Backdoor/coldfusion
stephane
-
bernie61 -
bernie61 -
Bonjour a tous
Je suis nouveau sur le forum et j’ai atterri ici car bien sur j’ai un problème
J’ai déjà effectué quelques actions j’espère que je n’ai pas trop mal fait
Je vous expose le problème : en fait je joue assez bien sur le pc et si j’achete tout les jeux auquels je joue mais je joue avec des no cd (depuis que mon fils a cassé un cd) et je suis sur que c’est la que j’ai telechargé des trucs pas très bons
En fait voilà : j’ai zonealarm comme firewall et j’ai reçu un message de zonealarm demandant si windows explorer pouvait accéder à internet bien sur j’ai refusé j’ai alors eu un message winsock c’est arrêté en erreur toutes mes icônes ont disparus et sont revenues, depuis j’ai constaté que si je ne réponds pas au message je peux travailler +- normalement, si je réponds oui mon pc ralentit d’une façon anormale
J’ai donc entrepris certaines actions (et j’espère ne pas avoir fait de bêtises)
1er mise a jour windows xp
2em scan en ligne via RAV voici le log
[quote]
Scan started at 14/11/2004 22:14:15
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\stephane\Local Settings\Temp\~DP10.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP100.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP101.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP102.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP103.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP104.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP105.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP106.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
........ je mets pas tout car il y en a beaucoup qui se suivent
C:\Documents and Settings\stephane\Local Settings\Temp\~DPFD.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DPFE.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DPFF.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Program Files\Internet Explorer\iexplore.exe.RB0 - Win32/Bugbear.B@mm -> Infected
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065803.exe - Backdoor:Win32/Assasin.2_0.C -> Infected
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065804.exe->(UPXW) - Tool ornDialer.gen! -> Infected
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065807.exe - Backdoor:Win32/Assasin.2_0.C -> Infected
C:\WINDOWS\Downloaded Program Files\belgio_ver3.ocx - Clicker:Win32/Adpower.D -> Infected
C:\WINDOWS\system32\WinT\scsaver.exe - Backdoor:Win32/Assasin.2_0.C -> Infected
C:\WINDOWS\Temp\~DP1.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP10.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP11.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP12.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP13.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP14.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP15.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP16.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP17.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP18.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP19.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1A.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1B.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1C.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1D.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1E.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP2.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP3.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP4.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP5.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP6.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP7.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP8.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP9.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPA.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPB.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPC.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPD.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPE.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPF.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
Scanned
============================
Objects: 157946
Directories: 9690
Archives: 7789
Size(Kb): 2058416
Infected files: 1232
Found
============================
Viruses found: 5
Suspicious files: 0
Disinfected files: 0
Mail files: 725
[/quote]
3em scan via bitdefender voici le log
[quote]
Fichier journal BitDefender
//
// Créé le: 15/11/2004 07:48:34
//
//-----------------------------------------------------------------
Statistiques
Chemin cible: C:\
Dossiers : 8432
Fichiers : 808045
Archives : 16918
Fichiers empaquetés : 61859
Virus trouvés : 7
Fichiers infectés : 1417
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 1
Fichiers effacés : 11
Fichiers copiés : 0
Fichiers déplacés : 1404
Fichiers renommés : 0
Erreurs I/O : 29
Temps d'analyse := 06:14:06
Fichiers/seconde :35
Définitions virus : 94388
Plugins d'analyse : 12
Plugins archives : 37
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1
Options d'analyse
Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie
Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;
Action
Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action
Seconde action
[ ] Ignorer
[ ] Effacer
[ ] Copier
[X] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action
Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant
Sommaire :
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Setup.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Setup.exe Désinfection impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Setup.exe Déplacement impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>lview.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>lview.exe Désinfection impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>lview.exe Déplacement impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Uninstall.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Uninstall.exe Désinfection impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Uninstall.exe Déplacement impossible
[/quote]
ca c'est moi qui l'ai telechargé c'est un key logger mais je ne crois pas que le troyan soit logique (pourtant telechargé sur le site officiel
[quote]
C:\Documents and Settings\stephane\Local Settings\Temp\crack.exe=>(PESHiELD 0.25)=>(ASPack 2.12) Infectés avec Backdoor.SDBot.Gen
C:\Documents and Settings\stephane\Local Settings\Temp\crack.exe=>(PESHiELD 0.25)=>(ASPack 2.12) Effacé
C:\Documents and Settings\stephane\Local Settings\Temp\uninst.tmp Infectés avec Trojan.PWS.Perf.1.0.0
C:\Documents and Settings\stephane\Local Settings\Temp\uninst.tmp Désinfection impossible
C:\Documents and Settings\stephane\Local Settings\Temp\uninst.tmp Déplacé
[/quote]
ca je ne sais pas ce que c'est
[quote]
C:\Documents and Settings\stephane\Local Settings\Temp\~DP10.dll Infectés avec Backdoor.Coldfuson.1.1.A
C:\Documents and Settings\stephane\Local Settings\Temp\~DP10.dll Désinfection impossible
C:\Documents and Settings\stephane\Local Settings\Temp\~DP10.dll Déplacé
[/quote]
la je vous les mets pas tous : il y en a plus de 1000
[quote]
C:\Documents and Settings\stephane\Menu Démarrer\Programmes\Perfect Keylogger Lite\Uninstall Perfect Keylogger.lnk=>C:\Program Files\Perfect Keylogger Lite\uninstall.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\Documents and Settings\stephane\Menu Démarrer\Programmes\Perfect Keylogger Lite\Uninstall Perfect Keylogger.lnk=>C:\Program Files\Perfect Keylogger Lite\uninstall.exe Désinfection impossible
C:\Documents and Settings\stephane\Menu Démarrer\Programmes\Perfect Keylogger Lite\Uninstall Perfect Keylogger.lnk=>C:\Program Files\Perfect Keylogger Lite\uninstall.exe Déplacement impossible
C:\fm2005\Football Manager 2005 NO CD CRACK.exe Infectés avec Trojan.Dropper.Joiner.AJ
[/quote]
aussi le key logger que j'ai chargé
[quote]
:\fm2005\Football Manager 2005 NO CD CRACK.exe Effacé
C:\Program Files\Doom 3\Doom 3 crack.exe Infectés avec Trojan.Dropper.Hamer.B
C:\Program Files\Doom 3\Doom 3 crack.exe Désinfection impossible
C:\Program Files\Doom 3\Doom 3 crack.exe Déplacé
C:\Program Files\eMule\Incoming\Football Manager 2005 NO CD CRACK.rar=>Football Manager 2005 NO CD CRACK.exe Infectés avec Trojan.Dropper.Joiner.AJ
C:\Program Files\eMule\Incoming\Football Manager 2005 NO CD CRACK.rar=>Football Manager 2005 NO CD CRACK.exe Effacé
C:\Program Files\eMule\Incoming\Football Manager 2005 NO CD CRACK.rar Mise à jour impossible
[/quote]
comme je l'ai dit j'ai des nocds pour tout mes jeux (en cas de doutes je peux vous scanez le ticket ;) )par contre je devrais peut-etre trouver une autre source :(
[quote]
C:\Program Files\eMule\Temp\002.part Infectés avec Trojan.Dropper.Joiner.AJ
C:\Program Files\eMule\Temp\002.part Effacé
C:\Program Files\Internet Explorer\iexplore.exe.RB0 Infectés avec Win32.BugBear.B@mm
C:\Program Files\Internet Explorer\iexplore.exe.RB0 Désinfecté
[/quote]
aucune idée
[quote]
C:\Program Files\Perfect Keylogger Lite\lview.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\Program Files\Perfect Keylogger Lite\lview.exe Désinfection impossible
C:\Program Files\Perfect Keylogger Lite\lview.exe Déplacé
C:\Program Files\Perfect Keylogger Lite\uninstall.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\Program Files\Perfect Keylogger Lite\uninstall.exe Désinfection impossible
C:\Program Files\Perfect Keylogger Lite\uninstall.exe Déplacé
[/quote]
de nouveau ce programme :(
[quote]
C:\RECYCLER\S-1-5-21-1599805462-1971674613-1997492743-1007\Dc564.exe Infectés avec Trojan.Dropper.Joiner.AJ
C:\RECYCLER\S-1-5-21-1599805462-1971674613-1997492743-1007\Dc564.exe Effacé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065803.exe Infectés avec Backdoor.Assasin.2_0.C
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065803.exe Désinfection impossible
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065803.exe Déplacé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065807.exe Infectés avec Backdoor.Assasin.2_0.C
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065807.exe Désinfection impossible
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065807.exe Déplacé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP404\A0073619.exe Infectés avec Trojan.Dropper.Joiner.AJ
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP404\A0073619.exe Effacé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP404\A0073620.exe Infectés avec Trojan.Dropper.Joiner.AJ
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP404\A0073620.exe Effacé
C:\WINDOWS\1.mzp Infectés avec Backdoor.Assasin.2_0.C
C:\WINDOWS\1.mzp Désinfection impossible
C:\WINDOWS\1.mzp Déplacé
C:\WINDOWS\system32\svccfg.exe=>(PESHiELD 0.25)=>(ASPack 2.12) Infectés avec Backdoor.SDBot.Gen
C:\WINDOWS\system32\svccfg.exe=>(PESHiELD 0.25)=>(ASPack 2.12) Effacé
C:\WINDOWS\system32\WinT\1\0.dll Infectés avec Backdoor.Assasin.2_0.C
C:\WINDOWS\system32\WinT\1\0.dll Désinfection impossible
C:\WINDOWS\system32\WinT\1\0.dll Déplacé
C:\WINDOWS\system32\WinT\1.mzp Infectés avec Backdoor.Assasin.2_0.C
C:\WINDOWS\system32\WinT\1.mzp Désinfection impossible
C:\WINDOWS\system32\WinT\1.mzp Déplacé
C:\WINDOWS\system32\WinT\scsaver.exe Infectés avec Backdoor.Assasin.2_0.C
C:\WINDOWS\system32\WinT\scsaver.exe Désinfection impossible
C:\WINDOWS\system32\WinT\scsaver.exe Déplacé
[/quote]
aucune idée
[quote]
C:\WINDOWS\Temp\~DP1.dll Infectés avec Backdoor.Coldfuson.1.1.A
C:\WINDOWS\Temp\~DP1.dll Désinfection impossible
C:\WINDOWS\Temp\~DP1.dll Déplacé
[/quote]
la il y en a de nouveau un paquet.....
[quote]
C:\WINDOWS\Temp\~DPF.dll Infectés avec Backdoor.Coldfuson.1.1.A
C:\WINDOWS\Temp\~DPF.dll Désinfection impossible
C:\WINDOWS\Temp\~DPF.dll Déplacé
[/quote]
4em et c’est la que je me demande si j’ai bien fait : suppression de tout ce que bitdefender a mis dans son dossier ensuite j’ai redemarré en mode sans echec et j’ai supprimé tout ce qui se trouvait dans les dossiers
C:\Documents and Settings\stephane\Local Settings\Temp
C:\Documents and Settings\stephane\Menu Démarrer\Programmes\Perfect Keylogger Lite
C:\WINDOWS\Temp
A noter que je n’ai pas su tout supprimer de C:\Documents and Settings\stephane\Local Settings\Temp car j’ai eu un message que ces fichiers etaient employés par une autre application (apres un nouveau redemarrage j’ai pu supprimer ceux qui restaient mais pas les nouveaux qu’il m’a recreer au demarage
Ensuite j’ai supprimé (en suivant les conseils de quelqu’un)
C:\Program Files\Internet Explorer\iexplore.exe.RB0
C:\WINDOWS\Downloaded Program Files\belgio_ver3.ocx
Via l’outil Killbox
Puis j’ai relancé un scan en ligne don’t voici le resultat
[quote]
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\stephane\Local Settings\Temp\~DP44.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
[B] et plein d’autres au milieu[/b]
C:\Documents and Settings\stephane\Local Settings\Temp\~DP8A.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\system32\dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
[B]et plein d’autres au milieu[/b]
C:\WINDOWS\Temp\~DPF.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
Scanned
============================
Objects: 115789
Directories: 9126
Archives: 7669
Size(Kb): 1969114
Infected files: 133
Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 486
[/quote]
et malheureusement cela ne change rien a mon probleme
J’ai aussi fait des recherches sur internet et j’ai trouvé que pour ce virus il fallait supprimer le « clients.exe » mais je ne l’ai pas trouvé (ni sur le disque ni dans les processus actifs)
Je remercie ceux qui ont eu le courage de me lire jusqu’ici mais j’ai essayé d’etre le plus précis possible
Si quelqu’un pouvait m’aider ce serait super sympa car j’avoue etre completement perdu
Je suis nouveau sur le forum et j’ai atterri ici car bien sur j’ai un problème
J’ai déjà effectué quelques actions j’espère que je n’ai pas trop mal fait
Je vous expose le problème : en fait je joue assez bien sur le pc et si j’achete tout les jeux auquels je joue mais je joue avec des no cd (depuis que mon fils a cassé un cd) et je suis sur que c’est la que j’ai telechargé des trucs pas très bons
En fait voilà : j’ai zonealarm comme firewall et j’ai reçu un message de zonealarm demandant si windows explorer pouvait accéder à internet bien sur j’ai refusé j’ai alors eu un message winsock c’est arrêté en erreur toutes mes icônes ont disparus et sont revenues, depuis j’ai constaté que si je ne réponds pas au message je peux travailler +- normalement, si je réponds oui mon pc ralentit d’une façon anormale
J’ai donc entrepris certaines actions (et j’espère ne pas avoir fait de bêtises)
1er mise a jour windows xp
2em scan en ligne via RAV voici le log
[quote]
Scan started at 14/11/2004 22:14:15
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\stephane\Local Settings\Temp\~DP10.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP100.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP101.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP102.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP103.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP104.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP105.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DP106.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
........ je mets pas tout car il y en a beaucoup qui se suivent
C:\Documents and Settings\stephane\Local Settings\Temp\~DPFD.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DPFE.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Documents and Settings\stephane\Local Settings\Temp\~DPFF.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\Program Files\Internet Explorer\iexplore.exe.RB0 - Win32/Bugbear.B@mm -> Infected
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065803.exe - Backdoor:Win32/Assasin.2_0.C -> Infected
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065804.exe->(UPXW) - Tool ornDialer.gen! -> Infected
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065807.exe - Backdoor:Win32/Assasin.2_0.C -> Infected
C:\WINDOWS\Downloaded Program Files\belgio_ver3.ocx - Clicker:Win32/Adpower.D -> Infected
C:\WINDOWS\system32\WinT\scsaver.exe - Backdoor:Win32/Assasin.2_0.C -> Infected
C:\WINDOWS\Temp\~DP1.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP10.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP11.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP12.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP13.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP14.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP15.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP16.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP17.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP18.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP19.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1A.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1B.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1C.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1D.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP1E.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP2.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP3.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP4.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP5.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP6.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP7.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP8.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DP9.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPA.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPB.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPC.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPD.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPE.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\Temp\~DPF.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
Scanned
============================
Objects: 157946
Directories: 9690
Archives: 7789
Size(Kb): 2058416
Infected files: 1232
Found
============================
Viruses found: 5
Suspicious files: 0
Disinfected files: 0
Mail files: 725
[/quote]
3em scan via bitdefender voici le log
[quote]
Fichier journal BitDefender
//
// Créé le: 15/11/2004 07:48:34
//
//-----------------------------------------------------------------
Statistiques
Chemin cible: C:\
Dossiers : 8432
Fichiers : 808045
Archives : 16918
Fichiers empaquetés : 61859
Virus trouvés : 7
Fichiers infectés : 1417
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 1
Fichiers effacés : 11
Fichiers copiés : 0
Fichiers déplacés : 1404
Fichiers renommés : 0
Erreurs I/O : 29
Temps d'analyse := 06:14:06
Fichiers/seconde :35
Définitions virus : 94388
Plugins d'analyse : 12
Plugins archives : 37
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1
Options d'analyse
Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie
Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;
Action
Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action
Seconde action
[ ] Ignorer
[ ] Effacer
[ ] Copier
[X] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action
Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant
Sommaire :
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Setup.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Setup.exe Désinfection impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Setup.exe Déplacement impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>lview.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>lview.exe Désinfection impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>lview.exe Déplacement impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Uninstall.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Uninstall.exe Désinfection impossible
C:\DOCU\Mes fichiers reçus\i_bpk_lite.exe=>(RAR Sfx o)=>Uninstall.exe Déplacement impossible
[/quote]
ca c'est moi qui l'ai telechargé c'est un key logger mais je ne crois pas que le troyan soit logique (pourtant telechargé sur le site officiel
[quote]
C:\Documents and Settings\stephane\Local Settings\Temp\crack.exe=>(PESHiELD 0.25)=>(ASPack 2.12) Infectés avec Backdoor.SDBot.Gen
C:\Documents and Settings\stephane\Local Settings\Temp\crack.exe=>(PESHiELD 0.25)=>(ASPack 2.12) Effacé
C:\Documents and Settings\stephane\Local Settings\Temp\uninst.tmp Infectés avec Trojan.PWS.Perf.1.0.0
C:\Documents and Settings\stephane\Local Settings\Temp\uninst.tmp Désinfection impossible
C:\Documents and Settings\stephane\Local Settings\Temp\uninst.tmp Déplacé
[/quote]
ca je ne sais pas ce que c'est
[quote]
C:\Documents and Settings\stephane\Local Settings\Temp\~DP10.dll Infectés avec Backdoor.Coldfuson.1.1.A
C:\Documents and Settings\stephane\Local Settings\Temp\~DP10.dll Désinfection impossible
C:\Documents and Settings\stephane\Local Settings\Temp\~DP10.dll Déplacé
[/quote]
la je vous les mets pas tous : il y en a plus de 1000
[quote]
C:\Documents and Settings\stephane\Menu Démarrer\Programmes\Perfect Keylogger Lite\Uninstall Perfect Keylogger.lnk=>C:\Program Files\Perfect Keylogger Lite\uninstall.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\Documents and Settings\stephane\Menu Démarrer\Programmes\Perfect Keylogger Lite\Uninstall Perfect Keylogger.lnk=>C:\Program Files\Perfect Keylogger Lite\uninstall.exe Désinfection impossible
C:\Documents and Settings\stephane\Menu Démarrer\Programmes\Perfect Keylogger Lite\Uninstall Perfect Keylogger.lnk=>C:\Program Files\Perfect Keylogger Lite\uninstall.exe Déplacement impossible
C:\fm2005\Football Manager 2005 NO CD CRACK.exe Infectés avec Trojan.Dropper.Joiner.AJ
[/quote]
aussi le key logger que j'ai chargé
[quote]
:\fm2005\Football Manager 2005 NO CD CRACK.exe Effacé
C:\Program Files\Doom 3\Doom 3 crack.exe Infectés avec Trojan.Dropper.Hamer.B
C:\Program Files\Doom 3\Doom 3 crack.exe Désinfection impossible
C:\Program Files\Doom 3\Doom 3 crack.exe Déplacé
C:\Program Files\eMule\Incoming\Football Manager 2005 NO CD CRACK.rar=>Football Manager 2005 NO CD CRACK.exe Infectés avec Trojan.Dropper.Joiner.AJ
C:\Program Files\eMule\Incoming\Football Manager 2005 NO CD CRACK.rar=>Football Manager 2005 NO CD CRACK.exe Effacé
C:\Program Files\eMule\Incoming\Football Manager 2005 NO CD CRACK.rar Mise à jour impossible
[/quote]
comme je l'ai dit j'ai des nocds pour tout mes jeux (en cas de doutes je peux vous scanez le ticket ;) )par contre je devrais peut-etre trouver une autre source :(
[quote]
C:\Program Files\eMule\Temp\002.part Infectés avec Trojan.Dropper.Joiner.AJ
C:\Program Files\eMule\Temp\002.part Effacé
C:\Program Files\Internet Explorer\iexplore.exe.RB0 Infectés avec Win32.BugBear.B@mm
C:\Program Files\Internet Explorer\iexplore.exe.RB0 Désinfecté
[/quote]
aucune idée
[quote]
C:\Program Files\Perfect Keylogger Lite\lview.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\Program Files\Perfect Keylogger Lite\lview.exe Désinfection impossible
C:\Program Files\Perfect Keylogger Lite\lview.exe Déplacé
C:\Program Files\Perfect Keylogger Lite\uninstall.exe Infectés avec Trojan.PWS.Perf.1.0.0
C:\Program Files\Perfect Keylogger Lite\uninstall.exe Désinfection impossible
C:\Program Files\Perfect Keylogger Lite\uninstall.exe Déplacé
[/quote]
de nouveau ce programme :(
[quote]
C:\RECYCLER\S-1-5-21-1599805462-1971674613-1997492743-1007\Dc564.exe Infectés avec Trojan.Dropper.Joiner.AJ
C:\RECYCLER\S-1-5-21-1599805462-1971674613-1997492743-1007\Dc564.exe Effacé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065803.exe Infectés avec Backdoor.Assasin.2_0.C
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065803.exe Désinfection impossible
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065803.exe Déplacé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065807.exe Infectés avec Backdoor.Assasin.2_0.C
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065807.exe Désinfection impossible
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP370\A0065807.exe Déplacé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP404\A0073619.exe Infectés avec Trojan.Dropper.Joiner.AJ
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP404\A0073619.exe Effacé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP404\A0073620.exe Infectés avec Trojan.Dropper.Joiner.AJ
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP404\A0073620.exe Effacé
C:\WINDOWS\1.mzp Infectés avec Backdoor.Assasin.2_0.C
C:\WINDOWS\1.mzp Désinfection impossible
C:\WINDOWS\1.mzp Déplacé
C:\WINDOWS\system32\svccfg.exe=>(PESHiELD 0.25)=>(ASPack 2.12) Infectés avec Backdoor.SDBot.Gen
C:\WINDOWS\system32\svccfg.exe=>(PESHiELD 0.25)=>(ASPack 2.12) Effacé
C:\WINDOWS\system32\WinT\1\0.dll Infectés avec Backdoor.Assasin.2_0.C
C:\WINDOWS\system32\WinT\1\0.dll Désinfection impossible
C:\WINDOWS\system32\WinT\1\0.dll Déplacé
C:\WINDOWS\system32\WinT\1.mzp Infectés avec Backdoor.Assasin.2_0.C
C:\WINDOWS\system32\WinT\1.mzp Désinfection impossible
C:\WINDOWS\system32\WinT\1.mzp Déplacé
C:\WINDOWS\system32\WinT\scsaver.exe Infectés avec Backdoor.Assasin.2_0.C
C:\WINDOWS\system32\WinT\scsaver.exe Désinfection impossible
C:\WINDOWS\system32\WinT\scsaver.exe Déplacé
[/quote]
aucune idée
[quote]
C:\WINDOWS\Temp\~DP1.dll Infectés avec Backdoor.Coldfuson.1.1.A
C:\WINDOWS\Temp\~DP1.dll Désinfection impossible
C:\WINDOWS\Temp\~DP1.dll Déplacé
[/quote]
la il y en a de nouveau un paquet.....
[quote]
C:\WINDOWS\Temp\~DPF.dll Infectés avec Backdoor.Coldfuson.1.1.A
C:\WINDOWS\Temp\~DPF.dll Désinfection impossible
C:\WINDOWS\Temp\~DPF.dll Déplacé
[/quote]
4em et c’est la que je me demande si j’ai bien fait : suppression de tout ce que bitdefender a mis dans son dossier ensuite j’ai redemarré en mode sans echec et j’ai supprimé tout ce qui se trouvait dans les dossiers
C:\Documents and Settings\stephane\Local Settings\Temp
C:\Documents and Settings\stephane\Menu Démarrer\Programmes\Perfect Keylogger Lite
C:\WINDOWS\Temp
A noter que je n’ai pas su tout supprimer de C:\Documents and Settings\stephane\Local Settings\Temp car j’ai eu un message que ces fichiers etaient employés par une autre application (apres un nouveau redemarrage j’ai pu supprimer ceux qui restaient mais pas les nouveaux qu’il m’a recreer au demarage
Ensuite j’ai supprimé (en suivant les conseils de quelqu’un)
C:\Program Files\Internet Explorer\iexplore.exe.RB0
C:\WINDOWS\Downloaded Program Files\belgio_ver3.ocx
Via l’outil Killbox
Puis j’ai relancé un scan en ligne don’t voici le resultat
[quote]
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\stephane\Local Settings\Temp\~DP44.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
[B] et plein d’autres au milieu[/b]
C:\Documents and Settings\stephane\Local Settings\Temp\~DP8A.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
C:\WINDOWS\system32\dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
[B]et plein d’autres au milieu[/b]
C:\WINDOWS\Temp\~DPF.dll - Backdoor:Win32/Coldfuson.1_1.A -> Infected
Scanned
============================
Objects: 115789
Directories: 9126
Archives: 7669
Size(Kb): 1969114
Infected files: 133
Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 486
[/quote]
et malheureusement cela ne change rien a mon probleme
J’ai aussi fait des recherches sur internet et j’ai trouvé que pour ce virus il fallait supprimer le « clients.exe » mais je ne l’ai pas trouvé (ni sur le disque ni dans les processus actifs)
Je remercie ceux qui ont eu le courage de me lire jusqu’ici mais j’ai essayé d’etre le plus précis possible
Si quelqu’un pouvait m’aider ce serait super sympa car j’avoue etre completement perdu
A voir également:
- Backdoor/coldfusion
- Backdoor - Télécharger - Antivirus & Antimalwares
- Lenovo backdoor - Guide
4 réponses
desole fausse maneuvre : double post
excusez moi a supprimer
en fait je voulais editer le titre : coldfuson et non pas coldfusion
excusez moi a supprimer
en fait je voulais editer le titre : coldfuson et non pas coldfusion
il n 'y a personne pour m'aider ?
je suis vraiment bloqué et je n'ai vraiment pas envie de reformater mon disque
merci
je suis vraiment bloqué et je n'ai vraiment pas envie de reformater mon disque
merci
C est tous simple j ai eu le meme probleme prend l antivirus kaspersy et fait une analyse du systeme et c est tous.
salut steph
applique tout ceci car infecté dans les temp et restauration
*Pour scan complet il faut pouvoir scanner tous les dossiers donc faire :
Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers
*Pour effacer efficacement manuellement tu te mets en mode sans échec ou mode VGA, explications là
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020905112131924
-pour windowsXP ou ME redémarrer ordi et tapoter F8 (ou F5 selon config) et choisir « Mode sans échec »
- pour Windows NT ou 9x.XX faire « Démarrer mode VGA »
et s’ils sont dans la restauration il faut la désactiver, explications là
http://www.libellules.ch/desactiver_restauration.php
faire Démarrer/panneauConfiguration/Système et là tu as onglet Restauration
Voilà
*Pour vider le cache et dossier temp
tu cliques sur Démarrer/PanneauConfiguration/OptionsInternet/ onglet « Général » /supprimer les fichiers/ cocher effacer hors connexion
et aussi onglet « Avancé » et là cocher Vider dossier TemporaryInternet…
et vider la Corbeille (« Recycler »)
*Pour nettoyer ordi, faire Démarrer/TousLesProgrammes/Accessoires/OutilsSystèmes/nettoyerSystème/ et là choisir directory à nettoyer généralement C :\
regarde dans
Démarrer/panneauConfig/ajoutSuppresionProgramme si tu n'aurais pas un pgm indésirable comme coldfusion et supprime le
puis relance scan en mode sans échec
a+
applique tout ceci car infecté dans les temp et restauration
*Pour scan complet il faut pouvoir scanner tous les dossiers donc faire :
Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers
*Pour effacer efficacement manuellement tu te mets en mode sans échec ou mode VGA, explications là
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020905112131924
-pour windowsXP ou ME redémarrer ordi et tapoter F8 (ou F5 selon config) et choisir « Mode sans échec »
- pour Windows NT ou 9x.XX faire « Démarrer mode VGA »
et s’ils sont dans la restauration il faut la désactiver, explications là
http://www.libellules.ch/desactiver_restauration.php
faire Démarrer/panneauConfiguration/Système et là tu as onglet Restauration
Voilà
*Pour vider le cache et dossier temp
tu cliques sur Démarrer/PanneauConfiguration/OptionsInternet/ onglet « Général » /supprimer les fichiers/ cocher effacer hors connexion
et aussi onglet « Avancé » et là cocher Vider dossier TemporaryInternet…
et vider la Corbeille (« Recycler »)
*Pour nettoyer ordi, faire Démarrer/TousLesProgrammes/Accessoires/OutilsSystèmes/nettoyerSystème/ et là choisir directory à nettoyer généralement C :\
regarde dans
Démarrer/panneauConfig/ajoutSuppresionProgramme si tu n'aurais pas un pgm indésirable comme coldfusion et supprime le
puis relance scan en mode sans échec
a+
