Attaque massive de backdoor Fermé

Question

bonjour,

J'ai un ordi neuf ( avec windows xp home) . je viens de formater le disque dur, j'ai installer dans la foulée BITDEFENDER 8 PRO PLUS et je l'ai mis à jour. j'ai installé AD AWARE ET a2FREE et je les ai mis à jour. j'ai fait aussi un Windows update. Quelle grande déception de voir que j'étais attaquer massivement par Backdoor.botGet. De plus j'ai eu un message " windows has found 47 criticals errors". j'avous que je suis dépassée par les évenements.

je mets ci-joint un hijack :
Logfile of HijackThis v1.99.1
Scan saved at 20:08:41, on 08/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\System32\Logitechs.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Momo\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://GLOBAL.ACER.COM/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKLM\..\Run: [Logitechs] Logitechs.exe
O4 - HKLM\..\RunServices: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKLM\..\RunServices: [Logitechs] Logitechs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115574115421
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

et également mon dernier rapport de scan avec Bitdefender. A savoir que depuis j'ai eu une dizaine d'alerte avec backdoor:

//-----------------------------------------------------------------
//
// Product: BitDefender 8 Professional Plus
// Version: 8.0
//
// Créé le: 08/05/2005 19:28:55
//
//-----------------------------------------------------------------

Statistiques

Chemin cible: C:\
Dossiers : 1176
Fichiers : 98357
Archives : 5992
Fichiers empaquetés : 6697
Virus trouvés : 2
Fichiers infectés : 3
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 0
Fichiers effacés : 2
Fichiers copiés : 0
Fichiers déplacés : 1
Fichiers renommés : 0
Erreurs I/O : 25
Temps d'analyse := 00:09:40
Fichiers/seconde :169

Définitions virus : 153040
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[ ] Copier
[X] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant

Sommaire :

C:\WINDOWS\system32\TFTP3552 Infectés avec Backdoor.SDBot.AE42BFB4
C:\WINDOWS\system32\TFTP3552 Effacé
C:\WINDOWS\system32\csrs.exe Infectés avec Backdoor.SDBot.AE42BFB4
C:\WINDOWS\system32\csrs.exe Effacé
C:\WINDOWS\system32\TFTP736 Infectés avec Backdoor.Codbot.Z
C:\WINDOWS\system32\TFTP736 Désinfection impossible
C:\WINDOWS\system32\TFTP736 Déplacé

Merci de m'aider
a bientôt

balltrap34 · Answer

salut
imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore
adaware (1)
spyboot (2)
(ici) http://www.florensac-chasse-trap.com/ section virus

----------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------

assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

--------------------
relance hijack coche ces lignes et ensuite clik sur fix
O4 - HKLM\..\Run: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKLM\..\RunServices: [Logitechs] Logitechs.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

----------------------
recherche et suppr ceci
attention seulement les fichiers
csrs.exe
Logitechs.exe

---------------

passe adaware et vire tous se qu il trouve
----------
passe spy boot et vire tous se qu il trouvent
-------------

tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

et precise ou en sont tes soucis

pour ton rapport bit defender c est ok il les a virer

--

momo · Answer

Merci pour tous ces conseils. J'essayerai demain car ce soir j'ai les obligations d'une maman qui doit s'occuper de ses petits.Encore merci

balltrap34 · Answer

okimais je part pour la semaine donc d autres prendront la suite

Momo · Answer

Bonsoir,

Voilà j'ai exécuté toutes les manip de BALLTRAP. il ya un truc que je ne comprends pas très bien. Dès que je branche mon cable ethernet sur mon pc j'ai sans cesse des alertes d'attaque de backdoor et de plus mon pc devient beaucoupplus lent voir inutilisable. d'ailleur juste le temps d'écrire ce message je viens d'avoir plus de 10 alertes. par contre quand le cable ethernet n' est pas branché ce pc fonctionne normalement. j'ai un autre ordi avec la meme config le meme antivirus avec ad aware - a2 free - spybot et je n'ai jamais eu autant d'alertes. est-ce qu'il y aurait un param a effectuer quelque part. Enfin bref je joins mon rapport de bitdefender ainsi que celui du hijack.
Merci de me répondre

//-----------------------------------------------------------------
//
// Product: BitDefender 8 Professional Plus
// Version: 8.0
//
// Créé le: 09/05/2005 21:37:56
//
//-----------------------------------------------------------------

Statistiques

Chemin cible: C:\
Dossiers : 1192
Fichiers : 98089
Archives : 5953
Fichiers empaquetés : 6818
Virus trouvés : 1
Fichiers infectés : 2
Alertes : 0
Fichiers suspects : 1
Fichiers désinfectés : 0
Fichiers effacés : 2
Fichiers copiés : 0
Fichiers déplacés : 1
Fichiers renommés : 0
Erreurs I/O : 25
Temps d'analyse := 00:09:08
Fichiers/seconde :178

Définitions virus : 153040
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[ ] Copier
[X] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant

Sommaire :

C:\WINDOWS\system32\OFFICEXP Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\OFFICEXP Effacé
C:\WINDOWS\system32\o Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\o Effacé
C:\WINDOWS\system32\bla.txt Suspects avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\bla.txt Désinfection impossible
C:\WINDOWS\system32\bla.txt Déplacé

HIJACK

Logfile of HijackThis v1.99.1
Scan saved at 21:37:30, on 09/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\WINDOWS\System32\MSMSN7.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\MSMSN7.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Documents and Settings\Momo\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://GLOBAL.ACER.COM/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [Logitechs] Logitechs.exe
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115574115421
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

regis59 · Answer

salut,un conseil supprimes ta quarantaine bitfender et installe un pare feu ! non?

bernie61 · Answer

salut
1. Tu connais ça vérifie sinon ZIP (compresse) et efface le .EXE
C:\WINDOWS\System32\MSMSN7.exe >> vérifie propriété cliq droit de souris, pour moi virus mais ??
2. Relances Hijackthis et coche (puis FIX)
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe >si inconnu
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe si inconnu
3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
A rechercher et effacer tous ceux trouvé MSMSN7.exe
C:\WINDOWS\System32\MSMSN7.exe > si inconnu
a+

tellk · Answer

passe en mode sans echec non ?tu appui sur f8 quand ton pc redemare

bernie61 · Answer

re saluttu as vérifié les propriété du msmsn7.exe??tu pourras effacer sinon en mode sans échec, car il doit être utilisé làa+

momo · Answer

ca y est j'ai pu  supprimer msmsn7.exe en mode ss echec.Je vais voir ce qu'il en est et je vous tiens au courant.a+ et merci

Attaque massive de backdoor

9 réponses

Discussions similaires