Backdoor botget ftp A et B gen

Résolu/Fermé
ianbel - 21 juil. 2005 à 22:24
 Utilisateur anonyme - 22 août 2005 à 11:33
help infecté par ces backdoor effacé par bit def et dès reconnexion sur le net reapparaissent...
a2 fait, spybot et ad aware ossi..
voici rapport bit def et hijack
Logfile of HijackThis v1.99.1
Scan saved at 22:16:43, on 21/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\HPHipm11.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdlite.exe
C:\Documents and Settings\Janusz\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe



//-----------------------------------------------------------------
//
// Fichier journal BitDefender
//
// Créé le: 21/07/2005 22:15:50
//
//-----------------------------------------------------------------


Sommaire :

C:\WINDOWS\system32\.pif Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\.pif Effacé
C:\WINDOWS\system32\c.bat Infectés avec Backdoor.BotGet.FtpA.Gen
C:\WINDOWS\system32\c.bat Effacé
C:\WINDOWS\system32\i Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\i Effacé
C:\WINDOWS\system32\o Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\o Effacé
C:\WINDOWS\system32\TFTP1720 Infectés avec Backdoor.Codbot.AG
C:\WINDOWS\system32\TFTP1720 Effacé

Statistiques

Chemin cible: C:\WINDOWS\system32
Dossiers : 132
Fichiers : 5646
Archives : 18
Fichiers empaquetés : 246
Virus trouvés : 3
Fichiers infectés : 5
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 0
Fichiers effacés : 5
Fichiers copiés : 0
Fichiers déplacés : 0
Fichiers renommés : 0
Erreurs I/O : 10
Temps d'analyse := 00:02:02
Fichiers/seconde : 46

Définitions virus : 196469
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[ ] Désinfecter
[X] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Seconde action
[X] Ignorer
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant


merci de m'aider...
ian

17 réponses

Utilisateur anonyme
21 juil. 2005 à 22:35
Lance un scan chez RAV :
http://www.ravantivirus.com/scan/

Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
Démo (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demorav.htm
0
Scan started at 21/07/2005 22:38:23

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\Softwin\BitDefender Professional Edition\bpfcr.ini - IRC/Generic* -> Suspicious

Scanned
merci pour la réponse rapide regis,
voici le résultat... je voudreais rajouter ke pendant le scan bd m'a averti de la contamination d'un fichier system32 ds windows tjrs vec la même verole...



============================
Objects: 22447
Directories: 1600
Archives: 761
Size(Kb): 1457068
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 1
Disinfected files: 0
Mail files: 86
0
Utilisateur anonyme
21 juil. 2005 à 23:04
grr rav dit rien,
il t averti comment bit?
0
ben une petite fenêtre s'ouvre vec l'info..

g scanné juste le fichier s32 et voilà le resultat..
bonne réflexion!!
ian

//-----------------------------------------------------------------
//
// Fichier journal BitDefender
//
// Créé le: 21/07/2005 23:06:21
//
//-----------------------------------------------------------------


Sommaire :

C:\WINDOWS\system32\cdtime.asp Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\cdtime.asp Effacé
C:\WINDOWS\system32\i Infectés avec Backdoor.BotGet.FtpB.Gen
C:\WINDOWS\system32\i Effacé

Statistiques

Chemin cible: C:\WINDOWS\system32
Dossiers : 132
Fichiers : 5634
Archives : 8
Fichiers empaquetés : 246
Virus trouvés : 1
Fichiers infectés : 2
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 0
Fichiers effacés : 2
Fichiers copiés : 0
Fichiers déplacés : 0
Fichiers renommés : 0
Erreurs I/O : 10
Temps d'analyse := 00:01:58
Fichiers/seconde : 47

Définitions virus : 196465
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[ ] Désinfecter
[X] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Seconde action
[X] Ignorer
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
21 juil. 2005 à 23:12
Ben il te les efface donc c est bon !!

---<installe un pare feu
0
merci du conseil!
zone alarm ok?
0
Utilisateur anonyme
21 juil. 2005 à 23:17
salut
si bit ne fais pas antivirus+pare feu
zone alarm est bon, je dispose de celui ci aussi

http://www.inoculer.com/firewall5.php3
0
ok merci egis j'installe le pf puis on voit
c u
not soon j'espère... lol
ian
0
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 juil. 2005 à 00:16
ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

regedit /e log.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
regedit /e log1.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"
regedit /e log2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices"
regedit /e log3.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"
regedit /e log4.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
regedit /e log5.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"
regedit /e log6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"
regedit /e log7.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"
type log.txt>>queud.txt
if exist log.txt del log.txt
type log1.txt>>queud.txt
if exist log1.txt del log1.txt
type log2.txt>>queud.txt
if exist log2.txt del log2.txt
type log3.txt>>queud.txt
if exist log3.txt del log3.txt
type log4.txt>>queud.txt
if exist log4.txt del log4.txt
type log5.txt>>queud.txt
if exist log5.txt del log5.txt
type log6.txt>>queud.txt
if exist log6.txt del log6.txt
type log7.txt>>queud.txt
if exist log7.txt del log7.txt
notepad queud.txt
if exist queud.txt del queud.txt
exit



clic sur enregistrer sous
choisis le bureau pour l'endroit de sauvegarde
Nom du fichier: tape search.cmd
dans type de fichier choisis "tous les fichiers"
valide
0
salut!
ok c fait balltrap...
et maintenant?
0
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 juil. 2005 à 00:42
cela a du t ouvrir le bloc note copir colle le ici
0
oups sorry suis bêeeete!

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"a-squared"="\"C:\\Program Files\\a2\\a2guard.exe\""
"H/PC Connection Agent"="\"C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE\""

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SpeedTouch USB Diagnostics"="\"C:\\Program Files\\Alcatel\\SpeedTouch USB\\Dragdiag.exe\" /icon"
"BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
"C-Media Mixer"="Mixer.exe /startup"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb07.exe"
"HPHmon04"="C:\\WINDOWS\\System32\\hphmon04.exe"
"HPHUPD04"="\"C:\\Program Files\\HP Photosmart 11\\hphinstall\\UniPatch\\hphupd04.exe\""
"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_04\\bin\\jusched.exe"
"type32"="\"C:\\Program Files\\Microsoft IntelliType Pro\\type32.exe\""
"Zone Labs Client"="C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
0
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 juil. 2005 à 01:20
oui il y a pas de trace
donc un pare feu imperatif
0
Oui j'en suis là aussi...

Je t'envoie mon rapport car je reste persuadé d'une contamination de mon ordi:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
"BDOESRV"="C:\\Program Files\\Softwin\\BitDefender8\\bdoesrv.exe"
"BDNewsAgent"="C:\\Program Files\\Softwin\\BitDefender8\\bdnagent.exe"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Merci de ta répnse balltrap
0
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
19 août 2005 à 15:01
salut barizana
Faite votre propre message comme ceci
Voir demo
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
0
Bonjour à vous donc,
je reprend mon cas à peu de choses près similaire a ianbel
Sans virus jusqu'à présent depuis environ une dizaine d'année je me suis rendu compte récemment que ma connexion 56K était devenu très lente. Persuadé d'une contamination, je formate alors mon disque et installe une version d'essai de Bit Defender 8. Malgré ces efforts les messages d'erreurs reviennent lors d'une connexion et Bit Defender les contre en m'indiquant ce type de virus (voir titre). Ayant alors une connaxion quelque peu hasardeuse (message de contamination toute les 5 minutes), je tape alors le nom de ce virus et j'arrive sur ce forum avec un cas quelque peu similaire...
J'ai lors copier/coller comme indiquer plus haut et la réponse est affiché dans mon précédent message.
BD8 pour indication fait pare-feu

J'en arrive presque à me demander si un formatage physique ne serait pas recommander mais je n'ai aucune idée des étapes à réaliser

j'ai aussi télécharger Hijack mais je n'y comprend rien et finallement je pense que ça analuyse plutôt les programme installé grâce au net.

Dans l'attente d'une réponse de l'un de vous.
0
Utilisateur anonyme
22 août 2005 à 11:33
salut barazine
peux tu mettre ton message comme indiqué sur la video stp
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

La on se chargera de toi promis !
tu pourras egalement y mettre un log hijack this pour qu on y regarde

si tu as des questions, n hesites pas

bises, a bientot
0