Backdoor trojan

Merci Gorn,

mais en mode normal, il apparait mais ne peut être supprimer. Il y a une procédure que préconise Symantec où il faut supprimez la sélection " masquer les fichiers protégés du sytème d'exploitation" et alors là apparaît un message qui dit que si on confirme cette action, l'ordinateur peut devenir inutilisable. Pourtant Symantec le préconise. Est-ce un pile ou face.
Je ne suis pas très calée en la matière.
mais comme les messages qui suivent ma question, j'ai le même problème. Des fenêtres norton se multiplient en signalant ce fichier.
Merci de pouvoir nous aider
Yoana

re

J'ai fais un scn avec HouseCall , voici ce qu'il a trouvé :

TROJ STARTPAG.AC non cleanable dans C:\\Program Files Windows Med...
" " C;\\Windows\system32\notepa...

TROJ. P2E.G " C:\\Windows\p2eso
TROJ. DELF.RA " " \2_0_1browserh
TROJ. KILLREG.D " " \autoclk.exe
TROJ.AGENT.AU " " \crir.exe
TROJ.SMALL.KG " " \msopt.dll
TROJ.STARTPAG.AC " " \notepad.exe.bak

voilà, qu'en penses-tu? Peut-on espérer.
@++++

merci pour ton aide Balltrap...

Je n'ai pas pu répondre avant (parti acheter des meubles pour la chambre du bébé à naître).
Malheureusement, je ne peux pas poser le fichier infecté (Sytem32\win.dll) sur le bureau puisqu'il est introuvable. Il n'est repéré que par NORTON -(et encore pas au scan).

Un doute: j'ai le sentiment que si les termes Backdoor et Trojan sont en principe génériques
, les termes de Backdoor.Trojan désignent aussi UN
trojan spécifique pour Norton. Parmi les patch de symantec, il y en a un (Fix autoupder je crois) qui est censé l'éradiquer (mais ce patch ne marche pas chez moi: il s'arrête avant de finir). Et le technicien de symantec que j'ai eu rapidement en ligne , s'il n'avait pas la solution, avait bien l'air de connaître le problème "backdoor.trojan".

Vraiment ce trojan, ça sent mauvais.

Autant pour moi Balltrap. J'ai lu ton message de travers.

Avec l'aide précieuse du technicien que j'ai déjà eu en ligne l'autre jour, j'ai donc finalement téléchargé le programme et fait un scan.
Le résultat était le suivant:

-----------------------------

--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--

23/07/2004
15:43

System Info:

Microsoft Windows XP [version 5.1.2600]
C: "PRESARIO" (4087:2519) - FS:NTFS clusters:4k
Total: 75 819 659 264 [71G] - Free: 67 449 401 344 [63G]


*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;Q823353;



Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\SYSTEM32\WIN.DLL +++ File read error
\\?\C:\WINDOWS\System32\WIN.DLL +++ File read error


Scanning for main Hijacker:


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\win.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2921E640-7CBB-49B1-937A-906382DD6A10}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{0EE81DDD-A6C9-4BF1-B940-22025B55A9B4}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{0EE81DDD-A6C9-4BF1-B940-22025B55A9B4}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"


! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\win.dll

*Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM

-------------------------------------------------------------


Après cela, j'ai essayé la procédure que tu as indiquée au message 23 (taper 2, puis 1 puis le nom du fichier non targeté). Puis redémarrer. Puis re scan.

Mais ça ne semble rien donner: le rapport du scan reste le même.

Je suis perplexe. Si tu as une idée, merci d'avance.



Vincent

En un mot: le problème c'est que le programme ne redémarre pas tout seul (si j'ai bien compris c'est ce qui aurait dû se passer, mais là c'est moi qui redémarrait; le programme reste inédiniment sur "deleting keys"...