Virus - backdoor

cyberboogy -  
 kalimusic -
Bonsoir a tous!

je fais appel a vous car j'ai un réel problème.

Depuis quelques temps, mon pc rame et bug un peu..je me dis, ca doit etre un pb win***. je suis sous XP. Je decide de faire une restauration, ca me plante tt le systeme. Je me dis "qd faut y aller, faut y aller" et je supprime ma partition windows.
Je la reformate, et je reinstalle XP.
la dessus, g encore mes pb (connexion internet hyper lente, pc qui rame...). je file acheter un antivirus a jour (bitdefender). je fais la mise a jour et je le lance. il me decouvre pas mal de virus, que j'arrive a peu pres a virée, mais surtout il me découvre "backdoor" dans le fichier c:\windows\system32.
Et la impossible de le suprimer, il me le met en quarantaine, mais ce virus contnu d'infecter mon pc....je relance mon antivirus, il me trouve les fichier infectés, me les supprimes, sauf ceux dans c:\windows\system32....je tourne en rond quoi!
g bien desinstaller la récupération auto de win XP et g essayer de lancer bitdefender en mode sans echec et il veut pas...
De plus, g utiliser ad-aware, spybot...

je sais plus quoi faire, ca fait 48h que je galère!!!!

siou plait, si vous avez des infos, merci de m'aider!!!!

34 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur signale un PC sous XP lent et instable, infecté par Bitdefender et la présence d’un backdoor dans c:\windows\system32, malgré une réinstallation réussie.
Les échanges décrivent des tentatives en mode sans échec, l’usage d’outils en ligne comme Rav, et des conseils allant de la suppression manuelle de fichiers suspects à la désactivation de la restauration système.
Plusieurs interventions évoquent des pistes comme la désinfection partielle, la réinstallation complète ou même des hypothèses extrêmes sur le BIOS, tandis que d’autres rapportent des résultats en scan qui trouvent zéro infecté.
En cas de détails techniques, le fil couvre aussi des vérifications de fichiers, des rapports de scans et des précautions comme la désactivation de la restauration pour éviter la réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    demarre en mode sans echec
    via l explorateur cherche le fichier infecter click droit dessus
    analyse avec bit defender et la il te proposeras peut etre de le suppr
    si cela ne fonctionne pas tente en mode normal hors connection

    si cela ne marche toujours pas donne nous le chemin du fichier exact

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  2. cyberboogy
     
    ok
    g fait tt ca...en mode sans echec, g pas acces a bitdefender...
    en mode normal hors connexion, qd je sellection un fichier infecté, il ne veux pas me le supprimer, uniquement le déplacer...

    je suis en train de faire une analyse....je vous enverrai le rapport ds quelques minutes...
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    si il veut le mettre en quarantaine fait le
    tu nous donne son nom ensuite pour verif et la tu pourrat le suppr de la quarantaine

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  4. cyberboogy
     
    voila mon analyse est fini...je l'avais ciblé dès le début sur les dossier que je savais infectés...

    //-----------------------------------------------------------------
    //
    // Fichier journal BitDefender
    //
    // Créé le: 26/09/2004 23:15:07
    //
    //-----------------------------------------------------------------

    Statistiques

    Chemin cible: C:\Documents and Settings
    C:\Program Files
    C:\WINDOWS\Downloaded Program Files
    C:\WINDOWS\Installer
    C:\WINDOWS\srchasst
    C:\WINDOWS\system
    C:\WINDOWS\system32
    Dossiers : 562
    Fichiers : 21825
    Archives : 134
    Fichiers empaquetés : 444
    Virus trouvés : 2
    Fichiers infectés : 4
    Alertes : 0
    Fichiers suspects : 8
    Fichiers désinfectés : 0
    Fichiers effacés : 8
    Fichiers copiés : 0
    Fichiers déplacés : 4
    Fichiers renommés : 0
    Erreurs I/O : 29
    Temps d'analyse := 00:10:52
    Fichiers/seconde :33

    Définitions virus : 91218
    Plugins d'analyse : 12
    Plugins archives : 37
    Plug-ins décompression : 4
    Plug-ins messagerie : 6
    Plug-ins système : 1

    Options d'analyse

    Détection
    [X] Analyser le secteur de boot
    [X] Analyser les archives
    [X] Analyser les fichiers en paquets
    [X] Analyser la messagerie

    Masque fichiers
    [ ] Programmes
    [X] Tous les fichiers
    [ ] Extensions définies par l'utilisateur:
    [ ] Exclure les extensions: ;

    Action

    Objets infectés
    [ ] Ignorer
    [ ] Désinfecter
    [ ] Effacer
    [ ] Copier
    [ ] Déplacer dans le dossier infectés
    [ ] Renommer
    [X] Demander l'action

    Seconde action
    [X] Ignorer
    [ ] Effacer
    [ ] Copier
    [ ] Déplacer dans le dossier infectés
    [ ] Renommer
    [ ] Demander l'action

    Options d'analyse
    [X] Activer les alertes
    [X] Activer l'heuristique
    [ ] Afficher tous les fichiers dans le journal
    [X] Fichier journal : vscan.log
    [ ] Rajouter au rapport existant

    Sommaire :

    C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab=>polall1l.exe=>(Upx) Infectés avec Trojan.Downloader.Agent.AE
    C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab=>polall1l.exe=>(Upx) Effacé
    C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab Mise à jour impossible
    C:\Documents and Settings\françois\Local Settings\Temp\V4KG3Da01760=>(Upx) Infectés avec Trojan.Downloader.Agent.AE
    C:\Documents and Settings\françois\Local Settings\Temp\V4KG3Da01760=>(Upx) Effacé
    C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\.pif Suspects avec Backdoor.BotGet.FtpB.Gen
    C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\.pif Déplacement impossible
    C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\c.bat Suspects avec Backdoor.BotGet.FtpA.Gen
    C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\c.bat Déplacement impossible
    C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\o Suspects avec Backdoor.BotGet.FtpB.Gen
    C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\o Déplacement impossible
    C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\y Suspects avec Backdoor.BotGet.FtpB.Gen
    C:\Program Files\Softwin\BitDefender Professional Edition\Suspect\y Déplacement impossible
    C:\WINDOWS\system32\.pif Suspects avec Backdoor.BotGet.FtpB.Gen
    C:\WINDOWS\system32\.pif Déplacé
    C:\WINDOWS\system32\c.bat Suspects avec Backdoor.BotGet.FtpA.Gen
    C:\WINDOWS\system32\c.bat Déplacé
    C:\WINDOWS\system32\o Suspects avec Backdoor.BotGet.FtpB.Gen
    C:\WINDOWS\system32\o Déplacé
    C:\WINDOWS\system32\oo Suspects avec Backdoor.BotGet.FtpB.Gen
    C:\WINDOWS\system32\oo Déplacé
    C:\WINDOWS\system32\TFTP1048=>(Morphine 1.7j)=>(Upx) Infectés avec Win32.P2P.SpyBot.Gen
    C:\WINDOWS\system32\TFTP1048=>(Morphine 1.7j)=>(Upx) Effacé
    C:\WINDOWS\system32\TFTP3444=>(Morphine 1.7j)=>(Upx) Infectés avec Win32.P2P.SpyBot.Gen
    C:\WINDOWS\system32\TFTP3444=>(Morphine 1.7j)=>(Upx) Effacé
    Fichiers analysés

    vous en pensez quoi?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    bon bit defender en a effacer pas mal et en a mis dans le dossiers suspect
    si ton pc n as plus de probleme au bout de quelque temp tu vide le dossier suspect

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  7. cyberboogy
     
    le problème, c que je ne peux pas vider mon dossier suspect!
    g 4 elements dedans, il qd je veux les supprimer, g "impossible de lire a partir du ficier ou de la disquette source"

    En plus, a chaque redemarrage, defendre me relance une alerte comme quoi mon fochier c:\windows\system32 est infecté!!!!

    g l'impression qu'il ne l'erradique pas vraiment, puique des que je redemarre, le virus se retrouve a sa place initiale, comme si j'avais rien fait!!!

    Est-ce possible qu'il soit sur la zone d'amorce ou dans le dos?
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tente en mode sans echec de supprimmer les fichiers du dossier suspect
    regarde dans le dossier infected si tu as quelque chose
    ---------
    pour avoir un autre rapport
    Faite scan en ligne et coller le rapport ici sur le post
    utiliser l'antivirus en ligne suivant :
    http://www.ravantivirus.com/scan/
    Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

    Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
    A la fin de l'analyse, copier/coller le rapport ici.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  9. cyberboogy
     
    ok, c'est lancé....

    je copie-colle le rapport des que je l'ai

    et merci pour toute ton aide ;-)
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    de rien
    a++

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  11. cyberboogy
     
    Alors, la je comprend plus rien!!!

    voila ce qu'a donner le scan de RAV

    Scan started at 26/09/2004 23:49:01

    Scanning memory...
    process://C:\WINDOWS\System32\WinSound1.exe - Exploit:Win32/RpcDcom.gen! -> Suspicious
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected
    C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected

    Scanned
    ============================
    Objects: 10242
    Directories: 756
    Archives: 338
    Size(Kb): 1789624
    Infected files: 2

    Found
    ============================
    Viruses found: 2
    Suspicious files: 1
    Disinfected files: 0
    Mail files: 27

    Il ne me trouve plus backdoor, par contre, j'en ai un autre...
    mais defender continue a me dire que backdoor est dans c:\windows\systeme32....

    je commence a devenir dinnnnngue!!!!!!!!
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    en fonction des anti virus le nom n est pas le meme
    pour ceux ci
    C:\Documents and Settings\françois\Local Settings\Temp\THI3D51.tmp\localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected
    tu click sur demarrer/panneaux de configuration/option internet
    une fenetre s ouvre tu click sur supprime les fichiers
    une nouvelle petite fenetre s ouvre tu coche effacer tous le contenu hors connection et click ok
    fait le hors connection
    ------------

    C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected

    celui la en mode sans echec tu le suppr
    -------------
    et par securiter on vas desactiver ta restauration
    il faut la desactiver
    pour ca tu fait click droit sur poste de travail
    propriete.tu click sur onglet restauration systeme
    tu coche la case desactiver la restauration et applique
    tu redemarre
    -----------------
    pour celui la il est seulement suspect il faudrait faire des recherche
    sur google
    C:\WINDOWS\System32\WinSound1.exe

    je n est plus le temp il faut que je dorme demain boulot
    je suis routier et partie toutes la semaine
    j espere que d autre prendront la suite demain

    bonne nuit et desoler
    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  13. cyberboogy
     
    ok, merci beaucoup pour ton aide!!!

    je vais voir ce que je peux faire avec ca!!!

    et bon courage pour ton boulot!!!! :-)
    0
  14. cyberboogy
     
    c'est encore moi!!!!

    bah g toujours mon problème....bit defender me reconnais le virus backdoor dans le dossierc:\windows\system32...il a infecté les fichiers c.bat et .pif....
    il me les reconnais, me les places en quarantaine...et hop au redemmarage suivant, il recommence...meme manege, je tourne en rond la!! je sais plus quoi faire!

    help please!
    0
    1. Bruno B
       
      J'ai exactement le même problème, dans la même situation après une réinstllationde xp. je cherche de mon coté, si tu as des nouvelles n'hesite pas.
      0
  15. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    vire les fichiers de la quarantaine
    regarde si ces fichiers n on pas un exe actif
    tu fait dmarrer/executer tu tape msconfig
    tu cherche quelque chose en rapport avec tu decoche appliquer et tu redemarre une nouvelle fenetre vas s ouvrir
    tu coche ne plus afficher ce message et ok
    voila
    regarde aussi en faisant ctrl alt suppr
    onglet processus et si tu les trouves tu click dessus et terminer le processus

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  16. tazoub
     
    J'avais comme vous tous ce @%!!%£ de virus et toute sa suite
    Backdoor.BotGet.FtpB.Gen
    Backdoor.BotGet.FtpA.Gen
    Backdoor.RBot.CV
    Win32.Worm.Korgo.U
    Backdoor.SDBot.Gen
    Trojan.HideRun.A
    qui revenaient sans cesse.
    sur mon deuxième disque dur (deux boot possibles sur deux disques distincts).
    J'ai formaté >>> Rien de mieux retour du virus.
    J'ai mis à jour Windows (tout sauf SP2) depuis plus d'alerte.
    Ma conclusion, mon premier disque avec les derniers hotfix n'avait rien choppé.
    Mon deuxième, ancienne mise à jour, les a choppé.
    Donc la théorie du virus dans le BIOS ne tient pas debout.
    Par contre une faille de plus dans Windows XP me parait plausible.
    Conseil: mettez à jour votre PC avec les derniers hotfix de Windows update.

    A +
    Tazoub
    0
  17. duron
     
    Mais non est non c'est faut pas besoin de formatage le seul remede est de flacher sont bios de carte mere car le virus comntamine le bios de la carte mere que vous formater ou autre cela ne resou pas le probleme le seul moyen est de faire comme je vous l'indic ci dessous.
    moi meme aitant contaminer j'ai examiner l'evolution du virus j'ai compris comment il proceder.
    A chaque supression de fichier ou mise en quarantaine le virus recree les fichiers.
    amitier a vous es bonne chance
    0
  18. tazoub
     
    Perso je n'ai rien flashé, juste win update et puis plus de virus.
    en effet à chaque effacement ou mise en quarntaine le virus se régénérait.
    Autre constat, ce problème ne se produisait que lors d'un chargement de page web. Tout comme sasser, le virus entait par une porte de dérriere (une faille quoi) comme son nom l'indique (backdoor). La mise à jour de sécurité bloque cette faille. Pas besoin de parler de bios, rien à voir...

    Amicalement
    Taeoub.
    0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    a mon avis se n est ni plus ni moins qu un services windows activer par la bestiole

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  20. Alex
     
    Avez-vous trouvé la solution depuis le dernier message car je suis connectée depuis hier et déjà infecté par BackDoor...Après nettoyage avec BitDefender...pb toujours présent + impossible acceder à mes messageries (impossible afficher certaines pages inetrnet=>hotmail ou se trouve ma messagerie...)+ autres pb sur mon PC.
    Je suis novice, pouvez-voyus m'aider je suis perdue.
    0
    1. tom
       
      Bonjour Alex !
      SVP, Alex, jusque comme toi, j'ai déjà passé mes nuits avec ce cruel "botget.ftpb.gen", cerché le web, appliqué presque tous les antivirus-tools, ecc.
      Si tu etait reussi a trouver une solution correcte de se liberer - (finalment e pour toujours ;) -, je te voudrais prier cordialment de me la dire.
      Je regrets che mon francait soit tellement mauvais :( ...
      Merci beaucoup beaucoup beaucoup !
      0
  • 1
  • 2