quel est l'outil efficace pour supprimer Backdoor Agobot

Est ce que kaspersky le détecte et surtout le supprime ou pas? Comment faire svp?

Salut marhba,


Fais le scan Spyware Doctor en mode sans échec et supprime les fichiers infectés.


Redémarre normalement après avoir scanné ton pc et dis nous si Spyware Doctor donne encore des alertes.


Aide pour le mode sans échec ici.

Ok je vais le faire. En fait j'ai trouvé un outil de suppression sur secuser.com et je suis entrain de l'utiliser. Si ça donne pas de résultat je vais suivre ton conseil.En fait, je veux pas redemarrer l'ordi car je crains qu'il y ait un probleme ou bien je dois rien craindre?
merci

Tu ne crais rien en suivant ma procédure.

Je me suis mal exprimé je voulais pas dire si je crains quelque chose en appliquant ce que tu m'as dit mais j'ai dit étant infecté par ce virus est que le démarrage de l'ordi sera normal ou est ce que je pourrai avoir des soucis (risque)?
merci

Tu peux avoir des soucis si tu supprimes les fichiers infectés en mode normal car ils sont actifs et risquent de réagir.


A l'inverse, en mode sans échec, les virus ne sont pas actifs et peuvent être supprimés sans risques.

Oui j'ai compris ça mais je voulaissavoir quel est l'effet de ce virus sur le système? est ce que si je ne le supprime pas et je redemarre l'ordi je pourrai avoir des soucis?
merci

Bah, ça dépend du virus mais si il est détecté par Spyware Doctor, c'est qu'il est actif dans ton système et même au prochain redémarrage aussi si tu ne le supprimes pas en mode sans échec.

En fait ce qui m'a étonné ce que spyware doctor normalement supprime ce virus sans problème ( j'ai vu le site) mais voilà que sur mon ordi il détecte le virus mais il le supprime pas (surout des clés dans le registre modifiés par ce virus)

Et bien fais le en mode sans échec.

Et ben j'ai fais en mode sans échec et c'est toujours la même chose spyware doctor detecte ce virus mais il le supprime pas

Bonjour,

Poste un rapport HijackThis.

Télécharge le, puis met le dans un dossier dédié (exemple : ..\Bureau\Hijackthis\Hijackthis.exe ).
Ensuite, lance le, appuie sur Do a system scan a save a logfile, et donne nous le résultat du scan

www.infos-du-net.com/telecharger/HijackThis.html

Merci BOB je l'ai déjà sur mon ordi je vais le lancer tout de suite et je posterai le résultat tout de suite.juste une remarque c'est suelemnt spyware doctore qui signale ce virus (il me dit le nom de virus et les 33 trucs infectés: des clés de registre) et il n'arrvive pas à le supprimer (des clés modifiés je pense). J'ai utilisé deux ou trois outils de suppression fournis par symantec et f-secure mais ils n'ont rien trouvé.

Logfile of HijackThis v1.99.1
Scan saved at 11:06:33, on 27/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Documents and Settings\UTILISATEUR\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/s...*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/s...*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5Cnetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\UTILISATEUR\Application Data\Mozilla\Profiles\default\mrme5hrs.slt\prefs.js)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .bmp: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin9.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: ppctlcab - http://www3.ca.com/securityadvisor/pest/ppctlcab.CAB
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.c...
O16 - DPF: {14C1B87C-3342-445F-9B5E-365FF330A3AC} (Hewlett-Packard Online Support Services) - http://h20278.www2.hp.com/HPISWeb/Customer/cabs/HPISDat...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/...
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www3.ca.com/securityadvisor/pest/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/05012aadbb2d24d3f403/netzip...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.photoweb.fr/order/XUpload.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\LASSAA~1\LOCALS~1\Temp\hpdj.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: sasrfc Service (sasrfcService) - Unknown owner - C:\Program Files\SAS Institute\SAS\V8\access\sasexe\sasrfc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Re,

Pourrait-tu STP poster le rapport de SpywareDoctor ?

Je ne l'ai pas sauvgarder mais je vais le faire tout de suite(je vais lancer spyware doctor)
dans quelques min

Le rapport de spyware doctor:
Scans (basic information only):

Scan Results:
scan start: 27/07/2006 12:04:19
scan stop: 27/07/2006 12:07:00
scanned items: 4115
found items: 33
found and ignored: 0
tools used: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner



Infection Name Location Risk
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING## High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING##NextInstance High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000 High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000## High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##Class High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##ClassGUID High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##ConfigFlags High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##DeviceDesc High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##Legacy High
Backdoor.Agobot HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##Service High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING## High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING##NextInstance High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000 High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000## High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##Class High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##ClassGUID High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##ConfigFlags High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##DeviceDesc High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##Legacy High
Backdoor.Agobot HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##Service High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING## High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING##NextInstance High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000 High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000## High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##Class High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##ClassGUID High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##ConfigFlags High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##DeviceDesc High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##Legacy High
Backdoor.Agobot HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONFIGURATION_LOADING\0000##Service High

Re,

1/ Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/en/download/
Installe le sur ton bureau

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.
Clique sur Update Now,
attend la fin de cette mise à jour,
puis ferme le programme.

Redémarre en mode Sans Échec
(au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
choisis Mode sans échecavec les flèches du clavier, puis valide avec Entrée.
Choisis ton compte usuel (et non Administrateur).

Relance Ewido et clique sur Scanner
Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.
Le scan démarre.

A la fin cliquer sur Apply all actions
Puis sur Save report et pour finir Save report asposte le rapport dans ta réponse[/b].

2/ Dans l’attente de ma futur réponse fais un scan en ligne chez Kaspersky

http://webscanner.kaspersky.fr/

Aide sur le scan :

http://support.kaspersky.fr/admin/u2Files/Image/webscan...

Sauvegarde puis colles le rapport en fin d'analyse.

merci je vais faire ça. Mais j'ai kaspersky déjà installé