
CLAW95CF
CFIAUDIT
AVXMONITORNT
AVXMONITOR9X
AVWUPSRV
AVWUPD
AVWINNT
AVWIN95
AVSYNMGR
AVSCHED32
AVPTC32
AVPM
AVPDOS32
AVPCC
AVP32
AVP
AVNT
AVLTMAIN
AVKWCTl9
AVKSERVICE
AVKSERV
AVKPOP
AVGW
AVGUARD
AVGSERV9
AVGSERV
AVGNT
AVGCTRL
AVGCC32
AVE32
AVCONSOL
AU
ATWATCH
ATRO55EN
ATGUARD
ATCON
ARR
APVXDWIN
APLICA32
APIMONITOR
ANTS
ANTIVIRUS
ANTI-TROJAN
AMON9X
ALOGSERV
ALEVIR
ALERTSVC
AGENTW
AGENTSVR
ADVXDWIN
ADAWARE
AVXQUAR
ACKWIN32
AVWUPD32
AVPUPD
AUTOUPDATE
AUTOTRACE
AUTODOWN
AUPDATE
ATUPDATER
W32/Agobot-KK peut également être utilisé sur des ordinateurs distants pour mettre fin aux processus suivants :
Themes
srservice
wuauserv
WZCSVC
winmgmt
WebClient
W32Time
upnphost
uploadmgr
TrkWks
TermService
TapiSrv
stisvc
SSDPSRV
Spooler
ShellHWDetection
SENS
seclogon
Schedule
SamSs
RpcSs
RasMan
ProtectedStorage
PolicyAgent
PlugPlay
Nla
Netman
Messenger
MDM
LmHosts
lanmanworkstation
lanmanserver
helpsvc
FastUserSwitchingCompatibility
EventSystem
Eventlog
ERSvc
Dnscache
dmserver
Dhcp
CryptSvc
Browser
AudioSrv
Ati HotKey Poller
W32/Agobot-KK recherche sur Internet les dossiers partagés avec des mots de passe faibles et se copie dedans.
Un fichier texte nommé HOSTS dans C:\\drivers\etc\ peut être créé ou remplacé par une liste de sites web antivirus et de sécurité, chacun associé à l'adresse IP de retour 127.0.0.1 laquelle empêche en effet l'accès à ces sites. Par exemple :
127.0.0.1 http://www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com
W32/Agobot-KK peut fouiner dans le trafic réseau HTTP, ICMP, FTP et IRC et y voler des données.
Pour aider à la propagation sur les systèmes sans correctifs et manipuler des clés de registre, les failles suivantes peuvent aussi être exploitées :
Remote Procedure Call (RPC).
Distributed Component Object Model (DCOM).
RPC Locator.
IIS5/WEBDAV Buffer Overflow.
Pour obtenir plus d'informations sur ces failles Windows, veuillez vous reporter aux bulletins de sécurité de Microsoft ci-dessous :
Bulletin de sécurité Microsoft MS03-001
Bulletin de sécurité Microsoft MS03-007
Bulletin de sécurité Microsoft MS03-039
W32/Agobot-KK peut partager/supprimer les lecteurs admin$, ipc$ etc et peut aussi tester la bande passante disponible en tentant de récupérer (GET) ou de poster (POST) des données depuis ou sur les sites Web suivants :
yahoo.co.jp
http://www.nifty.com
http://www.d1asia.com
http://www.st.lib.keio.ac.jp
http://www.lib.nthu.edu.tw
http://www.above.net
http://www.level3.com
nitro.ucsc.edu
http://www.burst.net
http://www.cogentco.com
http://www.rit.edu
http://www.nocster.com
http://www.verio.com
http://www.stanford.edu
http://www.xo.net
de.yahoo.com
http://www.belwue.de
http://www.switch.ch
http://www.1und1.de
verio.fr
http://www.utwente.nl
http://www.schlund.net
W32/Agobot-KK peut aussi servir à lancer une attaque par déni de service (DoS) et des attaques par déni de service (DDoS) synflood / httpflood / fraggle / smurf etc contre des systèmes distants.
Ce ver peut voler Windows Product ID et des clés depuis plusieurs applications informatiques ou jeux comme :
AOL Instant Messenger
Battlefield 1942
Battlefield 1942: Secret Weapons Of WWII
Battlefield 1942: The Road To Rome
Battlefield 1942: Vietnam
Black and White
Call of Duty
Command and Conquer: Generals
Command and Conquer: Generals: Zero Hour
Command and Conquer: Red Alert2
Command and Conquer: Tiberian Sun
Counter-Strike : Condition Zero
Freedom Force
FIFA 2002
FIFA 2003
Global Operations
Gunman Chronicles
Half-Life
Hidden and Dangerous 2
IGI2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
NHL 2002
NHL 2003
Need For Speed: Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Ravenshield
Shogun Total War - Warlord Edition
Soldiers of Anarchy
Soldier of Fortune II - Double Helix
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Windows Messenger
W32/Agobot-KK supprime tous les fichiers nommés 'sound*.*'.
si tu as perdu trois reinstal c'est que tu as des partitions rien empêche un vers de passer de l'une a l'autre ce n'est pas parce que tu formate ton c: que dans ton d: il n'y a rien même ci ça n'est pas le disque système. certain se colle mêm dans la ram en resident pour attendre ta fin de reinstall
dans le lien fournit tu as toute l'explication pour retirer ton troyen rubrique desinfection
http://www.sophos.fr/support/disinfection/worms.html
je vais a dessein d'être clair te mettre le fonctionnement d'une autre variante d'agobot
W32/Agobot-KK est un cheval de Troie de porte dérobée IRC et un ver de réseau qui établit un canal IRC vers un serveur distant pour accorder à un intrus l'accès à la machine compromise.
Le ver se déplace dans le dossier système Windows sous le nom TSKDBG.EXE et, pour pouvoir s'exécuter automatiquement au redémarrage du système, crée les entrées de registre suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Task Debugger = tskdbg.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Task Debugger = tskdbg.exe
W32/Agobot-KK tente aussi de recueillir des adresses électroniques dans le Carnet d'adresses Windows et de s'envoyer à ces adresses à l'aide de son propre moteur SMTP en s’incluant en tant que pièce jointe exécutable.
W32/Agobot-KK tente de terminer plusieurs programmes antivirus et de sécurité, en plus d'autres virus, vers et chevaux de Troie. Par exemple :
_AVPM
_AVPCC
_AVP32
ZONEALARM
ZONALM2601
ZATUTOR
ZAPSETUP3001
ZAPRO
XPF202EN
WYVERNWORKSFIREWALL
WUPDT
WUPDATER
WSBGATE
WRCTRL
WRADMIN
WNT
WNAD
WKUFIND
WINUPDATE
WINTSK32
WINSTART001
WINSTART
WINSSK32
WINSERVN
WINRECON
WINPPR32
WINNET
WINMAIN
WINLOGIN
WININITX
WININIT
WININETD
WINDOWS
WINDOW
WINACTIVE
WIN32US
WIN32
WIN-BUGSFIX
WIMMUN32
WHOSWATCHINGME
WGFE95
WFINDV32
WEBTRAP
WEBSCANX
WEBDAV
WATCHDOG
W9X
W32DSM89
VSWINPERSE
VSWINNTSE
VSWIN9XE
VSSTAT
VSMON
VSMAIN
VSISETUP
VSHWIN32
VSECOMR
VSCHED
VSCENU6.02D30
VSCAN40
VPTRAY
VPFW30S
VPC42
VPC32
VNPC3000
VNLAN300
VIRUSMDPERSONALFIREWALL
VIR-HELP
VFSETUP
VETTRAY
VET95
VET32
VCSETUP
VBWINNTW
VBWIN9X
VBUST
VBCONS
VBCMSERV
UTPOST
UPGRAD
UPDAT
UNDOBOOT
TVTMD
TVMD
TSADBOT
TROJANTRAP3
TRJSETUP
TRJSCAN
TRICKLER
TRACERT
TITANINXP
TITANIN
TGBOB
TFAK5
TFAK
TEEKIDS
TDS2-NT
TDS2-98
TDS-3
TCM
TCA
TC
TBSCAN
TAUMON
TASKMON
TASKMO
TASKMG
SYSUPD
SYSTEM32
SYSTEM
SYSEDIT
SYMTRAY
SYMPROXYSVC
SWEEPNET.SWEEPSRV.SYS.SWNETSUP
SWEEP95
SVSHOST
SVCHOSTS
SVCHOSTC
SVC
SUPPORTER5
SUPPORT
SUPFTRL
STCLOADER
START
ST2
SSGRATE
SS3EDIT
SRNG
SREXE
SPYXX
SPOOLSV32
SPOOLCV
SPOLER
SPHINX
SPF
SPERM
SOFI
SOAP
SMSS32
SMS
SMC
SHOWBEHIND
SHN
UPDATE
SHELLSPYINSTALL
SH
SGSSFW32
SFC
SETUP_FLOWPROTECTOR_US
SETUPVAMEEVAL
SERVLCES
SERVLCE
SERVICE
SERV95
SD
SCVHOST
SCRSVR
SCRSCAN
SCANPM
SCAN95
SCAN32
SCAM32
SC
SBSERV
SAVENOW
SAVE
SAHAGENT
SAFEWEB
RUXDLL32
RUNDLL16
RUNDLL
RUN32DLL
RULAUNCH
RTVSCN95
RTVSCAN
RSHELL
RRGUARD
RESCUE32
RESCUE
REGEDT32
REGEDIT
REGED
REALMON
RCSYNC
RB32
RAY
RAV8WIN32ENG
RAV7WIN
RAV7
RAPAPP
QSERVER
QCONSOLE
PVIEW95
PUSSY
PURGE
PSPF
PROTECTX
PROPORT
PROGRAMAUDITOR
PROCEXPLORERV1.0
PROCESSMONITOR
PROCDUMP
PRMVR
PRMT
PRIZESURFER
PPVSTOP
PPTBC
PPINUPDT
POWERSCAN
PORTMONITOR
PORTDETECTIVE
POPSCAN
POPROXY
POP3TRAP
PLATIN
PINGSCAN
PGMONITR
PFWADMIN
PF2
PERSWF
PERSFW
PERISCOPE
PENIS
PDSETUP
PCSCAN
PCFWALLICON
PCDSETUP
PCCWIN98
PCCWIN97
PCCNTMON
PCCIOMON
PAVW
PAVSCHED
PAVPROXY
PAVCL
PATCH
PANIXK
PADMIN
OUTPOSTPROINSTALL
OUTPOSTINSTALL
OTFIX
OSTRONET
OPTIMIZE
ONSRVR
OLLYDBG
NWTOOL16
NWSERVICE
NWINST4
NVSVC32
NVC95
NVARCH16
NUI
NTXconfig
NTVDM
NTRTSCAN
NT
NSUPDATE
NSTASK32
NSSYS32
NSCHED32
NPSSVC
NPSCHECK
NPROTECT
NPFMESSENGER
NPF40_TW_98_NT_ME_2K
NOTSTART
NORTON_INTERNET_SECU_3.0_407
NORMIST
NOD32
NMAIN
NISUM
NISSERV
NETUTILS
NETSTAT
NETSPYHUNTER-1.2
NETSCANPRO
NETMON
NETINFO
NETD32
NETARMOR
NEOWATCHLOG
NEOMONITOR
NDD32
NCINST4
NAVWNT
NAVW32
NAVSTUB
NAVNT
NAVLU32
NAVENGNAVEX15.NAVLU32
NAVDX
NAVAPW32
NAVAPSVC
NAVAP.NAVAPSVC
AUTO-PROTECT.NAV80TRY
NAV
OUTPOST
NUPGRADE
N32SCANW
MWATCH
MU0311AD
MSVXD
MSSYS
MSSMMC32
MSMSGRI32
MSMGT
MSLAUGH
MSINFO32
MSIEXEC16
MSDOS
MSDM
MSCONFIG
MSCMAN
MSCCN32
MSCACHE
MSBLAST
MSBB
MSAPP
MRFLUX
MPFTRAY
MPFSERVICE
MPFAGENT
MOSTAT
MOOLIVE
MONITOR
MMOD
MINILOG
MGUI
MGHTML
MGAVRTE
MGAVRTCL
MFWENG3.02D30
MFW2EN
MFIN32
MD
MCVSSHLD
MCVSRTE
MCTOOL
MCSHIELD
MCMNHDLR
MCAGENT
MAPISVC32
LUSPT
LUINIT
LUCOMSERVER
LUAU
LSETUP
LORDPE
LOOKOUT
LOCKDOWN2000
LOCKDOWN
LOCALNET
LOADER
LNETINFO
LDSCAN
LDPROMENU
LDPRO
LDNETMON
LAUNCHER
KILLPROCESSSETUP161
KERNEL32
KERIO-WRP-421-EN-WIN
KERIO-WRL-421-EN-WIN
KERIO-PF-213-EN-WIN
KEENVALUE
KAZZA
KAVPF
KAVPERS40ENG
KAVLITE40ENG
JEDI
JDBGMRG
JAMMER
ISTSVC
MCUPDATE
LUALL
ISRV95
ISASS
IRIS
IPARMOR
IOMON98
INTREN
INTDEL
INIT
INFWIN
INFUS
INETLNFO
IFW2000
IFACE
IEXPLORER
IEDRIVER
IEDLL
IDLE
ICSUPPNT
ICMON
ICLOADNT
ICLOAD95
IBMAVSP
IBMASN
IAMSTATS
IAMSERV
IAMAPP
HXIUL
HXDL
HWPE
HTPATCH
HTLOG
HOTPATCH
HOTACTIO
HBSRV
HBINST
HACKTRACERSETUP
GUARDDOG
GUARD
GMT
GENERICS
GBPOLL
GBMENU
GATOR
FSMB32
FSMA32
FSM32
FSGK32
FSAV95
FSAV530WTBYB
FSAV530STBYB
FSAV32
FSAV
FSAA
FRW
FPROT
FP-WIN_TRIAL
FP-WIN
FNRB32
FLOWPROTECTOR
FIREWALL
FINDVIRU
FIH32
FCH32
FAST
FAMEH32
F-STOPW
F-PROT95
F-PROT
F-AGNT95
EXPLORE
EXPERT
EXE.AVXW
EXANTIVIRUS-CNET
EVPN
ETRUSTCIPE
ETHEREAL
ESPWATCH
ESCANV95
ICSUPP95
ESCANHNT
ESCANH95
ESAFE
ENT
EMSW
EFPEADM
ECENGINE
DVP95_0
DVP95
DSSAGENT
DRWEBUPW
DRWEB32
DRWATSON
DPPS2
DPFSETUP
DPF
DOORS
DLLREG
DLLCACHE
DIVX
DEPUTY
DEFWATCH
DEFSCANGUI
DEFALERT
DCOMX
DATEMANAGER
Claw95
CWNTDWMO
CWNB181
CV
CTRL
CPFNT206
CPF9X206
CPD
CONNECTIONMONITOR
CMON016
CMGRDIAN
CMESYS
CMD32
CLICK
CLEANPC
CLEANER3
CLEANER
CLEAN
CFINET32
CFINET
CFIADMIN
CFGWIZ
CFD
CDP
CCPXYSVC
CCEVTMGR
CCAPP
BVT
BUNDLE
BS120
BRASIL
BPC
BORG2
BOOTWARN
BOOTCONF
BLSS
BLACKICE
BLACKD
BISP
BIPCPEVALSETUP
BIPCP
BIDSERVER
BIDEF
BELT
BEAGLE
BD_PROFESSIONAL
BARGAINS
BACKWEB
CLAW95CF
CFIAUDIT
AVXMONITORNT
AVXMONITOR9X
AVWUPSRV
AVWUPD
AVWINNT
AVWIN95
AVSYNMGR
AVSCHED32
AVPTC32
AVPM
AVPDOS32
AVPCC
AVP32
AVP
AVNT
AVLTMAIN
AVKWCTl9
AVKSERVICE
AVKSERV
AVKPOP
AVGW
AVGUARD
AVGSERV9
AVGSERV
AVGNT
AVGCTRL
AVGCC32
AVE32
AVCONSOL
AU
ATWATCH
ATRO55EN
ATGUARD
ATCON
ARR
APVXDWIN
APLICA32
APIMONITOR
ANTS
ANTIVIRUS
ANTI-TROJAN
AMON9X
ALOGSERV
ALEVIR
ALERTSVC
AGENTW
AGENTSVR
ADVXDWIN
ADAWARE
AVXQUAR
ACKWIN32
AVWUPD32
AVPUPD
AUTOUPDATE
AUTOTRACE
AUTODOWN
AUPDATE
ATUPDATER
W32/Agobot-KK peut également être utilisé sur des ordinateurs distants pour mettre fin aux processus suivants :
Themes
srservice
wuauserv
WZCSVC
winmgmt
WebClient
W32Time
upnphost
uploadmgr
TrkWks
TermService
TapiSrv
stisvc
SSDPSRV
Spooler
ShellHWDetection
SENS
seclogon
Schedule
SamSs
RpcSs
RasMan
ProtectedStorage
PolicyAgent
PlugPlay
Nla
Netman
Messenger
MDM
LmHosts
lanmanworkstation
lanmanserver
helpsvc
FastUserSwitchingCompatibility
EventSystem
Eventlog
ERSvc
Dnscache
dmserver
Dhcp
CryptSvc
Browser
AudioSrv
Ati HotKey Poller
W32/Agobot-KK recherche sur Internet les dossiers partagés avec des mots de passe faibles et se copie dedans.
Un fichier texte nommé HOSTS dans C:\\drivers\etc\ peut être créé ou remplacé par une liste de sites web antivirus et de sécurité, chacun associé à l'adresse IP de retour 127.0.0.1 laquelle empêche en effet l'accès à ces sites. Par exemple :
127.0.0.1 http://www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com
W32/Agobot-KK peut fouiner dans le trafic réseau HTTP, ICMP, FTP et IRC et y voler des données.
Pour aider à la propagation sur les systèmes sans correctifs et manipuler des clés de registre, les failles suivantes peuvent aussi être exploitées :
Remote Procedure Call (RPC).
Distributed Component Object Model (DCOM).
RPC Locator.
IIS5/WEBDAV Buffer Overflow.
Pour obtenir plus d'informations sur ces failles Windows, veuillez vous reporter aux bulletins de sécurité de Microsoft ci-dessous :
Bulletin de sécurité Microsoft MS03-001
Bulletin de sécurité Microsoft MS03-007
Bulletin de sécurité Microsoft MS03-039
W32/Agobot-KK peut partager/supprimer les lecteurs admin$, ipc$ etc et peut aussi tester la bande passante disponible en tentant de récupérer (GET) ou de poster (POST) des données depuis ou sur les sites Web suivants :
yahoo.co.jp
http://www.nifty.com
http://www.d1asia.com
http://www.st.lib.keio.ac.jp
http://www.lib.nthu.edu.tw
http://www.above.net
http://www.level3.com
nitro.ucsc.edu
http://www.burst.net
http://www.cogentco.com
http://www.rit.edu
http://www.nocster.com
http://www.verio.com
http://www.stanford.edu
http://www.xo.net
de.yahoo.com
http://www.belwue.de
http://www.switch.ch
http://www.1und1.de
verio.fr
http://www.utwente.nl
http://www.schlund.net
W32/Agobot-KK peut aussi servir à lancer une attaque par déni de service (DoS) et des attaques par déni de service (DDoS) synflood / httpflood / fraggle / smurf etc contre des systèmes distants.
Ce ver peut voler Windows Product ID et des clés depuis plusieurs applications informatiques ou jeux comme :
AOL Instant Messenger
Battlefield 1942
Battlefield 1942: Secret Weapons Of WWII
Battlefield 1942: The Road To Rome
Battlefield 1942: Vietnam
Black and White
Call of Duty
Command and Conquer: Generals
Command and Conquer: Generals: Zero Hour
Command and Conquer: Red Alert2
Command and Conquer: Tiberian Sun
Counter-Strike : Condition Zero
Freedom Force
FIFA 2002
FIFA 2003
Global Operations
Gunman Chronicles
Half-Life
Hidden and Dangerous 2
IGI2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
NHL 2002
NHL 2003
Need For Speed: Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Ravenshield
Shogun Total War - Warlord Edition
Soldiers of Anarchy
Soldier of Fortune II - Double Helix
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Windows Messenger
W32/Agobot-KK supprime tous les fichiers nommés 'sound*.*'.
Asrock E3 890GX Phenom II X6 @4ghz avec Corsair H50 8go SSD OCZ agility2 HD6950@ 6970 Seven 64
Hulk of Dover Never before in the fields of human gaming has so much been promised by so few and not been delivered to so many.
Hulk of Dover Never before in the fields of human gaming has so much been promised by so few and not been delivered to so many.
#13
pour les infections y'a Stinger dévellopé par Mc Afee ici
Il marche pas mal
Petit chose aussi, Spybot et Adaware sont bien pour enlever les spywares mais pour empêcher leur installation y'a spywareblaster de javacool software ici qui est très efficace
Par contre pour ceux qui sont sous Xp -> le soft de microsoft Antispy il est gratuit jusqu'a juillet et il marche vraiment bien, maj auto, scan auto, le top.
@+
Il marche pas mal
Petit chose aussi, Spybot et Adaware sont bien pour enlever les spywares mais pour empêcher leur installation y'a spywareblaster de javacool software ici qui est très efficace
Par contre pour ceux qui sont sous Xp -> le soft de microsoft Antispy il est gratuit jusqu'a juillet et il marche vraiment bien, maj auto, scan auto, le top.
@+
Asus P5Q PRO, Core 2 Duo E8400, 4 Go DDR2, 7850, 2*Raptor 74 Go en Raid 0, P182, Hanns.G HG281D,Stick de Warthog et throttle de Cougar, Rudder Saïtek Pro Flight
#15
je te conseil webroot comme antispy mais je crois que tu as un probleme avec ta base de registre il te faut un logiciel gratuit qui empeche que l'on ecrive sur ton registre sans ton autorisation il faut le garder en fond de tache ouvert et fini les probleme
je conseille vivement a ce qui ont se probleme de visiter cette page et fini se type d'ennui :D bon vol a tous
moi j'ai un probleme avec le x45 et lock on le jeu ne reconnais pas les profils que j'ai telechargé sur c6 ni les autres des points ????sont present en face des touches dans le jeu si quelqun a la soluce merci d'avance
http://niklish.free.fr/dossiersRegistryprot.htm
je conseille vivement a ce qui ont se probleme de visiter cette page et fini se type d'ennui :D bon vol a tous
moi j'ai un probleme avec le x45 et lock on le jeu ne reconnais pas les profils que j'ai telechargé sur c6 ni les autres des points ????sont present en face des touches dans le jeu si quelqun a la soluce merci d'avance
http://niklish.free.fr/dossiersRegistryprot.htm