Ordi en Galère : backdoor.win32 ! qu'y a-t-il
Jérôme
-
Jérôme -
Jérôme -
Bonjour,
J'ai des soucis avec l'utilisation de mon ordi.
Deux minutes après que je me sois mis a surfer sur Internet, Kaspersky découvre des backdoor.win32 qui se déclinent dans les suffixes suivants
backdoor.win32.codbot.ay
backdoor.win32.Rbot.gen
backdoor.win32.Rbot.afo
backdoor.win32.Rbot.rd
backdoor.win32.Poebot.a
Ces backdoors apparaissent par paire, je n'ai jamais eu les 5 dans la même session. Les fichiers bloqués par Kasper sont situés dans system32 mais impossible de les retrouver (noms : resource32w.exe ; botfile.exe ; tftp1120, tftp2876 ou encore tftp520 et encore d'autres numéros...)
L'ordi ralentit au point de ne plus répondre. Chauffe.
Xoftspy m'a détecté un trojan "Fivsec" qui est vecteur de backdoor justement mais jamais il n'est supprimé...
Arghhhhhhhh au secours !!! ça me saoule depuis longtemps !
voici le log de HiJackthis!
Logfile of HijackThis v1.99.1
Scan saved at 17:48:17, on 22/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wincntrl.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\wuauclt.exe
C:\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.90bpm.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.90bpm.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/18123f7988636fa02e20/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe
Diagnostic ?
Merci d'avance.
A demain (car je reviens devant l'écran demain)
J'ai des soucis avec l'utilisation de mon ordi.
Deux minutes après que je me sois mis a surfer sur Internet, Kaspersky découvre des backdoor.win32 qui se déclinent dans les suffixes suivants
backdoor.win32.codbot.ay
backdoor.win32.Rbot.gen
backdoor.win32.Rbot.afo
backdoor.win32.Rbot.rd
backdoor.win32.Poebot.a
Ces backdoors apparaissent par paire, je n'ai jamais eu les 5 dans la même session. Les fichiers bloqués par Kasper sont situés dans system32 mais impossible de les retrouver (noms : resource32w.exe ; botfile.exe ; tftp1120, tftp2876 ou encore tftp520 et encore d'autres numéros...)
L'ordi ralentit au point de ne plus répondre. Chauffe.
Xoftspy m'a détecté un trojan "Fivsec" qui est vecteur de backdoor justement mais jamais il n'est supprimé...
Arghhhhhhhh au secours !!! ça me saoule depuis longtemps !
voici le log de HiJackthis!
Logfile of HijackThis v1.99.1
Scan saved at 17:48:17, on 22/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wincntrl.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\system32\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\wuauclt.exe
C:\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.90bpm.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.90bpm.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/18123f7988636fa02e20/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe
Diagnostic ?
Merci d'avance.
A demain (car je reviens devant l'écran demain)
A voir également:
- Ordi en Galère : backdoor.win32 ! qu'y a-t-il
- Ordi qui rame - Guide
- Comment reinitialiser un ordi - Guide
- Ordi scrabble - Télécharger - Jeux vidéo
- Ecran ordi a l'envers - Guide
- Mon ordi ne reconnait pas ma clé usb - Guide
24 réponses
Salut,
Voici le problème avec vsmon qui bloque ZA... Je mets tout ce qui se passe des fois que ça vous évoque quelque chose :
Dans la fenêtre "vsmon.exe - Erreur d'application" il y a écrit :
"L'instruction à "0xo1cc2ccd" emploie l'adresse mémoire "0x00080019". La mémoire ne peut pas être "read"."
après, Windows s'excuse du désagrément et la signature de l'erreur c'est
AppName : vsmon.exe
AppVer: 5.5.109.0
ModName: ntdll.dll
ModVer: 5.1.2600.2180
Offset: 00010a0a
Autre fait bizarre (j'avais plutot envie de dire "pète couilles") qd je cherche à uvrir mon dossier "mes images" iexplorer part en sucette et c'est une fermeture immédiate de la fénêtre... désolé de vous rajouter du boulot, mais je crains que tous mes pbs soient liés. Conspiration?
Merci d'avance pour vos réponses.
Jérôme.
Voici le problème avec vsmon qui bloque ZA... Je mets tout ce qui se passe des fois que ça vous évoque quelque chose :
Dans la fenêtre "vsmon.exe - Erreur d'application" il y a écrit :
"L'instruction à "0xo1cc2ccd" emploie l'adresse mémoire "0x00080019". La mémoire ne peut pas être "read"."
après, Windows s'excuse du désagrément et la signature de l'erreur c'est
AppName : vsmon.exe
AppVer: 5.5.109.0
ModName: ntdll.dll
ModVer: 5.1.2600.2180
Offset: 00010a0a
Autre fait bizarre (j'avais plutot envie de dire "pète couilles") qd je cherche à uvrir mon dossier "mes images" iexplorer part en sucette et c'est une fermeture immédiate de la fénêtre... désolé de vous rajouter du boulot, mais je crains que tous mes pbs soient liés. Conspiration?
Merci d'avance pour vos réponses.
Jérôme.
Ah oui, pour le plantage de Explorer c'est les données suivantes :
AppName : explorer.exe
AppVer: 6.02900.2180
ModName: libavcodec_dec.dll
ModVer: 0.0.0.0
Offset: 001637b3
A plus
AppName : explorer.exe
AppVer: 6.02900.2180
ModName: libavcodec_dec.dll
ModVer: 0.0.0.0
Offset: 001637b3
A plus
Bonsoir tout le monde,
J'en ai appris un peu plus sur notre nouvel ami le FivSec.
Voilà comment il agit :
Discovered date March 30, 2005
Risk rating Low
Affected OS Windows 95/98/ME/NT/2000/XP
Type Trojan
Alias Backdoor.Fivsec (Symantec), Trojan-Proxy.Win32.Small.bk (AVP)
Overview
Trojan.Small.BK is a trojan that modifies Windows and Internet Explorer security settings. It is also capable of opening a backdoor on a randomly chosen TCP port.
Go top
Technical Details
On execution, the worm performs the following operations:
Drops the file Pi.sys in the Windows Temporary folder.
Drops the files Thun.dll and Thun32.dll in the Windows System folder.
Executes Thun32.dll as a thread to either of the processes
Rundll32.exe
Explorer.exe
to hook system startup.
Creates the entries
HKCU\Software\Classes\CLSID\{0656A137-B161-CADD-9777-E37A75727E78}
HKCR\CLSID\{0656A137-B161-CADD-9777-E37A75727E78}
HKLM\SYSTEM\ControlSet001\Services\wscsvc
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
in the Windows registry.
Modifies Windows and Internet Explorer security settings by adding the following values in the Windows registry:
"dll" = "00, 00, 00, 00"
"id" = "124517651736"
"rpt" = "E8, 22, 00, 00"
under the key
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Security
"1001" = "01, 00, 00, 00"
"1004" = "01, 00, 00, 00"
"1200" = "00, 00, 00, 00"
"1809" = "03, 00, 00, 00"
under the keys
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones
"AntiVirusDisableNotify" = "01, 00, 00, 00"
"AntiVirusOverride" = "01, 00, 00, 00"
"FirewallDisableNotify" = "01, 00, 00, 00"
"FirewallOverride" = "01, 00, 00, 00"
"UpdatesDisableNotify" = "01, 00, 00, 00"
under the key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter
"EnableFirewall" = "00, 00, 00, 00"
under the keys
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
Deletes the service with the name Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS).
Connects to the domains 5sec.biz and 5sec.org to notify the IP address of the infected machine.
Opens a backdoor on a random TCP port to await commands from remote user.
J'ai trouvé ça là : http://www.k7computing.com/virusinfo/trojansmallbk.htm
Mais bon, parès, ça ne me dit pas comment faire précisemment pour virer ce trojan...
Peut être une idée de votre part ?
Merci d'avance
Jérôme.
J'en ai appris un peu plus sur notre nouvel ami le FivSec.
Voilà comment il agit :
Discovered date March 30, 2005
Risk rating Low
Affected OS Windows 95/98/ME/NT/2000/XP
Type Trojan
Alias Backdoor.Fivsec (Symantec), Trojan-Proxy.Win32.Small.bk (AVP)
Overview
Trojan.Small.BK is a trojan that modifies Windows and Internet Explorer security settings. It is also capable of opening a backdoor on a randomly chosen TCP port.
Go top
Technical Details
On execution, the worm performs the following operations:
Drops the file Pi.sys in the Windows Temporary folder.
Drops the files Thun.dll and Thun32.dll in the Windows System folder.
Executes Thun32.dll as a thread to either of the processes
Rundll32.exe
Explorer.exe
to hook system startup.
Creates the entries
HKCU\Software\Classes\CLSID\{0656A137-B161-CADD-9777-E37A75727E78}
HKCR\CLSID\{0656A137-B161-CADD-9777-E37A75727E78}
HKLM\SYSTEM\ControlSet001\Services\wscsvc
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
in the Windows registry.
Modifies Windows and Internet Explorer security settings by adding the following values in the Windows registry:
"dll" = "00, 00, 00, 00"
"id" = "124517651736"
"rpt" = "E8, 22, 00, 00"
under the key
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Security
"1001" = "01, 00, 00, 00"
"1004" = "01, 00, 00, 00"
"1200" = "00, 00, 00, 00"
"1809" = "03, 00, 00, 00"
under the keys
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones
"AntiVirusDisableNotify" = "01, 00, 00, 00"
"AntiVirusOverride" = "01, 00, 00, 00"
"FirewallDisableNotify" = "01, 00, 00, 00"
"FirewallOverride" = "01, 00, 00, 00"
"UpdatesDisableNotify" = "01, 00, 00, 00"
under the key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter
"EnableFirewall" = "00, 00, 00, 00"
under the keys
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
Deletes the service with the name Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS).
Connects to the domains 5sec.biz and 5sec.org to notify the IP address of the infected machine.
Opens a backdoor on a random TCP port to await commands from remote user.
J'ai trouvé ça là : http://www.k7computing.com/virusinfo/trojansmallbk.htm
Mais bon, parès, ça ne me dit pas comment faire précisemment pour virer ce trojan...
Peut être une idée de votre part ?
Merci d'avance
Jérôme.
