Backdoor agent b.a

eric -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
bonjour a tous !
j ai chopé ce virus: trojant horse backdoor agent b.a
il est logé dans windows/systeme32/wincdkp/dll
mon anti virus AVG6.0 le repere mais ne l enleve pas!
j ai essaye plusieurs solution lu sur ce forum : anti trojant, spybot,
demarrage sans echec, cleaner... mais rien a faire !
virus toujours la !
si quelqu' un peut m aider ! par avance MERCI ! car je rame depuis 4 jours! dans l attente de conseils salut !

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection Trojan backdoor est décrite, logée dans Windows System32 et associant plusieurs DLL douteuses comme D3DNHAK.DLL et WINCDKP.DLL, avec des symptômes visibles dans l’interface et les outils système.
Plusieurs solutions ont été évoquées, notamment l’utilisation de dllfix avec les options run fix puis fix, le redémarrage et l’analyse antivirus, ainsi que le recours à AdAware, CWShredder et d’autres nettoyeurs.
D’autres approches incluent la désactivation de la restauration système, la suppression manuelle dans la base de registre et l’usage d’outils de nettoyage après redémarrage; des configurations et noms de DLL spécifiques apparaissent dans les retours.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. BmV Messages postés 43687 Date d'inscription   Statut Modérateur Dernière intervention   4 963
     
    Salut.
    T'as un firewall ?
    A tout hasasrd : http://sebsauvage.net/safehex.html
    A+

    -=O(_BmV_)O=-  L'amour comme épée,
          ||       ||       l'humour comme bouclier. 
    0
    1. eric
       
      salut bmv!
      oui j ai un firewall depuis hier mais une fois activé il m enpeche l acces a internet !
      0
  2. eric
     
    pardon, je rectifie l acces internet fonctionne de nouveau avec le firewall activé! Mais le trojant est toujours là!!
    please HELP !!!!
    par avance merci....
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    fait scan pour le localiser exactement
    Faite scan en ligne et coller le rapport ici sur le post
    utiliser l'antivirus en ligne suivant :
    http://www.ravantivirus.com/scan/
    Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

    Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
    A la fin de l'analyse, copier/coller le rapport ici.

    --------------------
    mes vrai passion la chasse et le balltrap
    0
  4. eric
     
    salut balltrap34! et merci de ta reponse !
    le scan me donne :
    ...Scan started at 17/07/2004 16:46:14

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\reault eric\Local Settings\Temporary Internet Files\Content.IE5\J5NGOMCW\classload[1].jar->GetAccess.class - Trojan:Java/ClassLoader -> Infected
    C:\Documents and Settings\reault eric\Local Settings\Temporary Internet Files\Content.IE5\J5NGOMCW\classload[1].jar->InsecureClassLoader.class - Java/Bytverify -> Infected
    C:\Documents and Settings\reault eric\Local Settings\Temporary Internet Files\Content.IE5\J5NGOMCW\classload[1].jar->Installer.class - TrojanDownloader:Java/OpenConnection.F -> Infected

    Scanned
    ============================
    Objects: 6326
    Directories: 727
    Archives: 151
    Size(Kb): 801683
    Infected files: 3

    Found
    ============================
    Viruses found: 3
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 68
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    por ces 3
    tu click sur demarrer/panneaux de configuration/option internet
    une fenetre s ouvre tu click sur supprime les fichiers
    une nouvelle petite fenetre s ouvre tu coche effacer tous le contenu hors connection et click ok

    pour celui qui est dans se fichier
    windows/systeme32/wincdkp/dll
    tu demarre en mode sans echec et tu le supprime

    --------------------
    mes vrai passion la chasse et le balltrap
    0
  7. eric
     
    merci balltrap34!
    pour les 3 qui etaient dans temp/internet !
    par contre je ne peux pas supprimer celui qui est toujours dans wincdkp/dll meme en mode sans echec IL m affiche dossier protégé en ecriture !
    d autre proposition ? PAR AVANCE MERCI!
    0
  8. Utilisateur anonyme
     
    salut essau de le suprimer avec the kill box

    comme ceci

    Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
    salut
    essai avec ceci
    Télécharge "TheKillBox" sur :
    http://download.broadbandmedic.com/

    Pose-le sur ton bureau. Lance-le.
    Dans "Paste full path of file.." ->copie/colle:
    (le chemin du fichier) donc t'ecrit :
    windows/systeme32/wincdkp/dll

    Décoche "Create backup.."

    Clique "Kill File".

    Redémarre.

    NB : si ca marche pas en mode normal essay en mode sans echec
    @+++++++++++
    0
  9. eric
     
    salut a vous !
    kill box me supprime le fichier mais apres redemarrage le fichier
    windows/systeme32/wincdkp/dll est en fait toujours là!
    et le trojan aussi!!! idem en mode sans echec !!!
    a moins d avoir d autres propositions , je dois etre bon pour un
    formatage!!!
    0
  10. Utilisateur anonyme
     
    salut essay comme ceci et dit moi ce que ca donne

    donc tu ouvre ta killbox

    click sur "action" ensuite click "delete on reboot"
    une nouvelle fenetre s'ouvre tu click sur " file" ensuite clicksur "add file".
    tu selectione le chemin du virus

    (dans la meme fenetre ) click "action" et puis click" process and reboot".
    normalement au redemarage il va le suprime
    @++++++++++++++++++

    si apres redemarage le virus et tjr la alors essay ca

    tu ouvre le registre
    demarrer/executer et tape : regedit

    va dans
    'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
    'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices'
    'HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
    regarde a droite, si tu trouve le nom du virus tu le suprime

    ferme le registre ensuite a l'aide de l'explorer suprime wincdkp/dll
    et tu vide ta corbeille

    n'oublie pas de desactiver ta restauration si t'as le xp

    @+++
    @++++++++++
    0
  11. eric
     
    salut jess15!
    les 2 nouvelles solutions ne donne rien!!!
    avec la killbox au redemarage le fichier est toujours là!
    et avec regedit le nom du trojan n' est pas affiché!
    il est très dur a virer! que faire?????
    @+ .....
    0
  12. jean louis
     
    Salut
    Dans exécuter tape msconfig regarde dans démarer tu devrais avoir un prog inconu décoche cette case aprés tu pouvoir enlever cet intrus.
    A+
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    fait ceci
    http://membres.lycos.fr/aricop/forum/dllfix.exe

    -Pose-le sur le bureau.
    -Double-clique.
    -Décompresse-le sur le bureau.
    -Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
    -Une fois la recherche terminée, un fichier txt doit apparaître sous
    le nom "Output.txt" et sera sauvegardé dans le dossier.
    -Copie/colle le contenu de "Output.txt" dans ta réponse.

    --------------------
    mes vrai passion la chasse et le balltrap
    0
  14. eric
     
    salut jean louis et merci!
    mais il n y a pas de programme inconnu dans ms config!
    pour balltrap34: une fois dllfix installé et décompréssé je ne trouve
    pas start.bat ??
    HELP..
    0
  15. eric
     
    autant pour moi balltrap34 je crois avoir reussi --==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
    --==***@@@ ORIGINAL BY FREEATLAST @@@***==--

    18/07/2004
    22:01

    System Info:

    Microsoft Windows XP [version 5.1.2600]
    C: "" (3405:4636) - FS:NTFS clusters:4k
    Total: 80 015 491 072 [75G] - Free: 76 700 618 752 [71G]

    *IE version and Service packs:
    6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
    *Notepad version :
    5.1.2600.0 C:\WINDOWS\system32\notepad.exe
    5.1.2600.0 C:\WINDOWS\notepad.exe
    *Media Player version :
    8.0.0.4490 C:\Program Files\Windows Media Player\wmplayer.exe

    ! REG.EXE VERSION 2.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;

    Locked or 'Suspect' file(s) found...
    These may be other files that Dllfix doesnt target.
    \\?\C:\WINDOWS\System32\WINCDKP.DLL +++ File read error
    \\?\C:\WINDOWS\System32\WINCDKP.DLL +++ File read error

    Scanning for main Hijacker:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""
    "DeviceNotSelectedTimeout"="15"
    "GDIProcessHandleQuota"=dword:00002710
    "Spooler"="yes"
    "swapdisk"=""
    "TransmissionRetryTimeout"="90"
    "USERProcessHandleQuota"=dword:00002710

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{243B17DE-77C7-46BF-B94B-0B5F309A0E64}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC}]

    REGEDIT4

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
    @="AP Class Install Handler filter"
    "CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
    @="AP Deflate Encoding/Decoding Filter "
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
    @="AP GZIP Encoding/Decoding Filter "
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
    @="AP lzdhtml encoding/decoding Filter"
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
    @="WebView MIME Filter"
    "CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

    ! REG.EXE VERSION 2.0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_Dlls REG_SZ

    *Security settings for 'Windows' key:

    RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
    Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
    This program is Freeware, use it on your own risk!

    Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs
    (ID-NI) ALLOW Full access BUILTIN\Administrateurs
    (ID-IO) ALLOW Full access BUILTIN\Administrateurs
    (ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

    Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
    Read BUILTIN\Utilisateurs
    Full access BUILTIN\Administrateurs
    Full access AUTORITE NT\SYSTEM

    j espere que ca te va ? pour moi c est du charabia!!! @+
    0
  16. ERIC
     
    Windows XP Detected
    Running from C:\Documents and Settings\reault eric\Bureau\dllfix
    Scanning for Locked File
    If this repeats 4 times than you may have another
    Locked File not related to About:blank Hijack
    Unlocking Locked File

    C:\WINDOWS\System32\WINCDKP.DLL
    Unlocking Locked File

    C:\WINDOWS\System32\WINCDKP.DLL
    Unlocking Locked File

    C:\WINDOWS\System32\WINCDKP.DLL
    Unlocking Locked File

    C:\WINDOWS\System32\WINCDKP.DLL
    Scanning For main hijacker.
    Scanning for Hidden Dll in system32 1st pass
    File was not found on first Pass.

    Scanning for Hidden Dll in system32 2nd pass
    File found was: C:\WINDOWS\System32\WINCDKP.DLL

    Md5 Check of C:\WINDOWS\System32\WINCDKP.DLL

    Md5 tested As
    File was found but md5 didnt match
    MD5 was:
    Resetting file attributes
    Processing ACL of: <\\?\C:\WINDOWS\System32\WINCDKP.DLL>

    SetACL finished successfully.
    File was zipped for submission to Shadowwar
    File is located at C:\Documents and Settings\reault eric\Bureau\dllfix\submit.zip
    please Email a copy to spywaresubmit at aol.com
    Please include a link to your post.
    File is still in original location now unlocked.
    It is now ok to proceed with Rest of Cleanup.

    Adding Back Windows Key

    L'opération s'est bien déroulée

    Restoring Registry Hive

    L'opération s'est bien déroulée

    Restoring Cleaned Appinit Value

    L'opération s'est bien déroulée
    0
    1. Yann
       
      Salut Eric, j'ai le même virus que toi, peux tu me dire quel truc finalemnt à marché pour virer ce virus, je suis nul en informatique et j'ai pas tout suivi de votre discussion ?
      Merci
      Yann
      0
      1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > Yann
         
        salut
        commence par faire ce que j ai mis au n°13

        la chasse et la balltrap ma vrai passion
        voir site perso dans profil
        0
      2. Yann > balltrap34 Messages postés 16241 Statut Contributeur sécurité
         
        --==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
        --==***@@@ ORIGINAL BY FREEATLAST @@@***==--

        20/07/2004
        11:35

        System Info:

        Microsoft Windows XP [version 5.1.2600]


        *IE version and Service packs:
        *Notepad version :
        *Media Player version :


        Locked or 'Suspect' file(s) found...
        These may be other files that Dllfix doesnt target.
        Le systŠme ne peut ex‚cuter le programme sp‚cifi‚.
        Le systŠme ne peut ex‚cuter le programme sp‚cifi‚.


        Scanning for main Hijacker:


        *Security settings for 'Windows' key:

        Voilà !!
        Yann
        0
      3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > Yann
         
        re
        a mon avis tu as diu commetre une erreur je ne comprend pas
        recommence dllfix mais suis bien les indications du post n°13

        la chasse et la balltrap ma vrai passion
        voir site perso dans profil
        0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    -Relance "dllfix.exe" du début. Cette fois-ci option "2 : run fix"

    Sous menu "1- Enter dll name..."

    Tu rentres le nom : C:\WINDOWS\System32\WINCDKP.DLL
    Touche entrée.

    -Il va la chercher et la supprimer après un redémarrage.

    -Passer CoolWebSchredder : ->Fix.
    http://www.spywareinfo.com/~merijn/files/CWShredder.exe

    il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next

    -Passer AdAware et supprimer tout ce qu'il trouvera.
    http://www.ordi-netfr.org/tutorialadaware.html
    (Passer CWS et AdAware impérativement, même si ça a été fait avant!)

    --------------------
    mes vrai passion la chasse et le balltrap
    0
    1. lucke
       
      Merci, Balltrap, ça fait trois jours que j'essaie de me débarrasser de cette....chose.
      T'es génial!!!!!!!!!!!!!!!!!!
      0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ok si ca a marcher content pour toi
    a++

    la chasse et la balltrap ma vrai passion
    voir site perso dans profil
    0
  19. eric
     
    BRAVO!!!
    en plus apparament t'as fais 2 heureux !!
    luke t' as remercier ...mais moi non car je viens juste de terminer
    la procédure .... et ca a marché !!!
    fichier wincdkp.dll SUPRIMER !!!! trojan PARTI !!!!!!!!!!!
    alors a toi MONSIEUR balltrap34 un GRAND merci pour ton aide et ta patience @+
    eric .
    0
  20. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    merci
    et cest vous qui avez fait le boulot je ne vous est donner que la marche a suivre
    a++

    la chasse et la balltrap ma vrai passion
    voir site perso dans profil
    0
  21. cyril
     
    WAOU... bonjour a tous moi j'ai un autre probleme c'est el trojan bacck door agent 2 H qui s'est logé dans C:\System Volume Information\_restore{A472..... et se termine par .exe impossible de le virer. Une solution ?
    0
  • 1
  • 2
  • 3