Backdoor botget ftp A et B gen

Résolu
ianbel -  
 Utilisateur anonyme -
help infecté par ces backdoor effacé par bit def et dès reconnexion sur le net reapparaissent...
a2 fait, spybot et ad aware ossi..
voici rapport bit def et hijack
Logfile of HijackThis v1.99.1
Scan saved at 22:16:43, on 21/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\HPHipm11.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdlite.exe
C:\Documents and Settings\Janusz\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

//-----------------------------------------------------------------
//
// Fichier journal BitDefender
//
// Créé le: 21/07/2005 22:15:50
//
//-----------------------------------------------------------------

Sommaire :

C:\WINDOWS\system32\.pif Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\.pif Effacé
C:\WINDOWS\system32\c.bat Infectés avec Backdoor.BotGet.FtpA.Gen
C:\WINDOWS\system32\c.bat Effacé
C:\WINDOWS\system32\i Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\i Effacé
C:\WINDOWS\system32\o Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\o Effacé
C:\WINDOWS\system32\TFTP1720 Infectés avec Backdoor.Codbot.AG
C:\WINDOWS\system32\TFTP1720 Effacé

Statistiques

Chemin cible: C:\WINDOWS\system32
Dossiers : 132
Fichiers : 5646
Archives : 18
Fichiers empaquetés : 246
Virus trouvés : 3
Fichiers infectés : 5
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 0
Fichiers effacés : 5
Fichiers copiés : 0
Fichiers déplacés : 0
Fichiers renommés : 0
Erreurs I/O : 10
Temps d'analyse := 00:02:02
Fichiers/seconde : 46

Définitions virus : 196469
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[ ] Désinfecter
[X] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Seconde action
[X] Ignorer
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant

merci de m'aider...
ian
Configuration: xp pro 2d edition

17 réponses

  1. ianbel
     
    Scan started at 21/07/2005 22:38:23

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Program Files\Softwin\BitDefender Professional Edition\bpfcr.ini - IRC/Generic* -> Suspicious

    Scanned
    merci pour la réponse rapide regis,
    voici le résultat... je voudreais rajouter ke pendant le scan bd m'a averti de la contamination d'un fichier system32 ds windows tjrs vec la même verole...

    ============================
    Objects: 22447
    Directories: 1600
    Archives: 761
    Size(Kb): 1457068
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 1
    Disinfected files: 0
    Mail files: 86
    0
  2. Utilisateur anonyme
     
    grr rav dit rien,
    il t averti comment bit?
    0
  3. ianbel
     
    ben une petite fenêtre s'ouvre vec l'info..

    g scanné juste le fichier s32 et voilà le resultat..
    bonne réflexion!!
    ian

    //-----------------------------------------------------------------
    //
    // Fichier journal BitDefender
    //
    // Créé le: 21/07/2005 23:06:21
    //
    //-----------------------------------------------------------------

    Sommaire :

    C:\WINDOWS\system32\cdtime.asp Infectés avec Backdoor.BotGet.FtpB.Gen
    C:\WINDOWS\system32\cdtime.asp Effacé
    C:\WINDOWS\system32\i Infectés avec Backdoor.BotGet.FtpB.Gen
    C:\WINDOWS\system32\i Effacé

    Statistiques

    Chemin cible: C:\WINDOWS\system32
    Dossiers : 132
    Fichiers : 5634
    Archives : 8
    Fichiers empaquetés : 246
    Virus trouvés : 1
    Fichiers infectés : 2
    Alertes : 0
    Fichiers suspects : 0
    Fichiers désinfectés : 0
    Fichiers effacés : 2
    Fichiers copiés : 0
    Fichiers déplacés : 0
    Fichiers renommés : 0
    Erreurs I/O : 10
    Temps d'analyse := 00:01:58
    Fichiers/seconde : 47

    Définitions virus : 196465
    Plugins d'analyse : 13
    Plugins archives : 39
    Plug-ins décompression : 4
    Plug-ins messagerie : 6
    Plug-ins système : 1

    Options d'analyse

    Détection
    [X] Analyser le secteur de boot
    [X] Analyser les archives
    [X] Analyser les fichiers en paquets
    [X] Analyser la messagerie

    Masque fichiers
    [ ] Programmes
    [X] Tous les fichiers
    [ ] Extensions définies par l'utilisateur:
    [ ] Exclure les extensions: ;

    Action

    Objets infectés
    [ ] Ignorer
    [ ] Désinfecter
    [X] Effacer
    [ ] Copier
    [ ] Déplacer dans le dossier infectés
    [ ] Renommer
    [ ] Demander l'action

    Seconde action
    [X] Ignorer
    [ ] Effacer
    [ ] Copier
    [ ] Déplacer dans le dossier infectés
    [ ] Renommer
    [ ] Demander l'action

    Options d'analyse
    [X] Activer les alertes
    [X] Activer l'heuristique
    [ ] Afficher tous les fichiers dans le journal
    [X] Fichier journal : vscan.log
    [ ] Rajouter au rapport existant
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Ben il te les efface donc c est bon !!

    ---<installe un pare feu
    0
  6. ianbel
     
    ok merci egis j'installe le pf puis on voit
    c u
    not soon j'espère... lol
    ian
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

    regedit /e log.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
    regedit /e log1.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"
    regedit /e log2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices"
    regedit /e log3.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"
    regedit /e log4.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
    regedit /e log5.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"
    regedit /e log6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"
    regedit /e log7.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"
    type log.txt>>queud.txt
    if exist log.txt del log.txt
    type log1.txt>>queud.txt
    if exist log1.txt del log1.txt
    type log2.txt>>queud.txt
    if exist log2.txt del log2.txt
    type log3.txt>>queud.txt
    if exist log3.txt del log3.txt
    type log4.txt>>queud.txt
    if exist log4.txt del log4.txt
    type log5.txt>>queud.txt
    if exist log5.txt del log5.txt
    type log6.txt>>queud.txt
    if exist log6.txt del log6.txt
    type log7.txt>>queud.txt
    if exist log7.txt del log7.txt
    notepad queud.txt
    if exist queud.txt del queud.txt
    exit

    clic sur enregistrer sous
    choisis le bureau pour l'endroit de sauvegarde
    Nom du fichier: tape search.cmd
    dans type de fichier choisis "tous les fichiers"
    valide
    0
  8. ianbel
     
    salut!
    ok c fait balltrap...
    et maintenant?
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    cela a du t ouvrir le bloc note copir colle le ici
    0
  10. ianbel
     
    oups sorry suis bêeeete!

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "a-squared"="\"C:\\Program Files\\a2\\a2guard.exe\""
    "H/PC Connection Agent"="\"C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE\""

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
    "SpeedTouch USB Diagnostics"="\"C:\\Program Files\\Alcatel\\SpeedTouch USB\\Dragdiag.exe\" /icon"
    "BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
    "C-Media Mixer"="Mixer.exe /startup"
    "HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb07.exe"
    "HPHmon04"="C:\\WINDOWS\\System32\\hphmon04.exe"
    "HPHUPD04"="\"C:\\Program Files\\HP Photosmart 11\\hphinstall\\UniPatch\\hphupd04.exe\""
    "Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
    "SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_04\\bin\\jusched.exe"
    "type32"="\"C:\\Program Files\\Microsoft IntelliType Pro\\type32.exe\""
    "Zone Labs Client"="C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
    "Installed"="1"

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oui il y a pas de trace
    donc un pare feu imperatif
    0
  12. barizana
     
    Oui j'en suis là aussi...

    Je t'envoie mon rapport car je reste persuadé d'une contamination de mon ordi:

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
    "MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
    "BDOESRV"="C:\\Program Files\\Softwin\\BitDefender8\\bdoesrv.exe"
    "BDNewsAgent"="C:\\Program Files\\Softwin\\BitDefender8\\bdnagent.exe"

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    Merci de ta répnse balltrap
    0
  13. barizana
     
    Bonjour à vous donc,
    je reprend mon cas à peu de choses près similaire a ianbel
    Sans virus jusqu'à présent depuis environ une dizaine d'année je me suis rendu compte récemment que ma connexion 56K était devenu très lente. Persuadé d'une contamination, je formate alors mon disque et installe une version d'essai de Bit Defender 8. Malgré ces efforts les messages d'erreurs reviennent lors d'une connexion et Bit Defender les contre en m'indiquant ce type de virus (voir titre). Ayant alors une connaxion quelque peu hasardeuse (message de contamination toute les 5 minutes), je tape alors le nom de ce virus et j'arrive sur ce forum avec un cas quelque peu similaire...
    J'ai lors copier/coller comme indiquer plus haut et la réponse est affiché dans mon précédent message.
    BD8 pour indication fait pare-feu

    J'en arrive presque à me demander si un formatage physique ne serait pas recommander mais je n'ai aucune idée des étapes à réaliser

    j'ai aussi télécharger Hijack mais je n'y comprend rien et finallement je pense que ça analuyse plutôt les programme installé grâce au net.

    Dans l'attente d'une réponse de l'un de vous.
    0