Backdoor Agent.B

KATHERINE -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Merci d'aide une néophyte à résoudre son problème.
Norton m'indique la présence de BACKDOOR AGENT B.
Il n'y a rien avec Spyboot, rien avec Norton, ni avec Pest Patrol.
Ce message revient régulièrement. J'ai mis à jour Windows (XP pro. 5.1.2600) sans succès.
Que faut-il faire ?

9 réponses

  1. Badger Messages postés 591 Statut Contributeur 11
     
    salut,

    essaye ça :

    -->http://www.secuser.com/telechargement/index.htm#Stinger 0.7mo
    Stinger

    -->http://www.emsisoft.com/en/software/download 3.1 mo
    a² ( a mettre a jour )

    --------------------------------
    prévention :
    as tu un firewall ?
    -->http://www.inoculer.com/firewall5.php3
    ( firewall gratuit )

    --------------------------------
    a+
    0
    1. KATHERINE
       
      Merci de ton aide.
      Alors j'ai installé et scanné avec Springer : rien
      Avec a2, installation impossible (le lien n'existe pas)
      J'ai installé et utilise le firewall recommandé. Il est pratique et pas trop contraignant.
      Par contre, j'ai toujours mon alerte ...
      (fichier : WINDOWS\SYSTEME32\hlppgc.dll)
      Visiblement, tu en aideras plus d'un/une avec tes lumières !
      A bientôt,
      0
      1. Badger Messages postés 591 Statut Contributeur 11 > KATHERINE
         
        pour moi, le lien vers a² fonctionne...
        0
    2. darkcrystal33 Messages postés 3815 Statut Contributeur 193
       
      télécharge sysclean ici:
      http://fr.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com

      puis télécharge AVEU945.zip ici:
      ftp://files.trendmicro-europe.com/aveu/Pattern/AVEU945.zip

      dézippe ensuite AVEU945.zip et tu obtiendras le fichier lpt$vpn.945

      un fois obtenu le fichier lpt$vpn.945 tu lance sysclean.com

      et tu clique sur le bouton scan.

      a executer en mode sans échec et restauration système désactivée afin de pouvoir effectuer un nettoyage complet.
      http://fr.trendmicro-europe.com/enterprise/support/pattern.php
      0
    3. KATHERINE
       
      La deuxième page est indisponible ...
      0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    essai de le suppr en mode sans echec avec ceci
    Télécharge "TheKillBox" sur :
    http://download.broadbandmedic.com/

    Pose-le sur ton bureau. Lance-le.
    Dans "Paste full path of file.." ->copie/colle:
    le chemin complet du fichier ex c:windows/systeme32/xxx.dll

    Décoche "Create backup.."

    Clique "Kill File".

    Redémarre.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  3. rabs
     
    J'ai un message de norton qui dit que j'ai un virus backdoor.agent.b et le fichier infecter est: CTLJK.dll. Mais quand je vais dans le répertoire que norton indique, je ne vois pas ce fichier. J'ai essayer des antitrojan pis des antivirus pis le "%/%/!$ de message de virus réapparait quand meme.
    QUe faire???
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut rabs
    deja regarde ca
    http://pageperso.aol.fr/Balltrap34/a+voir.gif
    ensuite a tu essayer celui ci
    utilise cet anti trojan A2
    http://www.emsisoft.net/fr/
    penser a le metre a jour avant de scanner le pc
    ---------------------------------

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. rabs
       
      J'ai essayer d'Aller sur la page personnelle, mais ca ne marche pas. De plus, j'ai fait un scan avec a2 pis ca ne marche pas non plus. Il est toujours là.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    c est bizzard a2 a ce trojan dans sa base de donnees tu la mis a jour avant de scanner avec

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. rabs
       
      Oui je l'ai mis a jour. J'ai essayer un scan avec a2, norton, rav.., j'ai fait un killbox pis y a toujours le message qui réapparait. Chu vraiment a la veille de lancer mon ordi sur le mur.
      0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    demarre en mode sans echec et essaie de trouver et suppr ceci
    CTLJK.dll

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. rabs
       
      J'ai essayer, mais je ne vois pas le fichier. Il est invisible.
      0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    fait ceci pour voir et met moi le rapport
    http://pageperso.aol.fr/Balltrap34/aa.exe

    -Pose-le sur le bureau.
    -Double-clique.
    -Décompresse-le sur le bureau.
    -Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
    -Une fois la recherche terminée, un fichier txt doit apparaître sous
    le nom "Output.txt" et sera sauvegardé dans le dossier.
    -Copie/colle le contenu de "Output.txt" dans ta réponse.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. rabs
       
      --==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
      --==***@@@ ORIGINAL BY FREEATLAST @@@***==--

      2004-08-01
      21:48

      System Info:

      Microsoft Windows XP [version 5.1.2600]
      C: "" (94CF:E790) - FS:NTFS clusters:4k
      Total: 40 015 953 920 [37G] - Free: 19 923 537 920 [19G]


      *IE version and Service packs:
      6.0.2600.0 C:\Program Files\Internet Explorer\Iexplore.exe
      *Notepad version :
      5.1.2600.0 C:\WINDOWS\notepad.exe
      *Media Player version :
      9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe

      ! REG.EXE VERSION 2.0

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
      MinorVersion REG_SZ ;SP1;Q810847;Q813951;Q813489;Q330994;Q818529;Q822925;Q828750;Q824145;Q832894;Q837009;Q831167;Q823353;Q867801;



      Locked or 'Suspect' file(s) found...
      These may be other files that Dllfix doesnt target.
      \\?\C:\WINDOWS\System32\CTLJK.DLL +++ File read error
      \\?\C:\WINDOWS\System32\CTLJK.DLL +++ File read error


      Scanning for main Hijacker:


      REGEDIT4

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "DeviceNotSelectedTimeout"="15"
      "GDIProcessHandleQuota"=dword:00002710
      "Spooler"="yes"
      "swapdisk"=""
      "TransmissionRetryTimeout"="90"
      "USERProcessHandleQuota"=dword:00002710
      "AppInit_DLLs"="C:\\WINDOWS\\System32\\ctljk.dll"

      REGEDIT4

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
      @=""

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0494D0D1-F8E0-41ad-92A3-14154ECE70AC}]
      @="myBar BHO"

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7B55BB05-0B4D-44fd-81A6-B136188F5DEB}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
      @="NAV Helper"

      REGEDIT4

      [HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

      [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
      "CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

      [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
      "CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

      [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
      "CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

      [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
      @="AP Class Install Handler filter"
      "CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

      [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
      @="AP Deflate Encoding/Decoding Filter "
      "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

      [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
      @="AP GZIP Encoding/Decoding Filter "
      "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

      [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
      @="AP lzdhtml encoding/decoding Filter"
      "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

      [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
      @="WebView MIME Filter"
      "CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"


      ! REG.EXE VERSION 2.0

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
      AppInit_Dlls REG_SZ C:\WINDOWS\System32\ctljk.dll

      *Security settings for 'Windows' key:


      RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
      Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
      This program is Freeware, use it on your own risk!

      Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
      (ID-NI) ALLOW Read BUILTIN\Utilisateurs
      (ID-IO) ALLOW Read BUILTIN\Utilisateurs
      (ID-NI) ALLOW Full access BUILTIN\Administrateurs
      (ID-IO) ALLOW Full access BUILTIN\Administrateurs
      (ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
      (ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
      (ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

      Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
      Read BUILTIN\Utilisateurs
      Full access BUILTIN\Administrateurs
      Full access AUTORITE NT\SYSTEM
      0
  9. spider86
     
    Salut Katherine

    Pour détruire Backdoor agent B qui reste en permanence sur l'ordi, et que Norton par exemple reconnait systématiquement et ne peut pas éradiquer, alors va sur le site de symantec (Norton) et télécharge - Remove tool - ça a marché du premier coup pour moi.

    Bonne chance @ +
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    recommence dll fix et cet fois
    -Relance "dllfix.exe" du début. Cette fois-ci option "2 : run fix"

    Sous menu "1- Enter dll name..."

    Tu rentres le nom : C:\WINDOWS\System32\CTLJK.DLL

    Touche entrée.

    -Il va la chercher et la supprimer après un redémarrage.

    -Passer CoolWebSchredder : ->Fix.

    -Passer AdAware et supprimer tout ce qu'il trouvera.
    (Passer CWS et AdAware impérativement, même si ça a été fait avant!)
    voici les lien des 2 log a telecharger avant
    CWShredder
    http://www.spywareinfo.com/~merijn/downloads.html

    il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0