Virus - backdoor

Fermé
cyberboogy - 26 sept. 2004 à 23:03
 kalimusic - 16 août 2012 à 20:54
Bonsoir a tous!

je fais appel a vous car j'ai un réel problème.

Depuis quelques temps, mon pc rame et bug un peu..je me dis, ca doit etre un pb win***. je suis sous XP. Je decide de faire une restauration, ca me plante tt le systeme. Je me dis "qd faut y aller, faut y aller" et je supprime ma partition windows.
Je la reformate, et je reinstalle XP.
la dessus, g encore mes pb (connexion internet hyper lente, pc qui rame...). je file acheter un antivirus a jour (bitdefender). je fais la mise a jour et je le lance. il me decouvre pas mal de virus, que j'arrive a peu pres a virée, mais surtout il me découvre "backdoor" dans le fichier c:\windows\system32.
Et la impossible de le suprimer, il me le met en quarantaine, mais ce virus contnu d'infecter mon pc....je relance mon antivirus, il me trouve les fichier infectés, me les supprimes, sauf ceux dans c:\windows\system32....je tourne en rond quoi!
g bien desinstaller la récupération auto de win XP et g essayer de lancer bitdefender en mode sans echec et il veut pas...
De plus, g utiliser ad-aware, spybot...

je sais plus quoi faire, ca fait 48h que je galère!!!!

siou plait, si vous avez des infos, merci de m'aider!!!!
A voir également:

34 réponses

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
26 sept. 2004 à 23:08
salut
demarre en mode sans echec
via l explorateur cherche le fichier infecter click droit dessus
analyse avec bit defender et la il te proposeras peut etre de le suppr
si cela ne fonctionne pas tente en mode normal hors connection

si cela ne marche toujours pas donne nous le chemin du fichier exact


la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
ok
g fait tt ca...en mode sans echec, g pas acces a bitdefender...
en mode normal hors connexion, qd je sellection un fichier infecté, il ne veux pas me le supprimer, uniquement le déplacer...

je suis en train de faire une analyse....je vous enverrai le rapport ds quelques minutes...
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
26 sept. 2004 à 23:28
re
si il veut le mettre en quarantaine fait le
tu nous donne son nom ensuite pour verif et la tu pourrat le suppr de la quarantaine

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
voila mon analyse est fini...je l'avais ciblé dès le début sur les dossier que je savais infectés...


//-----------------------------------------------------------------
//
// Fichier journal BitDefender
//
// Créé le: 26/09/2004 23:15:07
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\Documents and Settings
C:\Program Files
C:\WINDOWS\Downloaded Program Files
C:\WINDOWS\Installer
C:\WINDOWS\srchasst
C:\WINDOWS\system
C:\WINDOWS\system32
Dossiers : 562
Fichiers : 21825
Archives : 134
Fichiers empaquetés : 444
Virus trouvés : 2
Fichiers infectés : 4
Alertes : 0
Fichiers suspects : 8
Fichiers désinfectés : 0
Fichiers effacés : 8
Fichiers copiés : 0
Fichiers déplacés : 4
Fichiers renommés : 0
Erreurs I/O : 29
Temps d'analyse := 00:10:52
Fichiers/seconde :33

Définitions virus : 91218
Plugins d'analyse : 12
Plugins archives : 37
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[ ] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[X] Demander l'action

Seconde action
[X] Ignorer
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant

Sommaire :

C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab=>polall1l.exe=>(Upx) Infectés avec Trojan.Downloader.Agent.AE
C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab=>polall1l.exe=>(Upx) Effacé
C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab Mise à jour impossible
C:\Documents and Settings\françois\Local Settings\Temp\V4KG3Da01760=>(Upx) Infectés avec Trojan.Downloader.Agent.AE
C:\Documents and Settings\françois\Local Settings\Temp\V4KG3Da01760=>(Upx) Effacé
C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\.pif Suspects avec Backdoor.BotGet.FtpB.Gen
C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\.pif Déplacement impossible
C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\c.bat Suspects avec Backdoor.BotGet.FtpA.Gen
C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\c.bat Déplacement impossible
C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\o Suspects avec Backdoor.BotGet.FtpB.Gen
C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\o Déplacement impossible
C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\y Suspects avec Backdoor.BotGet.FtpB.Gen
C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\y Déplacement impossible
C:\WINDOWS\system32\.pif Suspects avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\.pif Déplacé
C:\WINDOWS\system32\c.bat Suspects avec Backdoor.BotGet.FtpA.Gen
C:\WINDOWS\system32\c.bat Déplacé
C:\WINDOWS\system32\o Suspects avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\o Déplacé
C:\WINDOWS\system32\oo Suspects avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\oo Déplacé
C:\WINDOWS\system32\TFTP1048=>(Morphine 1.7j)=>(Upx) Infectés avec Win32.P2P.SpyBot.Gen
C:\WINDOWS\system32\TFTP1048=>(Morphine 1.7j)=>(Upx) Effacé
C:\WINDOWS\system32\TFTP3444=>(Morphine 1.7j)=>(Upx) Infectés avec Win32.P2P.SpyBot.Gen
C:\WINDOWS\system32\TFTP3444=>(Morphine 1.7j)=>(Upx) Effacé
Fichiers analysés

vous en pensez quoi?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
26 sept. 2004 à 23:34
re
bon bit defender en a effacer pas mal et en a mis dans le dossiers suspect
si ton pc n as plus de probleme au bout de quelque temp tu vide le dossier suspect

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
le problème, c que je ne peux pas vider mon dossier suspect!
g 4 elements dedans, il qd je veux les supprimer, g "impossible de lire a partir du ficier ou de la disquette source"

En plus, a chaque redemarrage, defendre me relance une alerte comme quoi mon fochier c:\windows\system32 est infecté!!!!

g l'impression qu'il ne l'erradique pas vraiment, puique des que je redemarre, le virus se retrouve a sa place initiale, comme si j'avais rien fait!!!

Est-ce possible qu'il soit sur la zone d'amorce ou dans le dos?
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
26 sept. 2004 à 23:48
tente en mode sans echec de supprimmer les fichiers du dossier suspect
regarde dans le dossier infected si tu as quelque chose
---------
pour avoir un autre rapport
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.


la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
ok, c'est lancé....

je copie-colle le rapport des que je l'ai

et merci pour toute ton aide ;-)
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
26 sept. 2004 à 23:53
de rien
a++

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Alors, la je comprend plus rien!!!

voila ce qu'a donner le scan de RAV

Scan started at 26/09/2004 23:49:01

Scanning memory...
process://C:\WINDOWS\System32\WinSound1.exe - Exploit:Win32/RpcDcom.gen! -> Suspicious
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected
C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected

Scanned
============================
Objects: 10242
Directories: 756
Archives: 338
Size(Kb): 1789624
Infected files: 2

Found
============================
Viruses found: 2
Suspicious files: 1
Disinfected files: 0
Mail files: 27


Il ne me trouve plus backdoor, par contre, j'en ai un autre...
mais defender continue a me dire que backdoor est dans c:\windows\systeme32....

je commence a devenir dinnnnngue!!!!!!!!
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
27 sept. 2004 à 00:27
en fonction des anti virus le nom n est pas le meme
pour ceux ci
C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected
tu click sur demarrer/panneaux de configuration/option internet
une fenetre s ouvre tu click sur supprime les fichiers
une nouvelle petite fenetre s ouvre tu coche effacer tous le contenu hors connection et click ok
fait le hors connection
------------

C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected

celui la en mode sans echec tu le suppr
-------------
et par securiter on vas desactiver ta restauration
il faut la desactiver
pour ca tu fait click droit sur poste de travail
propriete.tu click sur onglet restauration systeme
tu coche la case desactiver la restauration et applique
tu redemarre
-----------------
pour celui la il est seulement suspect il faudrait faire des recherche
sur google
C:\WINDOWS\System32\WinSound1.exe

je n est plus le temp il faut que je dorme demain boulot
je suis routier et partie toutes la semaine
j espere que d autre prendront la suite demain

bonne nuit et desoler
la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
ok, merci beaucoup pour ton aide!!!

je vais voir ce que je peux faire avec ca!!!

et bon courage pour ton boulot!!!! :-)
0
c'est encore moi!!!!

bah g toujours mon problème....bit defender me reconnais le virus backdoor dans le dossierc:\windows\system32...il a infecté les fichiers c.bat et .pif....
il me les reconnais, me les places en quarantaine...et hop au redemmarage suivant, il recommence...meme manege, je tourne en rond la!! je sais plus quoi faire!

help please!
0
J'ai exactement le même problème, dans la même situation après une réinstllationde xp. je cherche de mon coté, si tu as des nouvelles n'hesite pas.
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
30 sept. 2004 à 15:57
salut
vire les fichiers de la quarantaine
regarde si ces fichiers n on pas un exe actif
tu fait dmarrer/executer tu tape msconfig
tu cherche quelque chose en rapport avec tu decoche appliquer et tu redemarre une nouvelle fenetre vas s ouvrir
tu coche ne plus afficher ce message et ok
voila
regarde aussi en faisant ctrl alt suppr
onglet processus et si tu les trouves tu click dessus et terminer le processus

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
g reussi a m'en débarasser je pense...voila comment :

http://www.commentcamarche.net/forum/affich-1027715-backdoor-BotGet-FtpA-gen-une-histoire-de-fou

va voir ce post!

bonne chance!
0
J'avais comme vous tous ce @%!!%£ de virus et toute sa suite
Backdoor.BotGet.FtpB.Gen
Backdoor.BotGet.FtpA.Gen
Backdoor.RBot.CV
Win32.Worm.Korgo.U
Backdoor.SDBot.Gen
Trojan.HideRun.A
qui revenaient sans cesse.
sur mon deuxième disque dur (deux boot possibles sur deux disques distincts).
J'ai formaté >>> Rien de mieux retour du virus.
J'ai mis à jour Windows (tout sauf SP2) depuis plus d'alerte.
Ma conclusion, mon premier disque avec les derniers hotfix n'avait rien choppé.
Mon deuxième, ancienne mise à jour, les a choppé.
Donc la théorie du virus dans le BIOS ne tient pas debout.
Par contre une faille de plus dans Windows XP me parait plausible.
Conseil: mettez à jour votre PC avec les derniers hotfix de Windows update.

A +
Tazoub
0
Mais non est non c'est faut pas besoin de formatage le seul remede est de flacher sont bios de carte mere car le virus comntamine le bios de la carte mere que vous formater ou autre cela ne resou pas le probleme le seul moyen est de faire comme je vous l'indic ci dessous.
moi meme aitant contaminer j'ai examiner l'evolution du virus j'ai compris comment il proceder.
A chaque supression de fichier ou mise en quarantaine le virus recree les fichiers.
amitier a vous es bonne chance
0
Perso je n'ai rien flashé, juste win update et puis plus de virus.
en effet à chaque effacement ou mise en quarntaine le virus se régénérait.
Autre constat, ce problème ne se produisait que lors d'un chargement de page web. Tout comme sasser, le virus entait par une porte de dérriere (une faille quoi) comme son nom l'indique (backdoor). La mise à jour de sécurité bloque cette faille. Pas besoin de parler de bios, rien à voir...

Amicalement
Taeoub.
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
16 oct. 2004 à 14:45
salut
a mon avis se n est ni plus ni moins qu un services windows activer par la bestiole

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Avez-vous trouvé la solution depuis le dernier message car je suis connectée depuis hier et déjà infecté par BackDoor...Après nettoyage avec BitDefender...pb toujours présent + impossible acceder à mes messageries (impossible afficher certaines pages inetrnet=>hotmail ou se trouve ma messagerie...)+ autres pb sur mon PC.
Je suis novice, pouvez-voyus m'aider je suis perdue.
0
Bonjour Alex !
SVP, Alex, jusque comme toi, j'ai déjà passé mes nuits avec ce cruel "botget.ftpb.gen", cerché le web, appliqué presque tous les antivirus-tools, ecc.
Si tu etait reussi a trouver une solution correcte de se liberer - (finalment e pour toujours ;) -, je te voudrais prier cordialment de me la dire.
Je regrets che mon francait soit tellement mauvais :( ...
Merci beaucoup beaucoup beaucoup !
0