Sujet Précédent Sujet Suivant

Ordi en Galère : backdoor.win32 ! qu'y a-t-il

Fermé
Jérôme - 22 oct. 2005 à 18:08
 Jérôme - 28 oct. 2005 à 15:52
Bonjour,
J'ai des soucis avec l'utilisation de mon ordi.
Deux minutes après que je me sois mis a surfer sur Internet, Kaspersky découvre des backdoor.win32 qui se déclinent dans les suffixes suivants
backdoor.win32.codbot.ay
backdoor.win32.Rbot.gen
backdoor.win32.Rbot.afo
backdoor.win32.Rbot.rd
backdoor.win32.Poebot.a
Ces backdoors apparaissent par paire, je n'ai jamais eu les 5 dans la même session. Les fichiers bloqués par Kasper sont situés dans system32 mais impossible de les retrouver (noms : resource32w.exe ; botfile.exe ; tftp1120, tftp2876 ou encore tftp520 et encore d'autres numéros...)
L'ordi ralentit au point de ne plus répondre. Chauffe.
Xoftspy m'a détecté un trojan "Fivsec" qui est vecteur de backdoor justement mais jamais il n'est supprimé...
Arghhhhhhhh au secours !!! ça me saoule depuis longtemps !

voici le log de HiJackthis!

Logfile of HijackThis v1.99.1
Scan saved at 17:48:17, on 22/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wincntrl.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\wuauclt.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.90bpm.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.90bpm.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/18123f7988636fa02e20/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe

Diagnostic ?

Merci d'avance.
A demain (car je reviens devant l'écran demain)
A voir également:

24 réponses

Précédent
  • 1
  • 2
Réponse 21 / 24
Jérôme
25 oct. 2005 à 19:43
Salut,

Voici le problème avec vsmon qui bloque ZA... Je mets tout ce qui se passe des fois que ça vous évoque quelque chose :
Dans la fenêtre "vsmon.exe - Erreur d'application" il y a écrit :
"L'instruction à "0xo1cc2ccd" emploie l'adresse mémoire "0x00080019". La mémoire ne peut pas être "read"."

après, Windows s'excuse du désagrément et la signature de l'erreur c'est
AppName : vsmon.exe
AppVer: 5.5.109.0
ModName: ntdll.dll
ModVer: 5.1.2600.2180
Offset: 00010a0a

Autre fait bizarre (j'avais plutot envie de dire "pète couilles") qd je cherche à uvrir mon dossier "mes images" iexplorer part en sucette et c'est une fermeture immédiate de la fénêtre... désolé de vous rajouter du boulot, mais je crains que tous mes pbs soient liés. Conspiration?

Merci d'avance pour vos réponses.

Jérôme.
0
Réponse 22 / 24
Jérôme
25 oct. 2005 à 19:48
Ah oui, pour le plantage de Explorer c'est les données suivantes :

AppName : explorer.exe
AppVer: 6.02900.2180
ModName: libavcodec_dec.dll
ModVer: 0.0.0.0
Offset: 001637b3

A plus
0
Réponse 23 / 24
Jérôme
25 oct. 2005 à 20:52
Bonsoir tout le monde,
J'en ai appris un peu plus sur notre nouvel ami le FivSec.
Voilà comment il agit :

Discovered date March 30, 2005
Risk rating Low
Affected OS Windows 95/98/ME/NT/2000/XP
Type Trojan
Alias Backdoor.Fivsec (Symantec), Trojan-Proxy.Win32.Small.bk (AVP)

Overview

Trojan.Small.BK is a trojan that modifies Windows and Internet Explorer security settings. It is also capable of opening a backdoor on a randomly chosen TCP port.

Go top

Technical Details

On execution, the worm performs the following operations:
Drops the file Pi.sys in the Windows Temporary folder.


Drops the files Thun.dll and Thun32.dll in the Windows System folder.


Executes Thun32.dll as a thread to either of the processes

Rundll32.exe
Explorer.exe

to hook system startup.


Creates the entries

HKCU\Software\Classes\CLSID\{0656A137-B161-CADD-9777-E37A75727E78}
HKCR\CLSID\{0656A137-B161-CADD-9777-E37A75727E78}
HKLM\SYSTEM\ControlSet001\Services\wscsvc
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc

in the Windows registry.


Modifies Windows and Internet Explorer security settings by adding the following values in the Windows registry:


"dll" = "00, 00, 00, 00"
"id" = "124517651736"
"rpt" = "E8, 22, 00, 00"

under the key

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Security


"1001" = "01, 00, 00, 00"
"1004" = "01, 00, 00, 00"
"1200" = "00, 00, 00, 00"
"1809" = "03, 00, 00, 00"

under the keys

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones


"AntiVirusDisableNotify" = "01, 00, 00, 00"
"AntiVirusOverride" = "01, 00, 00, 00"
"FirewallDisableNotify" = "01, 00, 00, 00"
"FirewallOverride" = "01, 00, 00, 00"
"UpdatesDisableNotify" = "01, 00, 00, 00"

under the key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter


"EnableFirewall" = "00, 00, 00, 00"

under the keys

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile


Deletes the service with the name Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS).


Connects to the domains 5sec.biz and 5sec.org to notify the IP address of the infected machine.


Opens a backdoor on a random TCP port to await commands from remote user.

J'ai trouvé ça là : http://www.k7computing.com/virusinfo/trojansmallbk.htm

Mais bon, parès, ça ne me dit pas comment faire précisemment pour virer ce trojan...
Peut être une idée de votre part ?
Merci d'avance
Jérôme.
0
Réponse 24 / 24
Jérôme
28 oct. 2005 à 15:52
Bonjour,

ça fait plusieurs jours que rien n'est arrivé sur le forum concerant mon problème... N'y aurait il pas de solution ???

Je relance un message de détresse : si quelqu'un capte quelque chose à mon cas, merci de me le faire savoir pour un coup de main.

Merci d'avance à tous.

Jérôme
0