Bonjour jai eu une alerte de detection W32.HLLW.Gaobot.gen par norton 2004 qui est a jour (ainsi ke windows 2000 Pro )il met dit ke le fichier ne pe pas etre réparé. Donc je narrive pa a enlever ce virus et a boucher la faille...  
 
Je vous file le rapport de www.ravantivirus.com : ( g coché autoclean )  
 
Scan started at 12/09/2004 09:59:45  
   
Scanning memory...  
Scanning boot sectors...  
Scanning files...  
C:\WINNT\system32\langrd.exe->(PEDiminisher) - Exploit:Win32/RpcDcom.gen! -> Suspicious  
C:\WINNT\system32\scvhost.exe - Backdoor:Win32/Rbot -> Infected  
 
Scanned  
============================  
 Objects: 10572  
 Directories: 574  
 Archives: 332  
 Size(Kb): 1500591  
 Infected files: 1  
 
Found  
============================  
 Viruses found: 1  
 Suspicious files: 1  
 Disinfected files: 0  
 Mail files: 26  
 
Voila, que faire ?  Merci a tous !!  

Mauvaise section => WS&R

chez Symantec y a ça :
 
http://securityresponse.symantec.c [...] .tool.html
 
et le prog pour supprimer le virus est là http://securityresponse.symantec.c [...] Gaobot.exe
 
edit : mais ça ne vire pas toutes les variantes (faut essayer quand même)

Hélas je lai deja fait mais il ne trouve rien

pas top.
 
alors télécharge Hijack This
 
c'est un prog qui liste tout les processus qui tournent sur tonpc et tout ce qui se lance au démarrage de windows dans ton pc  
 
tu le télécharges, dézippes dans un répertoire juste pour lui. Tu le lances, tu fais "scan". ensuite tu cliques sur "save log" il t'ouvre un fichier texte avec le résultat du scan. tu copies/colles tout ici et on pourra te dire ce qui ne va pas pour virer ce virus
 
 
edit : je remets le lien vers Symantec pour garder en mémoire l'écirute de ce virus dans la base de registre http://securityresponse.symantec.c [...] t.gen.html

 
Voila le scan : g dezippé, puis g tout fermé : zone alrme, ma conexion.
 
Logfile of HijackThis v1.98.2
Scan saved at 22:26:25, on 12/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Nelax1\Bureau\Hijactis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\PROGRA~1\STARDO~1\sdie.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1227a5 [...] 601_fr.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3508AA4-B728-44CB-96B9-72B3AF3182BB}: NameServer = 213.36.80.1 213.36.80.1
 

STARDO~ ça te dit quelque chose?
 
et RamBoost aussi?
 
si oui je ne vois pas grand chose dans ton log

oui je connais ya no prob la dessus

même en relisant ton log encore une fois, je n'ai rien vu.
 
bizarre car le gaobot devrait apparaitre à la fois avec un exe qui tourne et dans les clés RUN de la bdr
 
pour le scan de rav, tu as regarder si tu as scvhost.exe dans ton répertoire system32? si oui tu dois pouvoir le supprimer à la main (fais gaffe je dis bien scvhost et pas svchost qui lui est le vrai fichier de windows )
 
si tu rescan ton pc localement par Norton et en ligne (chez Rav ou autre) ça donne quoi aujourd'hui?

 
Rebonjour, la je pense kil y a un truc :
 
LOG Hijactis :
 
Logfile of HijackThis v1.98.2
Scan saved at 16:51:55, on 13/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINNT\system32\svchos.exe
C:\WINNT\system32\svchos.exe
C:\Documents and Settings\Nelax1\Bureau\Hijactis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svchos.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svchos.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svchos.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\PROGRA~1\STARDO~1\sdie.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1227a5 [...] 601_fr.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
 
SCAN RAVANTIVIRUS :
 
Scan started at 13/09/2004 17:15:01
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINNT\system32\langrd.exe->(PEDiminisher) - Exploit:Win32/RpcDcom.gen! -> Suspicious
 
Scanned
============================
 Objects: 11351
 Directories: 838
 Archives: 345
 Size(Kb): 1662850
 Infected files: 0
 
Found
============================
 Viruses found: 0
 Suspicious files: 1
 Disinfected files: 0
 Mail files: 42
 
 
 
 
Mais comment savoir si la maj http://www.microsoft.com/technet/s [...] 3-001.mspx est bien installéé? car je ne vois nul part un lien de telechargement...  
 
Merci beaucoup!!  
 
ps : c bizarre deouis aujourdhui mon pc est lent, mais lent!!
mais si je supprime ces fichiers, le virus sera parti ? comment faire pr boucher cette faille et virer le virus ?  encore une fois un grand merci de maider, c vraiment gentil.

dans le log y a ces deux processus pas net  
 
C:\WINNT\system32\svchos.exe
C:\WINNT\system32\svchos.exe  
 
et ces lignes là  
 
O4 - HKLM\..\Run: [Microsoft Windows Update] svchos.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svchos.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svchos.exe  
 
alors on y va :  
 
1/ pour le patch MS03-001 ben il te suffit d'aller avec Internet Explorer sur le site windowsupdate.com tu verras bien si il te dit que ce patch manque sur ton pc
 
2/ arrète svchos par le gestionnaire des tâches
 
3/ lance Hijack et coches les trois lignes 04 que je t'ai citées. Puis cliques sur "Fix"
 
4/ redémarre ton pc en mode sans échec avec affichage des fichiers cachés et des extensions connues. va dans C:\WINNT\system32\ et supprime à la main svchos.exe  
 
Voila c'est fini pour ça .
 
ensuite pour le fichier C:\WINNT\system32\langrd.exe va sur le site http://virusscan.jotti.dhs.org/ et upload-le. il sera testé pour virus par 7 éditeurs différents comme ça on sera fixé

pour le patch, le lien est là http://www.microsoft.com/downloads [...] laylang=en mais comme tu as le SP4 sorti en juin/juillet 2003 et que le bulletin date de janvier 2003 ça doit être bon

re bon g regarder ya rien sur winupdate il me dise aucune mise a jour critique pour lordi donc ce doit etre bon...mais on se demmande comment atil pu rentrer kan meme !! bref :
 
g virer les procesus svchos.exe, g boot en mode sans echec g virer les trois svchos.exe ( ds system32, sur le bureau et ds poste de travail ) et  g viré les trois lignes ke hijacthis trouvais.  
 
mais je ne dois pa faire un truc ds le registre ?? g vu ca kelke pars...je c plus ou ct a propos de runservice...
 
sinon g pris un par feu : Kerio. car ZoneAlrm me posait des problemes...maitenant je pose le scan pr le fichier supicieux...
 
MERCI MINIPOUSS
 
ps : je vs file le log de la fin du scan , puis je vais lancer apres ca, un scan rav...  sinon, il est viré le virus ? ou fo le virer avec un fix ? ( po fixgaobot ca marche pas )   jecoute le docteur minipouus.

voila ce doit etre ca :
 
Service load:  0%        100%  
 
File:  langrd.exe  
Status:  INFECTED/MALWARE  
Packers detected:  PE-DIMINISHER  
   
AntiVir  No viruses found (1.31 seconds taken)  
Avast  No viruses found (4.55 seconds taken)  
BitDefender  No viruses found (5.86 seconds taken)  
ClamAV  No viruses found (12.13 seconds taken)  
F-Prot Antivirus  No viruses found (0.36 seconds taken)  
F-Secure Anti-Virus  Backdoor.Rbot.gen (5.48 seconds taken)  
Kaspersky Anti-Virus  Backdoor.Rbot.gen (4.53 seconds taken)  
mks_vir  No viruses found (1.73 seconds taken)  
NOD32  probably unknown NewHeur_PE (probable variant) (9.67 seconds taken)  
Norman Virus Control  Sandbox: W32/Malware; [ General information ]
 
* File length: 104474 bytes.
 
[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\langrd.exe.
* Deletes file 1.
 
[ Changes to registry ]
* Creates value "Microsoft Update"="langrd.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Microsoft Update"="langrd.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Microsoft Update"="langrd.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
 
[ Network services ]
* Looks for an Internet connection.
* Connects to "silentscope.j2ee.us" on port 5555 (TCP).
* Connects to IRC Server.
 
[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.
 
[ Process/window information ]
* Creates a mutex STX.
* Will automatically restart after boot (I'll be back...). (51.63 seconds taken)  

bien pour Lerio je l'utilise et j'en suis très content (la 2.1.5)
 
oui pour la base de registre c'est ce que je t'ai dit là

et

je mange et je regarde pour l'autre fichier

OK! a oui, donc en fait je lai supprimé du registre par hijacthis...ok.
 
sinon kan ct en mode sans echec im mettait en haut service pack 4  FREE  , pourquoi  "Libre" ?  ( elle enerve mes questions je trouve lol )
 
sinon, le virus est parti ? Victoire ? il ne reviendra plus ?  

pour le mot free? je pige pas là c'est zarbi
 
sinon oui ton gaobot est parti logiquement. Comment il est venu? je sais pas il se propage en exploitant pas mal de failles, ainsi que le partage réseau et des backdoor laissées par d'autres virus sur ton pc.
 
pour l'autre fichier les seuls qui le détectent n'ont pas de scan en ligne
 
je te conseille par exemple de déplacer langrd.exe dans un répertoire tout seul et de le zipper (ou de changer son extension) et si tout tourne bien tu pourras le virer dans quelques jours

 
ok, donc g plus le virus et norton est a jour...super merci!!!
 
sinon verrai pr le fichier la... merci encore!!

de rien
 
a+

Oh!! c bizarre, o demarrage de lordi Keriuo ma demandé une autorisation pr lexecution de netepi32.exe se triuvant ds system32...  g regardé o demarrage de lordi, il est présent, et ds la clé comme tt a lheure pr gaobot, il y a eu création dune clé Run Service  ( celle kil fallait supprimer ) ou il y a ce netepi32... cest  normal ?  
 
Merci
 
ps : je vien de connecter mon ordinateur client je suis en  rezo local cptet pr ca..

après recherche rapide sur le web c'est encore une saloperie je pense

ben je suis fort kan meme je les chopes toutes lol..bref, g bloké par tout ds kerio les acces, g virer ds le gestionnaire de taches, et g fais un hijacthis et virer partout kan ca parlait de netepi32.exe ( o demarrage ) c bon non ?

normalement oui

Ouep, g reboot il na plus lair de se manifester par contre un truc bizarre : norton detecte souvent le meme virus W32.Randex.gen : C:winnt:system32:windrive.exe pu des fois cest wsmass.exe et en action efectuée il me dit ke le fichier a été supprimé automatiquement... donc c bon non ?  mais pk il revient touts les 15 min ce meme message !!
 
je susi baleze ds les virus : en une journee jen est deux- trois..lol    pourtant g norton a jour avec windows...et kerio en pare feu!!   Surpuissant le lkneo!

c vraiment enervant , il revient tous le temp svchos.exe.....je ne comprend pa pk tout est a jour je fais tout ce ke vs avez dis..

faudrait peut-être regarder les services qui tournent sur le pc