WORM_peybot.a
Résolu
willontherock
Messages postés
8
Statut
Membre
-
willontherock Messages postés 8 Statut Membre -
willontherock Messages postés 8 Statut Membre -
File has been deleted!
ah! Ce malware! Il paraît qu'il est capable de manipulations secrêtes,.
Description:
Propagations résidantes en mémoire de ce ver par des parts de réseau, et baisses une copie de elle-même comme DEFRAGFAT??.exe dans la chemise de système de Windows.
Elle emploie une liste de noms et de mots de passe d'utilisateur pour accéder aux chemises partagées.
Elle agit en tant que BOT du Internet Relay Chat (IRC), ainsi capable de certaines activités secrètes .
Ce ver fonctionne sur Windows 98, MOI, le NT, 2000 et le XP.
Serait-il capable même encore maintenant de manipuler mon firewall quand je le configure pour ajouter une application?
"C:\Documents and Settings\LocalServices\Bureau fait référence à un emplacement non disponible. Il peut s'agir d'un emplacement situé sur un disque dur de cet ordinateur ou sur un réseau, vérifiez que le disque est inséré correctement ou que vous êtes connecté(e) à Internet ou au réseau domestique, puis réessayez de nouveau. Si vous ne trouvez toujours pas l'information, elle a peut être été déplacée vers un emplacement différent."
mon anti-virus me note le message suivant :
17/01/2005,23:-- WARNING: Contains signature of the worm Worm/PeyBot.A!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP3\A0000191.EXE
File has been deleted!
Pouvez-vous m'expliquer cela SVP?
Start of scan: samedi 22 janvier 2005 18:--
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
C:\WINDOWS\SoftwareDistribution\EventCache
{481FA830-084D-4930-8D94-54DB17B7B459}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
End of scan: samedi 22 janvier 2005 19:--
Time taken: min
Thank Yoo
willontherock
ah! Ce malware! Il paraît qu'il est capable de manipulations secrêtes,.
Description:
Propagations résidantes en mémoire de ce ver par des parts de réseau, et baisses une copie de elle-même comme DEFRAGFAT??.exe dans la chemise de système de Windows.
Elle emploie une liste de noms et de mots de passe d'utilisateur pour accéder aux chemises partagées.
Elle agit en tant que BOT du Internet Relay Chat (IRC), ainsi capable de certaines activités secrètes .
Ce ver fonctionne sur Windows 98, MOI, le NT, 2000 et le XP.
Serait-il capable même encore maintenant de manipuler mon firewall quand je le configure pour ajouter une application?
"C:\Documents and Settings\LocalServices\Bureau fait référence à un emplacement non disponible. Il peut s'agir d'un emplacement situé sur un disque dur de cet ordinateur ou sur un réseau, vérifiez que le disque est inséré correctement ou que vous êtes connecté(e) à Internet ou au réseau domestique, puis réessayez de nouveau. Si vous ne trouvez toujours pas l'information, elle a peut être été déplacée vers un emplacement différent."
mon anti-virus me note le message suivant :
17/01/2005,23:-- WARNING: Contains signature of the worm Worm/PeyBot.A!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP3\A0000191.EXE
File has been deleted!
Pouvez-vous m'expliquer cela SVP?
Start of scan: samedi 22 janvier 2005 18:--
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
C:\WINDOWS\SoftwareDistribution\EventCache
{481FA830-084D-4930-8D94-54DB17B7B459}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
End of scan: samedi 22 janvier 2005 19:--
Time taken: min
Thank Yoo
willontherock
10 réponses
salut
dans un premier temps tu desactive ta restauration system
tu scanne avec ton anti virus et puis tu reactive ta restauration system
INFORMATION\_RESTORE{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP3\A0000191.EXE
ta restauration system et infecter et apres tu refais un scanne et recolle ton rapport
dans un premier temps tu desactive ta restauration system
tu scanne avec ton anti virus et puis tu reactive ta restauration system
INFORMATION\_RESTORE{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP3\A0000191.EXE
ta restauration system et infecter et apres tu refais un scanne et recolle ton rapport
Bonjour
toute la solution sur le lien suivant:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPEYBOT%2EA&VSect=P
toute la solution sur le lien suivant:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPEYBOT%2EA&VSect=P
salut
pourquoi chercher + compliquer losque qu il s agit tout simplement
de desactiver ta resto et de le reactiver
INFORMATION\_RESTORE{ <<
pourquoi chercher + compliquer losque qu il s agit tout simplement
de desactiver ta resto et de le reactiver
INFORMATION\_RESTORE{ <<
Je pense avoir neutralisé le processus il y'a presqu'un an ,je pensais qu'il était mort.
Le gestionaire des tâches m'indique Processus inactif ... SYSTEM "99"16 Ko.
J'ai désactivé la resto system puis j'ai fais un scann .
J'ai redémarré, et réactivé la resto.
Et , hop, vla mon rapport de scann:
Merci de vos explications !
Start of scan: vendredi 28 janvier 2005 15:51
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK
C:\
hiberfil.sys
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery
DSOExploit.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit2.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit3.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit4.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\W9EVKHY7
res_agnitum_com.20041223_1642[1].zip
ArchiveType: ZIP
NOTE! No files to extract.
C:\RECYCLER\S-1-5-21-1701018904-3774226158-2474422021-1003
Dc18.zip
ArchiveType: ZIP
NOTE! No files to extract.
Error! Could not change directory: System Volume Information
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
End of scan: vendredi 28 janvier 2005 16:10
Time taken: 19:04 min
3448 directories were scanned
78995 files were scanned
7 warning messages were issued
0 files were deleted
0 files were repaired
0 detections
Thank Yoo
willontherock
Le gestionaire des tâches m'indique Processus inactif ... SYSTEM "99"16 Ko.
J'ai désactivé la resto system puis j'ai fais un scann .
J'ai redémarré, et réactivé la resto.
Et , hop, vla mon rapport de scann:
Merci de vos explications !
Start of scan: vendredi 28 janvier 2005 15:51
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK
C:\
hiberfil.sys
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery
DSOExploit.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit2.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit3.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit4.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\W9EVKHY7
res_agnitum_com.20041223_1642[1].zip
ArchiveType: ZIP
NOTE! No files to extract.
C:\RECYCLER\S-1-5-21-1701018904-3774226158-2474422021-1003
Dc18.zip
ArchiveType: ZIP
NOTE! No files to extract.
Error! Could not change directory: System Volume Information
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
End of scan: vendredi 28 janvier 2005 16:10
Time taken: 19:04 min
3448 directories were scanned
78995 files were scanned
7 warning messages were issued
0 files were deleted
0 files were repaired
0 detections
Thank Yoo
willontherock
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok !!
pour dso exploi tu laisse tomber tomber c est un bug de spybot
voire lien
http://www.secuser.com/alertes/2004/dsoexploit.htm
maintenant il faut vider ton cache internet pour cela<<
menu demarrer<<panneau de config<< connexion et reseaux internet<<option internet<< supprime les fichiers et es cookies
et par la meme occasion l historique ( a faire en hors connexion )
puis tu vas dans rechercher tu tapes temp et tu supprimes
tout les dossier ( tomporary internet ) clique droit souris
pius menu demarrer < tout les programmes<< accessoire<
outil system<< et nettoyage disc
important vide ta corbeil
refait un scanne pour verif
pour dso exploi tu laisse tomber tomber c est un bug de spybot
voire lien
http://www.secuser.com/alertes/2004/dsoexploit.htm
maintenant il faut vider ton cache internet pour cela<<
menu demarrer<<panneau de config<< connexion et reseaux internet<<option internet<< supprime les fichiers et es cookies
et par la meme occasion l historique ( a faire en hors connexion )
puis tu vas dans rechercher tu tapes temp et tu supprimes
tout les dossier ( tomporary internet ) clique droit souris
pius menu demarrer < tout les programmes<< accessoire<
outil system<< et nettoyage disc
important vide ta corbeil
refait un scanne pour verif
Finalement je me souviens où j'ai attrapé ce malware c'est en faisant une recherche logiciel gratuit (je déconseille), alors j'ai trouvé un logiciel qui se présente comme musique et logiciels gratuits.
J'ai redémarré mon pc en désactivant la resto system et là le malware a téléchargé des favoris et des logiciels en autoupdate (là aussi je déconseille).
Alors ce malware s'appelle Backdoor, SDbot et PEYbot... mais c'est le même.
Il s'est se faire oublier et revenir.
AVG antivirus ne le reconnait pas sur mon pc mais antivir le reconnait.
J'ai supprimé les programmes et les clés du registre, vidé la corbeille et il est toujours là, je pense; je ne comprends pas très bien l'archive CAB.
Je ne pouvais plus démarrer windows, il a fallu utiliser le mode de récupératio et la commande CHKDSK.
Merci de votre aide et de vos explications.
Thank youu
willontherock
vla le scan :
Drives:
A: Floppy drive
C: Hard disk
D: Hard disk
E: CD-ROM
F: CD-ROM
Start of scan: lundi 31 janvier 2005 20:35
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK
C:\
hiberfil.sys
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
C:\WINDOWS\SoftwareDistribution\EventCache
{B6AA50D1-12E7-4F17-9F5E-679DE3A19C03}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\A3NHSU2W
bunSetup[1].cab
ArchiveType: CAB (Microsoft)
--> SAHAgent_.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/SahAgent.A Backdoor server programs
End of scan: lundi 31 janvier 2005 20:53
Time taken: 17:49 min
2557 directories were scanned
68603 files were scanned
8 warning messages were issued
0 files were deleted
0 files were repaired
1 detection
J'ai redémarré mon pc en désactivant la resto system et là le malware a téléchargé des favoris et des logiciels en autoupdate (là aussi je déconseille).
Alors ce malware s'appelle Backdoor, SDbot et PEYbot... mais c'est le même.
Il s'est se faire oublier et revenir.
AVG antivirus ne le reconnait pas sur mon pc mais antivir le reconnait.
J'ai supprimé les programmes et les clés du registre, vidé la corbeille et il est toujours là, je pense; je ne comprends pas très bien l'archive CAB.
Je ne pouvais plus démarrer windows, il a fallu utiliser le mode de récupératio et la commande CHKDSK.
Merci de votre aide et de vos explications.
Thank youu
willontherock
vla le scan :
Drives:
A: Floppy drive
C: Hard disk
D: Hard disk
E: CD-ROM
F: CD-ROM
Start of scan: lundi 31 janvier 2005 20:35
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK
C:\
hiberfil.sys
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
C:\WINDOWS\SoftwareDistribution\EventCache
{B6AA50D1-12E7-4F17-9F5E-679DE3A19C03}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\A3NHSU2W
bunSetup[1].cab
ArchiveType: CAB (Microsoft)
--> SAHAgent_.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/SahAgent.A Backdoor server programs
End of scan: lundi 31 janvier 2005 20:53
Time taken: 17:49 min
2557 directories were scanned
68603 files were scanned
8 warning messages were issued
0 files were deleted
0 files were repaired
1 detection
salut willontherock
est ce que tu pourrais faire un scanne a cette adresse et coller ton rapport
http://www.ravantivirus.com/scan/
est ce que tu pourrais faire un scanne a cette adresse et coller ton rapport
http://www.ravantivirus.com/scan/
TOut est rentré dans l'ordre. J'ai supprimé les dernière clé hier soir et les fichiers dans C:\WINDOWS\system32.
J'ai trouvé les clé dans HKEY CURRENT USER>SOFTWARE>MICROSOFT>WINDOWS>CURRENT VERSION et j'ai cherché dedans, le nom du programme. Il était aussi dans HKEY LOCAL MACHINE>SOFTWARE>MICROSOFT>WINDOWS>CURRENT VERSION>UNINSTALL et le nom de programme.
MERCI . HAVE FUN !
PS : Je pense que le fichier system volume information appartient à windows et il est normal de ne pas avoir l'accés; vla le SCANN de mon antivir :
Start of scan: mardi 1 février 2005 19:50
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK
C:\
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
End of scan: mardi 1 février 2005 20:15
Time taken: 24:58 min
2852 directories were scanned
71189 files were scanned
6 warning messages were issued
0 files were deleted
0 files were repaired
0 detections
J'ai trouvé les clé dans HKEY CURRENT USER>SOFTWARE>MICROSOFT>WINDOWS>CURRENT VERSION et j'ai cherché dedans, le nom du programme. Il était aussi dans HKEY LOCAL MACHINE>SOFTWARE>MICROSOFT>WINDOWS>CURRENT VERSION>UNINSTALL et le nom de programme.
MERCI . HAVE FUN !
PS : Je pense que le fichier system volume information appartient à windows et il est normal de ne pas avoir l'accés; vla le SCANN de mon antivir :
Start of scan: mardi 1 février 2005 19:50
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK
C:\
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
End of scan: mardi 1 février 2005 20:15
Time taken: 24:58 min
2852 directories were scanned
71189 files were scanned
6 warning messages were issued
0 files were deleted
0 files were repaired
0 detections
