Backdoor:Win32/Rbot.OE - Page 5
Résolu
Précédent
- 1
- 2
- 3
- 4
- 5
SALUT
OUI c est moi qui avais instale les 2 , un client voulais la fonction snapshot sur son site , et pour controler et le mettre en place je les ai instale!
bon je vais faire le scan A+
RAD
OUI c est moi qui avais instale les 2 , un client voulais la fonction snapshot sur son site , et pour controler et le mettre en place je les ai instale!
bon je vais faire le scan A+
RAD
Salut à tous
RAD ZONE,
Pour les vues de l'outil MRT au demarrage:
L'outil Microsoft propose lorsqu'on le lance 3 types d'analyses possibles :
rapide, complète ou personnalisée
Si tu as choisis au départ une analyse rapide et que la suppression de Rbot.OE s'est faite à ce moment là, les popups de l'outil au démarrage sont là pour te rappeler qu'une infection à été supprimé et surement te proposer un scan complet avec l'outil ou un av.
C'est le cas ?
Essaye de faire ce petit test, relance l'outil microsoft et cette fois choisis l'analyse complète.
Normalement il ne devrait plus rien te détecter en fin de scan.
Redemarre ensuite le pc et dis nous si tu as encore le même message.
Quoi qu'il en soit ça ressemble juste à un popup d'information concernant une infection déjà supprimé et de mémoire il me semble que cet outil n'a pas de fonction qui lui permette de scanner le pc automatiquement au démarrage, donc je vois mal comment il pourrait de lui même détecter quelque chose sans qu'on ne lui ait rien demandé :-)
Pour ma part je ne crois pas que tu réussiras à retrouver SysTraymon.exe, car déjà supprimé par l'outil microsoft, mais ça n'engage que moi :-)
Quant à snap_shots_ie[1].exe :
Ouvre un dossier, n'importe lequel ça n'a pas d'importance.
Dans la barre d'adresse copie et colle ceci :
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5
Valide avec Entrée.
Ca aura pour effet d'ouvrir et te positionner dans le dossier Content.IE5 qui lui contient le dossier N0IKLY07.
A l'intérieur de ce dossier N0IKLY07 tu devrais facilement retrouver snap_shots_ie[1].exe pour pouvoir l'uploader.
@+ et bonne continuation
ps:
Concernant le petit [1], je vais surement dire une betise, mais ne serait-ce pas tout simplement le signe d'une MàJ
Salut jorginho67, possible que tu ais raison et que ce soit relatif à une maj ou bien que ce soit le fichier installeur lui même .
Je m'explique lol, le petit [1] après le nom du fichier signifie que ce fichier à été téléchargé/enregistré/exécuté directement à partir du dossier Temporary Internet Files, fais le test toi même en allant jeter un oeil du côté du contenu du dossier Content.IE5 et tu verras que pratiquement tous les fichiers internet temporaires ont ce petit signe distinctif juste avant l'extension :-)
Donc au final, mis à part une concordance entre les date de création de ce fichier et du dossier c:\Program files\Snap Shots difficile de dire s'il provient exactement de l'installation ou d'une mise à jour.
Mais bon, à la base ce prog est clean... :-)
RAD ZONE,
Pour les vues de l'outil MRT au demarrage:
L'outil Microsoft propose lorsqu'on le lance 3 types d'analyses possibles :
rapide, complète ou personnalisée
Si tu as choisis au départ une analyse rapide et que la suppression de Rbot.OE s'est faite à ce moment là, les popups de l'outil au démarrage sont là pour te rappeler qu'une infection à été supprimé et surement te proposer un scan complet avec l'outil ou un av.
C'est le cas ?
Essaye de faire ce petit test, relance l'outil microsoft et cette fois choisis l'analyse complète.
Normalement il ne devrait plus rien te détecter en fin de scan.
Redemarre ensuite le pc et dis nous si tu as encore le même message.
Quoi qu'il en soit ça ressemble juste à un popup d'information concernant une infection déjà supprimé et de mémoire il me semble que cet outil n'a pas de fonction qui lui permette de scanner le pc automatiquement au démarrage, donc je vois mal comment il pourrait de lui même détecter quelque chose sans qu'on ne lui ait rien demandé :-)
Pour ma part je ne crois pas que tu réussiras à retrouver SysTraymon.exe, car déjà supprimé par l'outil microsoft, mais ça n'engage que moi :-)
Quant à snap_shots_ie[1].exe :
Ouvre un dossier, n'importe lequel ça n'a pas d'importance.
Dans la barre d'adresse copie et colle ceci :
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5
Valide avec Entrée.
Ca aura pour effet d'ouvrir et te positionner dans le dossier Content.IE5 qui lui contient le dossier N0IKLY07.
A l'intérieur de ce dossier N0IKLY07 tu devrais facilement retrouver snap_shots_ie[1].exe pour pouvoir l'uploader.
@+ et bonne continuation
ps:
Concernant le petit [1], je vais surement dire une betise, mais ne serait-ce pas tout simplement le signe d'une MàJ
Salut jorginho67, possible que tu ais raison et que ce soit relatif à une maj ou bien que ce soit le fichier installeur lui même .
Je m'explique lol, le petit [1] après le nom du fichier signifie que ce fichier à été téléchargé/enregistré/exécuté directement à partir du dossier Temporary Internet Files, fais le test toi même en allant jeter un oeil du côté du contenu du dossier Content.IE5 et tu verras que pratiquement tous les fichiers internet temporaires ont ce petit signe distinctif juste avant l'extension :-)
Donc au final, mis à part une concordance entre les date de création de ce fichier et du dossier c:\Program files\Snap Shots difficile de dire s'il provient exactement de l'installation ou d'une mise à jour.
Mais bon, à la base ce prog est clean... :-)
???? impossible de scane avec bit defender ???
Apres l acceptation de l active x , il as voulu remplacer quelque chose du dernier scan online qu il avait fais
et depuis il bug ??
RAD
Apres l acceptation de l active x , il as voulu remplacer quelque chose du dernier scan online qu il avait fais
et depuis il bug ??
RAD
SALUT
MERCI MOE
je suis en train de faire tourner MRT
Quant à snap_shots_ie[1].exe :
Ouvre un dossier, n'importe lequel ça n'a pas d'importance.
Dans la barre d'adresse copie et colle ceci :
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5
Valide avec Entrée.
c est bien de cette maniere que je l ai cherche ! mais je ne trouve aucun dossier N0IKLY07
donc evidement pas de snapshot ie ??
DOSSIER IE5
RAD
MERCI MOE
je suis en train de faire tourner MRT
Quant à snap_shots_ie[1].exe :
Ouvre un dossier, n'importe lequel ça n'a pas d'importance.
Dans la barre d'adresse copie et colle ceci :
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5
Valide avec Entrée.
c est bien de cette maniere que je l ai cherche ! mais je ne trouve aucun dossier N0IKLY07
donc evidement pas de snapshot ie ??
DOSSIER IE5
RAD
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
BON VOILA
effectivement comme tu le presentais Moe , le MRT n a rien trouve !!!
donc si je comprend bien , je vous prend la tete depuis une semaine pour un probleme regle
depuis pres d un mois ??????
BRAVO Microdaube !!!!!!!!!!!!!!!!
franchement quel est l interet de prevenir d une desinfection effectue depuis 1 mois ?
heureusement que les firewall ou antivirus "normeaux" ne font pas de meme ;-)))
enfin j attend quand meme vos confirmations pour savoir si c est regle? ! et si je desactive cette M@ù$DE de MRT !
MERCI ENCORE MILLE FOIS DE VOTRE PATIENCE ET AIDE
ps: a voir pour le probleme snapshot ie si je dois fare quelque chose ou si on peu laisse glisser ? car vraiment je ne les trouve pas ???
A+
RAD
effectivement comme tu le presentais Moe , le MRT n a rien trouve !!!
donc si je comprend bien , je vous prend la tete depuis une semaine pour un probleme regle
depuis pres d un mois ??????
BRAVO Microdaube !!!!!!!!!!!!!!!!
franchement quel est l interet de prevenir d une desinfection effectue depuis 1 mois ?
heureusement que les firewall ou antivirus "normeaux" ne font pas de meme ;-)))
enfin j attend quand meme vos confirmations pour savoir si c est regle? ! et si je desactive cette M@ù$DE de MRT !
MERCI ENCORE MILLE FOIS DE VOTRE PATIENCE ET AIDE
ps: a voir pour le probleme snapshot ie si je dois fare quelque chose ou si on peu laisse glisser ? car vraiment je ne les trouve pas ???
A+
RAD
RAD
Je pense qu'il serait bon de connaître l'avis de ces gens .
Personnellement, je répondrais à cette "invitation" : « mais j ai un message me demandant d envoyer un message au webmaster de bitdefender onlinescan ?? que le probleme vient d eux ???? »
Il en va de la confiance accordée des milliers de fois par jour à cet outil. (à ajouter à ta demande).
Al.
Je pense qu'il serait bon de connaître l'avis de ces gens .
Personnellement, je répondrais à cette "invitation" : « mais j ai un message me demandant d envoyer un message au webmaster de bitdefender onlinescan ?? que le probleme vient d eux ???? »
Il en va de la confiance accordée des milliers de fois par jour à cet outil. (à ajouter à ta demande).
Al.
Ai
je referais une tentative de scan demain matin au reveil :-))
si j ai toujours le probleme j enverais un mail au webmaster de bitdefender
toujour en attente d avis pour mon probleme !
A+
RAD
je referais une tentative de scan demain matin au reveil :-))
si j ai toujours le probleme j enverais un mail au webmaster de bitdefender
toujour en attente d avis pour mon probleme !
A+
RAD
Salut
Si tu veux mon avis le fichier snap_shots_ie[1].exe, n'existe plus depuis belle lurette, n'en persiste qu'une trace au niveau du registre.
Pas plus que Win32/Rbot.OE, déjà supprimé par l'outil Microsoft.
Maintenant ce n'est que mon avis et déductions perso au vu des éléments que tu as fournis RAD ZONE et qui me semble pour ma part confirmer cette hypothèse.
Afideg, je te sens un peu dubitatif ?, non ?
Ce ne sont que mes propres déductions et donc pas forcément à prendre pour argent comptant :-)
Si tu as d'autres pistes à creuser ou vérifier, fonce :-)
@++ et bonne continuation.
Si tu veux mon avis le fichier snap_shots_ie[1].exe, n'existe plus depuis belle lurette, n'en persiste qu'une trace au niveau du registre.
Pas plus que Win32/Rbot.OE, déjà supprimé par l'outil Microsoft.
Maintenant ce n'est que mon avis et déductions perso au vu des éléments que tu as fournis RAD ZONE et qui me semble pour ma part confirmer cette hypothèse.
Afideg, je te sens un peu dubitatif ?, non ?
Ce ne sont que mes propres déductions et donc pas forcément à prendre pour argent comptant :-)
Si tu as d'autres pistes à creuser ou vérifier, fonce :-)
@++ et bonne continuation.
SALUT
Moe et tout les autres !
merci , c est bien ce que je commencais a penser !! ces infections semblent etre nettoye mais le MRT
continu a envoyer le message !
je vais desactiver MRT
je laisse ce post non resolus ! si quelqu un as une idee ou peut confirmer l opinion de Moe (qui est aussi la mienne ) !!
je remercie encore tout ceux qui mon aide sur ce forum ( afideg,Moe, jorginho67, ect) ,et sur d autre forum , qui ce sont penche sur mon probleme
et mon apporte des solutions ,
je suis le post et attend d eventuels idees , ou la confirmation definitive de la resolution :_))
si l un d entre vous a un jour un probleme de creation site web , je serais ravis de vous apporter mon aide ( si je peux (-: !) sur le forum Webmastering
A+
RAD
Moe et tout les autres !
merci , c est bien ce que je commencais a penser !! ces infections semblent etre nettoye mais le MRT
continu a envoyer le message !
je vais desactiver MRT
je laisse ce post non resolus ! si quelqu un as une idee ou peut confirmer l opinion de Moe (qui est aussi la mienne ) !!
je remercie encore tout ceux qui mon aide sur ce forum ( afideg,Moe, jorginho67, ect) ,et sur d autre forum , qui ce sont penche sur mon probleme
et mon apporte des solutions ,
je suis le post et attend d eventuels idees , ou la confirmation definitive de la resolution :_))
si l un d entre vous a un jour un probleme de creation site web , je serais ravis de vous apporter mon aide ( si je peux (-: !) sur le forum Webmastering
A+
RAD
Bonjour TLM
Salut mOe,
Récapitulatif me concernant:
Post # 22 (ma première intervention): « C'est quoi ces trucs :
O2 - BHO: Snap Shots - {BB81C3DB-2DEA-4AE9-96B3-13E6661FF03B} - C:\Program Files\Snap Shots\snapbar1.dll
O3 - Toolbar: Snap Shots - {8CD8EA48-D284-477E-B6DF-85D1E39D855F} - C:\Program Files\Snap Shots\snapbar1.dll »
Post # 41 (ma seconde intervention): « RAD ZONE, y a-t-il un dossier de sauvegarde dans ce "foutu" outil de supression des malwares microsoft ===> L'outil crée un fichier journal nommé mrt.log. Ce fichier est placé dans le dossier %WINDIR%\debug ( C:\WINDOWS\ ). »
Post # 42 (réponse de RAD ZONE): « Quick Scan Results: ----------------
Found virus: Backdoor:Win32/Rbot.OE in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor
Found virus: Backdoor:Win32/Rbot.OE in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor
Found virus: Backdoor:Win32/Rbot.OE in file://C:\WINDOWS\system32\SysTraymon.exe
Quick Scan Removal Results ----------------
Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor Operation succeeded !
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor Operation succeeded !
Start 'remove' for file://\\?\C:\WINDOWS\system32\SysTraymon.exe Operation succeeded !
Results Summary: ---------------- Found Backdoor:Win32/Rbot.OE and Removed!
Post # 45: « Je ne comprends pas qu'on puisse en arriver là avec de tels outils:
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
Post # 54: « A)- Je ne sais pas résoudre cette question; sauf à désactiver ce Microsoft Windows Malicious Software Removal Tool v1.37 qui fiche tout ce qui ne lui plaît pas »
Post # 57: « Tiens, un peu de lecture pour ce "Microsoft Windows Malicious Software Removal Tool " ("MRT" si je ne me trompe pas): < https://infomars.fr/forum/index.php?showtopic=1244 > »
Post # 59: « Toutefois, même si je hais "Microsoft Windows Malicious Software Removal Tool", il semble avoir supprimé SysTraymon.exe. Une vérification s'impose pour savoir si ce (SysTraymon.exe) qui provoque le réveil de MRT n'est pas dans le PC. »
Post # 80, j'en dis un peu plus sur "snap_shots_ie[1].exe"; et j'avais noté au post # 70 une similitude d'emplacement avec Content.IE5\0CY68U9U\sb_ads_1008[1].exe [DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
Donc, j'ai poursuivi pour en connaître davantage.
Je m'étais déjà fait une idée sur le rôle de MRT.
Ces formes proposées par Snap Shots, et par snap_shots_ie.exe 0.14 MB; et les questions restées en suspens sur la section (((( snapshot@2008-01-03_14.26.46.14 ))))))) de Combofix, m'intéressent particulièrement.
Je suis entièrement de ton avis (je ne suis nullement dubitatif); et j'ajouterai même qu'il faut supprimer MRT et vider C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files.
Content d'avoir pu suivre tes raisonnements qui m'en ont beaucoup appris.
Merci à RAD ZONE de nous avoir proposé cette recherche.
Bon W-E
Albert
Salut mOe,
Récapitulatif me concernant:
Post # 22 (ma première intervention): « C'est quoi ces trucs :
O2 - BHO: Snap Shots - {BB81C3DB-2DEA-4AE9-96B3-13E6661FF03B} - C:\Program Files\Snap Shots\snapbar1.dll
O3 - Toolbar: Snap Shots - {8CD8EA48-D284-477E-B6DF-85D1E39D855F} - C:\Program Files\Snap Shots\snapbar1.dll »
Post # 41 (ma seconde intervention): « RAD ZONE, y a-t-il un dossier de sauvegarde dans ce "foutu" outil de supression des malwares microsoft ===> L'outil crée un fichier journal nommé mrt.log. Ce fichier est placé dans le dossier %WINDIR%\debug ( C:\WINDOWS\ ). »
Post # 42 (réponse de RAD ZONE): « Quick Scan Results: ----------------
Found virus: Backdoor:Win32/Rbot.OE in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor
Found virus: Backdoor:Win32/Rbot.OE in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor
Found virus: Backdoor:Win32/Rbot.OE in file://C:\WINDOWS\system32\SysTraymon.exe
Quick Scan Removal Results ----------------
Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor Operation succeeded !
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor Operation succeeded !
Start 'remove' for file://\\?\C:\WINDOWS\system32\SysTraymon.exe Operation succeeded !
Results Summary: ---------------- Found Backdoor:Win32/Rbot.OE and Removed!
Post # 45: « Je ne comprends pas qu'on puisse en arriver là avec de tels outils:
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
Post # 54: « A)- Je ne sais pas résoudre cette question; sauf à désactiver ce Microsoft Windows Malicious Software Removal Tool v1.37 qui fiche tout ce qui ne lui plaît pas »
Post # 57: « Tiens, un peu de lecture pour ce "Microsoft Windows Malicious Software Removal Tool " ("MRT" si je ne me trompe pas): < https://infomars.fr/forum/index.php?showtopic=1244 > »
Post # 59: « Toutefois, même si je hais "Microsoft Windows Malicious Software Removal Tool", il semble avoir supprimé SysTraymon.exe. Une vérification s'impose pour savoir si ce (SysTraymon.exe) qui provoque le réveil de MRT n'est pas dans le PC. »
Post # 80, j'en dis un peu plus sur "snap_shots_ie[1].exe"; et j'avais noté au post # 70 une similitude d'emplacement avec Content.IE5\0CY68U9U\sb_ads_1008[1].exe [DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
Donc, j'ai poursuivi pour en connaître davantage.
Je m'étais déjà fait une idée sur le rôle de MRT.
Ces formes proposées par Snap Shots, et par snap_shots_ie.exe 0.14 MB; et les questions restées en suspens sur la section (((( snapshot@2008-01-03_14.26.46.14 ))))))) de Combofix, m'intéressent particulièrement.
Je suis entièrement de ton avis (je ne suis nullement dubitatif); et j'ajouterai même qu'il faut supprimer MRT et vider C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files.
Content d'avoir pu suivre tes raisonnements qui m'en ont beaucoup appris.
Merci à RAD ZONE de nous avoir proposé cette recherche.
Bon W-E
Albert
Euh
Cit. « je remercie encore tout ceux qui mon aide sur ce forum ,et sur d autre forum , qui ce sont penche sur mon probleme et mon apporte des solutions »
RAD, as-tu des liens de ces autres forums consultés SVP, afin d'étudier ces autres analyses ?
Merci d'avance
Al.
Cit. « je remercie encore tout ceux qui mon aide sur ce forum ,et sur d autre forum , qui ce sont penche sur mon probleme et mon apporte des solutions »
RAD, as-tu des liens de ces autres forums consultés SVP, afin d'étudier ces autres analyses ?
Merci d'avance
Al.
Non je n ai poste qu ici
mais je remerciais les personnes que certain d entre vous on consulte a droite et a gauche !! ;-))
RAD
mais je remerciais les personnes que certain d entre vous on consulte a droite et a gauche !! ;-))
RAD
Précédent
- 1
- 2
- 3
- 4
- 5
