Backdoor
salafer
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Quelqu'un a exécuté un fichier (setup.exe) sur mon poste.
Ce fichier avait été analysé par msf security qui n'a rien trouvé.
L'installation n'a "apparemment" rien fait mais je vient de découvrir un fichier backdoor.log (dans le même dossier que setup.exe) qui contient ça:
12/07/2011 [22:13.11] 1 {T3240} [dbg] Backdoor started
12/07/2011 [22:13.11] 2 {T3240} [dbg] Run process: "C:\Users\Xxx\AppData\Local\Temp\explorer.exe" 1
12/07/2011 [22:13.13] 3 {T3240} [dbg] Run process: OK. Process id: 1816
12/07/2011 [22:13.15] 1 {T2616} [dbg] Backdoor started
12/07/2011 [22:13.15] 2 {T2616} Runed as xml gate
12/07/2011 [22:13.15] 3 {T2616} [dbg] Fetch task from: http://keyscratch.com/gettasks3.php?protocol=1&protoversion=1002&o=0&p=C:%5CUsers%5CXxx%5CAppData%5CLocal%5CTemp%5Cexplorer.exe&f=19173888
12/07/2011 [22:13.15] 4 {T2616} [dbg] Curl post rc4 decrypted data: §« ¤(plein de codes)w¬~ôQ
12/07/2011 [22:13.15] 5 {T2616} Fetch task...OK
12/07/2011 [22:13.15] 6 {T2616} [dbg] Wait for command MFC
12/07/2011 [22:13.15] 7 {T4452} Execute command: Open Exit page
12/07/2011 [22:13.15] 8 {T3356} Execute command: MFC
12/07/2011 [22:13.15] 9 {T4452} [dbg] Execute browse command for URL: http://www.brothersoft.com
12/07/2011 [22:13.15] 10 {T3356} Create direcotry: C:/Users/Xxx/AppData/Local/Temp/tasks/
12/07/2011 [22:13.15] 11 {T3356} Download file from URL: http://www.keyscratch.com/downloads/PSSetup.exe to: C:\Users\Xxx\AppData\Local\Temp\tasks\PSSetup.exe
12/07/2011 [22:13.16] 12 {T4452} [dbg] Finished command Open Exit page
12/07/2011 [22:13.17] 13 {T3356} Create process: C:\Users\Xxx\AppData\Local\Temp\tasks\PSSetup.exe
12/07/2011 [22:13.17] 14 {T3356} Wait for process...
12/07/2011 [22:14.57] 15 {T3356} Process exited with error code: 0
12/07/2011 [22:14.57] 16 {T3356} [dbg] Finished command MFC
12/07/2011 [22:14.57] 17 {T2616} [dbg] Finished command MFC
12/07/2011 [22:14.57] 18 {T2616} [dbg] Wait for all commands...
12/07/2011 [22:14.57] 19 {T4880} Execute command: TCChecker
12/07/2011 [22:14.57] 20 {T4880} Create direcotry: C:/Users/Xxx/AppData/Local/Temp/tasks/
12/07/2011 [22:14.57] 21 {T4880} Download file from URL: http://www.keyscratch.com/downloads/TCChecker.exe to: C:\Users\Xxx\AppData\Local\Temp\tasks\TCChecker.exe
12/07/2011 [22:15.05] 22 {T4880} Create process: C:\Users\Xxx\AppData\Local\Temp\tasks\TCChecker.exe /I
12/07/2011 [22:15.05] 23 {T4880} [dbg] Finished command TCChecker
12/07/2011 [22:15.05] 24 {T2616} [dbg] All commands are finished
12/07/2011 [22:15.05] 25 {T2616} [dbg] Invoke self delete
12/07/2011 [22:15.05] 26 {T2616} [dbg] Self remove script C:\Users\Xxx\AppData\Local\Temp\1041.bat
12/07/2011 [22:15.05] 27 {T2616} [dbg] Run process: "C:\Users\Xxx\AppData\Local\Temp\1041.bat"
12/07/2011 [22:15.05] 28 {T2616} [dbg] Run process: OK. Process id: 4624
12/07/2011 [22:15.05] 29 {T2616} Self delete batch script start: OK
(J'ai mis des xxx et enlevé la partie cryptée par sécurité)
Bien sure j'ai vidé les dossiers en question mais je voudrais savoir ...
pourquoi ces sites distant sont forbidden?
c'est quoi tcchecker, pssetup?
Dois-je formater mon poste?
Depuis mon iexplorer et firefox ont une barre d'outil et des plugin "my web search 1.2"
Quelqu'un sait quel genre de m... je viens d'attraper?
Merci de m'éclairer svp
Quelqu'un a exécuté un fichier (setup.exe) sur mon poste.
Ce fichier avait été analysé par msf security qui n'a rien trouvé.
L'installation n'a "apparemment" rien fait mais je vient de découvrir un fichier backdoor.log (dans le même dossier que setup.exe) qui contient ça:
12/07/2011 [22:13.11] 1 {T3240} [dbg] Backdoor started
12/07/2011 [22:13.11] 2 {T3240} [dbg] Run process: "C:\Users\Xxx\AppData\Local\Temp\explorer.exe" 1
12/07/2011 [22:13.13] 3 {T3240} [dbg] Run process: OK. Process id: 1816
12/07/2011 [22:13.15] 1 {T2616} [dbg] Backdoor started
12/07/2011 [22:13.15] 2 {T2616} Runed as xml gate
12/07/2011 [22:13.15] 3 {T2616} [dbg] Fetch task from: http://keyscratch.com/gettasks3.php?protocol=1&protoversion=1002&o=0&p=C:%5CUsers%5CXxx%5CAppData%5CLocal%5CTemp%5Cexplorer.exe&f=19173888
12/07/2011 [22:13.15] 4 {T2616} [dbg] Curl post rc4 decrypted data: §« ¤(plein de codes)w¬~ôQ
12/07/2011 [22:13.15] 5 {T2616} Fetch task...OK
12/07/2011 [22:13.15] 6 {T2616} [dbg] Wait for command MFC
12/07/2011 [22:13.15] 7 {T4452} Execute command: Open Exit page
12/07/2011 [22:13.15] 8 {T3356} Execute command: MFC
12/07/2011 [22:13.15] 9 {T4452} [dbg] Execute browse command for URL: http://www.brothersoft.com
12/07/2011 [22:13.15] 10 {T3356} Create direcotry: C:/Users/Xxx/AppData/Local/Temp/tasks/
12/07/2011 [22:13.15] 11 {T3356} Download file from URL: http://www.keyscratch.com/downloads/PSSetup.exe to: C:\Users\Xxx\AppData\Local\Temp\tasks\PSSetup.exe
12/07/2011 [22:13.16] 12 {T4452} [dbg] Finished command Open Exit page
12/07/2011 [22:13.17] 13 {T3356} Create process: C:\Users\Xxx\AppData\Local\Temp\tasks\PSSetup.exe
12/07/2011 [22:13.17] 14 {T3356} Wait for process...
12/07/2011 [22:14.57] 15 {T3356} Process exited with error code: 0
12/07/2011 [22:14.57] 16 {T3356} [dbg] Finished command MFC
12/07/2011 [22:14.57] 17 {T2616} [dbg] Finished command MFC
12/07/2011 [22:14.57] 18 {T2616} [dbg] Wait for all commands...
12/07/2011 [22:14.57] 19 {T4880} Execute command: TCChecker
12/07/2011 [22:14.57] 20 {T4880} Create direcotry: C:/Users/Xxx/AppData/Local/Temp/tasks/
12/07/2011 [22:14.57] 21 {T4880} Download file from URL: http://www.keyscratch.com/downloads/TCChecker.exe to: C:\Users\Xxx\AppData\Local\Temp\tasks\TCChecker.exe
12/07/2011 [22:15.05] 22 {T4880} Create process: C:\Users\Xxx\AppData\Local\Temp\tasks\TCChecker.exe /I
12/07/2011 [22:15.05] 23 {T4880} [dbg] Finished command TCChecker
12/07/2011 [22:15.05] 24 {T2616} [dbg] All commands are finished
12/07/2011 [22:15.05] 25 {T2616} [dbg] Invoke self delete
12/07/2011 [22:15.05] 26 {T2616} [dbg] Self remove script C:\Users\Xxx\AppData\Local\Temp\1041.bat
12/07/2011 [22:15.05] 27 {T2616} [dbg] Run process: "C:\Users\Xxx\AppData\Local\Temp\1041.bat"
12/07/2011 [22:15.05] 28 {T2616} [dbg] Run process: OK. Process id: 4624
12/07/2011 [22:15.05] 29 {T2616} Self delete batch script start: OK
(J'ai mis des xxx et enlevé la partie cryptée par sécurité)
Bien sure j'ai vidé les dossiers en question mais je voudrais savoir ...
pourquoi ces sites distant sont forbidden?
c'est quoi tcchecker, pssetup?
Dois-je formater mon poste?
Depuis mon iexplorer et firefox ont une barre d'outil et des plugin "my web search 1.2"
Quelqu'un sait quel genre de m... je viens d'attraper?
Merci de m'éclairer svp
A voir également:
- Backdoor
- Backdoor - Télécharger - Antivirus & Antimalwares
- Lenovo backdoor - Guide
9 réponses
salut oui ca s'attrappe en telechargeant des faux cracks qui ont la forme d'un CD gris
================================================
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
=====================================
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
mirroir :
http://www.archive-host.com
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
================================================
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
=====================================
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
mirroir :
http://www.archive-host.com
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Merci pour ta réponse,
Ok pour ad_remover, je vais essayer.
Pour le reste je n'aime pas trop faire confiance aveuglement alors que je ne comprend pas ce que je fais.
Je vais tenter d'analyser les résultats et de trouver comment supprimer les malwares que j'ai.
Merci de m'avoir répondu.
Encore une question: Si je continue de surfer, je risque de me faire piquer mes mots de passe et login? ou est ce principalement des pubs qui sont liés a ces infections?
Ok pour ad_remover, je vais essayer.
Pour le reste je n'aime pas trop faire confiance aveuglement alors que je ne comprend pas ce que je fais.
Je vais tenter d'analyser les résultats et de trouver comment supprimer les malwares que j'ai.
Merci de m'avoir répondu.
Encore une question: Si je continue de surfer, je risque de me faire piquer mes mots de passe et login? ou est ce principalement des pubs qui sont liés a ces infections?
salut
je n'aime pas trop faire confiance aveuglement alors que je ne comprend pas ce que je fais.
quand tu telecharges et executes des cracks , t'y vas et tu cliques volontiers non ?
pourtant tu ne comprends pas plus ce que tu fais non ? ^^
je n'aime pas trop faire confiance aveuglement alors que je ne comprend pas ce que je fais.
quand tu telecharges et executes des cracks , t'y vas et tu cliques volontiers non ?
pourtant tu ne comprends pas plus ce que tu fais non ? ^^
En effet, pas de quoi être fier d'avoir laissé lancer ce setup.exe (je n'ai pas parlé de crack).
Mais je ne suis pas programmeur... piètre excuse, je sais.
En fait je n'ai pas posté ce post pour qu'on m'aide à désinfecter ma machine mais plutôt pour savoir ce que je risque si je ne nettoie pas (Car à mon niveau, nettoyer = formater, je trouve ça plus rapide et simple), que font ces malwares ?
Mais je ne suis pas programmeur... piètre excuse, je sais.
En fait je n'ai pas posté ce post pour qu'on m'aide à désinfecter ma machine mais plutôt pour savoir ce que je risque si je ne nettoie pas (Car à mon niveau, nettoyer = formater, je trouve ça plus rapide et simple), que font ces malwares ?
S'introduire sur votre réseau local, enregistrer des données sur vous, enfin toutes les choses que font ces bêbêtes...
Certes le formatage est radical, mais la désinfection est plus grantifiante que de jeter l'éponge dès le début !
Ensuite continuer de surfer avec ça dans votre machine c'est un peu comme faire une cure thermale à Fukushima ou encore se balader avec une écharpe du PSG à Marseille... ^^
Certes le formatage est radical, mais la désinfection est plus grantifiante que de jeter l'éponge dès le début !
Ensuite continuer de surfer avec ça dans votre machine c'est un peu comme faire une cure thermale à Fukushima ou encore se balader avec une écharpe du PSG à Marseille... ^^
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
C'est ce que je pensais malheureusement.
Merci pour ta réponse.
J'ai déjà eu l'occasion de (tenter) désinfecter des postes mais je trouve ça très long (et mon boulot + les loisirs ne me laissent pas trop de tps pour mon pc).
En plus, je ne suis pas certains que mon nettoyage soit total.
Merci pour ta réponse.
J'ai déjà eu l'occasion de (tenter) désinfecter des postes mais je trouve ça très long (et mon boulot + les loisirs ne me laissent pas trop de tps pour mon pc).
En plus, je ne suis pas certains que mon nettoyage soit total.
Ok, merci à vous.
Je tenterai surement le coup plus tard, je vais suivre vos conseils et re-posterai. (pas trop le tps ces tps ci).
Et dans mon cas je ne pense pas que ma mémoire vive ou le bios soient touchés.
Je tenterai surement le coup plus tard, je vais suivre vos conseils et re-posterai. (pas trop le tps ces tps ci).
Et dans mon cas je ne pense pas que ma mémoire vive ou le bios soient touchés.
