VIRUS BACKDOOR

_~W@nT€d™_ -  
 tufs -
bonjours a tous

je suis infecté par :_Backdoor.BotGet.Ftp.Gen
_Backdoor.BotGet.FtpA.Gen
_Backdoor.BotGet.FtpB.Gen
_korgo

je possede la livebox avec winXP pro, bitdefenderpro8 et donc jai formaté tous mes disques-durs et a chaque fois que je me connect pour la premiere fois ( 10min aprés le formatage donc) il se mai a telecharger je ne sais quoi, il me pompe presque toute ma connection, jai installé Sygate mais rien a faire, sa fais 3 semaines que je cherche comment faire pour men débarasser!!!! je vais devenir ouf!!!!!!!!!!!
une ptite question : es-ce possible kils utilises ma "connection"?

merci bocoup!!!!!!! jen pe+++++++

10 réponses

  1. _~W@nT€d™_ Messages postés 4 Statut Membre
     
    ~PS: j'ai oublier Joyeux Noël, Bonne Santé et Bonne Année 2005 a tous
    0
  2. Utilisateur anonyme
     
    bonjour et noyeux nowëlle ;-)

    situés tes backdoors ?

    _Backdoor.BotGet.Ftp.*Gen(érique/voir Sdbot)
    _Backdoor.BotGet.FtpA.*Gen
    _Backdoor.BotGet.FtpB.*Gen
    Bitdefender : Backdoor.BotGet.Ftp?.Gen detects scripts used by some IRC bots (eg: SDBot family)
    http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=307

    SDBOT :
    Sdbot est une famille de virus ciblant les ordinateurs non à jour dans leurs correctifs de sécurité ou précédemment infectés par certains virus. Sdbot tente de se connecter aux machines accessibles en utilisant différentes portes dérobées ou failles de sécurité connues : s'il réussit, le virus infecte l'ordinateur en se copiant dans le répertoire System de Windows, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables.
    Le virus installe une porte dérobée qui autorise la prise de contrôle à distance de l'ordinateur infecté puis se connecte immédiatement à un canal IRC (Internet Relay Chat) prédéterminé en attente de commandes à exécuter par une personne malveillante : téléchargement et exécution de programmes à l'insu de l'utilisateur, enregistrement des frappes au clavier....

    _korgo <--appliquer le fix+ update M$
    http://www.secuser.com/alertes/2004/korgo.htm

    tu as installé et paramétré le firewall avant la connexion je suppose? est-ce qu'il est bien configuré Sygate? (je dirais non mais...)

    1) un tuto Sygate
    http://www.tutoriel.org/dvd/forum/viewtopic.php?p=219

    2) ton système est à jour de ses correctifs? (je dirais non mais...) --> (M$ Update! installe le SP2) TOUS ces backdoors utilisent une faille système
    voir Sdbot
    http://www.secuser.com/alertes/2003/sdbot.htm

    ^_^

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  3. erwan01
     
    tu vas y aller progressivement,
    clique sur ce lien
    http://www.emsisoft.net/fr/
    et télécharge a²personal
    effectue les mises à jour
    désactive la restauration automatique
    et lance le scan.
    après, tiens moi au courant, tu auras d'autres applications à installer pour protéger ton micro
    0
  4. _~W@nT€d™_ Messages postés 4 Statut Membre
     
    merci bien a erwan01 et dolly.dagger de votre reponse je vais faire a la lettre comme vous dites et je vous tien vite au courant...

    reponse:
    dolly.dagger :

    _situés où tes backdoors ? <<< dans system32

    _tu as installé et paramétré le firewall avant la connexion je suppose? est-ce qu'il est bien configuré Sygate? (je dirais non mais...) <<<non je pence kil est mal config car moi et langlais sa fais 2....

    _ ton système est à jour de ses correctifs? (je dirais non mais...) --> (M$ Update! installe le SP2) <<< OUI je possede le sp2

    sinon juste une ptit kestion: vous connaissé les backdoor FTPA et FTPB??? moi jai trouver personne ki connai...

    merci et @ toute
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    regarde ici, ceci dit ce sont tous la mm famile des backdoors Sdbot, c'est Bitdefender qui le nomme ainsi, chaque éditeur d'antivirus à son alias, ce serait trop simple une seule dénomination..hiii! (voir le Post <2> plus haut)

    backdoor FTPA...
    http://www.commentcamarche.net/forum/affich-1027715-backdoor-BotGet-FtpA-gen-une-histoire-de-fou
    http://www.commentcamarche.net/forum/affich-1110765-virus-backdoor-botget

    mais Bitdefender devrait les virer normalement, je connais pas cet antivirus, il faut peut être autoriser les suppressions ?
    Le tuto d'aide Sygate est sur un forum français, ça devrait aller quand même

    fait un log Hijackthis
    http://www.zebulon.fr/articles/HijackThis.php

    (screenshot)
    http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
    http://www.ordi-netfr.org/tutorialhijackthis.html <- en français ;-)

    - Le mettre dans 1 dossier ex: C:\HijackThis
    - Le lancer -> Scan -> Save log
    - Récupérer ce log/texte avec le bloc-notes.
    - Le copier/coller ici

    @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  7. _~W@nT€d™_ Messages postés 4 Statut Membre
     
    merci encore

    sinon résutat pour erwan01: _aucun fichiers trouver avec ta manip (a²personal )

    résutat pour dolly.dagger :

    Logfile of HijackThis v1.99.0
    Scan saved at 13:22:21, on 25/12/2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\Softwin\BitDefender8\vsserv.exe
    C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Softwin\BitDefender8\bdmcon.exe
    C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
    C:\Program Files\Softwin\BitDefender8\bdswitch.exe
    C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
    C:\Program Files\Olitec\PCI ADSL\CnxDslTb.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://messenger.msn.com/fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: IEHlprObj Class - {45002861-ED0C-4AE0-9240-FF24D544DB41} - C:\Program Files\fnbh\bh1.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
    O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
    O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
    O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
    O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\PCI ADSL\CnxDslTb.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103896274418
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{86FD3154-2DD0-403F-B6E9-88F99A1FC7BD}: NameServer = 80.10.246.130 80.10.246.3
    O23 - Service: ADSLAutoconnect - Unknown - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
    O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
    O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: BitDefender Virus Shield - Unknown - C:\Program Files\Softwin\BitDefender8\vsserv.exe
    O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
    O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

    voil@ voil@ donc jatten l@ suite de mon périple... :)
    0
  8. erwan01 Messages postés 184 Date d'inscription   Statut Membre Dernière intervention   2
     
    ok pour ta réponse avec a², pour le hj que tu viens d'effectuer, dolly.dagger va prendre le relais.
    Je connais assez bien cette appli que j'effectue sur mon micro, mais pas assez à fond pour t'en assurer un résultat parfait à distance
    0
  9. _~W@nT€d™_ Messages postés 4 Statut Membre
     
    salut Tufs ok je connai pas donc je l'ai fix sinon jai fait un scan online avec "Panda ActiveScan" , il me dit que j'ai 2 fichiers infectés par des virus mais y a rien qui me dit quel fichier c'est !!!
    il marque juste "2 fichiers infectés'

    Comment faire pour savoir lesquels???

    merci d'avance
    0