Backdoor.ServU.B

Backdoor.ServU.B - Sécurité - Windows & Software

Marsh Posté le 13-10-2004 à 14:03:59    

:(  
 
Bonjour,
 
Un vilain petit canard m'amène à vous poser cette question:
 
Comment virer cette "chose" ?
C:\WINDOWS\Temp\system.exe: infected with Backdoor.ServU.B
 
Bizarrement, google ne trouve pas de réponse quant à ce trojan (je suppose que cela en est un), et ni mon AV (Norton), ni the cleaner ne l'ont relevé. Seul un scan online sur BitDefender l'a mis en évidence...
 
Merci,
 
xpatval

Reply

Marsh Posté le 13-10-2004 à 14:03:59   

Reply

Marsh Posté le 13-10-2004 à 15:41:06    

ta regarder dans le run de ta base de registre si il n'y as pas un fichier y resselmblant ?
vire les si ils sont présent...

Reply

Marsh Posté le 13-10-2004 à 16:40:46    

lofo a écrit :

ta regarder dans le run de ta base de registre si il n'y as pas un fichier y resselmblant ?
vire les si ils sont présent...


 
Certes, pour sur, mais, en gros, voir en détail, comment cela se fesse ? se fait-il ?
 
xpatval

Reply

Marsh Posté le 13-10-2004 à 17:12:39    

essaie de mieux t'exprimé je capte rien la !

Reply

Marsh Posté le 13-10-2004 à 17:31:55    

lofo a écrit :

essaie de mieux t'exprimé je capte rien la !


 
 :lol:  :lol:  
Je crois qu'il veut juste savoir pourquoi son AV ne le detecte pas.
Et je repondrai que la cause tient en un mot : NORTON  [:guts] .
Serieusement, change d'antivirus.
Si tu cherches des infos sur ce virus, va voir ici : http://vil.nai.com/vil/content/v_99802.htm
 

Reply

Marsh Posté le 13-10-2004 à 18:32:42    

Non, je ne souhaitais pas savoir pourquoi l'AV n'avait rien remarqué, même si, selon jkley, norton semble être un incapable. D'ailleurs, ceci est un autre sujet.
 
Le comment se fesse était un trait d'humour (si si). Il fallait comprendre: comment fait-onn pour aller dans le run de la base de registre. Mais bon, j'ai réussi à flinguer le fichier incriminé, sans pour autant résoudre mon problème de figeage pc intempestif !  
Et comme je pensais que c'était le trojan qui en était la cause, je reste dans l'expectative, car, à moins qu'il infecte d'autres fichiers, le pc continue de figer.
 
De plus, ce qui m'étonne, ce que Norton (firewall) me détecte un truc qui ne me plait pas, à chaque figeage: "Unused Windows Services Block"
Ce message apparaît juste avant le blocage. Selon certains sites, ce message indique qu'un service ouvre le port 1025 (indiqué aussi par Norton). Or, dans le lien sur le backdoor que tu fournis dans ton post,je vois que ce trojan reste à l'écoute sur le port 43958, et viendrait d'un dwl de Serv-U FTP, que je ne possède pas !!
 
Donc, étonné suis-je...
 
xpatval

Reply

Marsh Posté le 13-10-2004 à 18:54:24    

regarde dans ma signature pour récupérer Hijack This 1.98.2, lance-le et copie/colle le résultat du "save log" ici qu'on voit les processus qui tournent et ceux qui se lancent au démarrage


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 13-10-2004 à 19:22:35    

Heu..je veux bien faire un copier coller, mais il y a de la ligne, qd même, donc, prévenez-moi si vous supprimer ce message de par sa longueur...
 

Citation :


Logfile of HijackThis v1.98.2
Scan saved at 19:22:18, on 13/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\WINDOWS\system32\WiFiCfg.exe
C:\WINDOWS\system32\PRISMSVR.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Documents and Settings\pc\Mes documents\soft\cleaner\hijackthis_198\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CPROGRA%7E1%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\pc\Application Data\Mozilla\Profiles\default\o6k4xkwc.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [Adware Defence] Msoft32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [DivX Video Duplicator OLR] C:\PROGRA~1\DIVXVI~1\BVRPOlr.exe /DivX Video Duplicator
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\RunServices: [Adware Defence] Msoft32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: 802.11g USB 2.0 adapter Setting.lnk = C:\WINDOWS\system32\WiFiCfg.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04bc62 [...] 601_fr.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
 

Reply

Marsh Posté le 13-10-2004 à 19:32:48    

O4 - HKLM\..\Run: [Adware Defence] Msoft32.exe  je connais pas et c'est zarbi
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE bizarre aussi faut chercher ce que ça peut être (propriété par clic droit ou sur google)
O4 - HKLM\..\RunServices: [Adware Defence] Msoft32.exe en fait c'est plus que louche c'est une saloperie
 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
tu peux virer c'est pas utile
 
Voila je vois que ça :)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 13-10-2004 à 22:12:38    

Citation :

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE bizarre aussi faut chercher ce que ça peut être (propriété par clic droit ou sur google)

doir être un service logitech. (propriété/version et copyright logitech)
 
Msoft32.exe semble être un virus. Donc, je cherche le fix.
 
En tout cas, merci de tes réponses.
 
xpatval

Reply

Marsh Posté le 13-10-2004 à 22:12:38   

Reply

Marsh Posté le 13-10-2004 à 22:59:06    

Citation :

O4 - HKLM\..\RunServices: [Adware Defence] Msoft32.exe en fait c'est plus que louche c'est une saloperie


 
J'ai procédé de la manière suivante: suppression de la valeur dans la base de registre, via TCMonitor.  
 
Lorsque je Hijackthis une nouvelle fois, il n'est plus fait état de Msoft32.exe. (ni via TCMonitor)
 
1: La façon de procéder n'est peut-être pas correcte. Quel est votre avis ?
 
2: Le fait de ne plus voir de Msoft32.exe dans les runservices de windows m'assure-t-il de la suppression définitive de ce virus ?
 
Merci,
 
xpatval

Reply

Marsh Posté le 14-10-2004 à 09:33:00    

en fait je pense oui, désolé j'avais oublié de te donner la marche à suivre. :/
 
dans des cas comme ça il faut simplement cocher la ligne dans Hijack This et cliquer sur "Fix" il t'aurait supprimer lui aussi les entrées de la base de registre.
 
c'est un résidu de virus à mon avis car le fichier msoft32.exe n'était pas dans les running process.  
 
fait un petite vérification en affichant les fichiers cachés et en le cherchant dans c:\windows\system32 pour t'assurer qu'il n'est pas là.


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 14-10-2004 à 10:52:06    

allez un copier/coller :
 
>tu peux , peut etre, éssayer Trojan Remover (6.3) valable 30j gratos ;
 
ensuite il scanne au boot chaque appel à un exe,sys,dll en relation avec une entrée de la BDR
 
mais bon je t'avoue que je n'ai pas reglé mes blemes perso avec non plus :/ mais peut etre dans ton cas il trouvera ?
 
tu valides/vires chaque truc un à un lors du boot; un peu long, mais exhaustif

Reply

Marsh Posté le 14-10-2004 à 11:30:52    

avec fport tu repere le pid de C:\WINDOWS\Temp\system.exe
avec kill ou pv tu stop le process
ensuite tu del C:\WINDOWS\Temp\system.exe et tout ce qui te parait louche dans ce rep
reboot  
avant tout essaye quand meme un "net stop serv-u" suivis d'un sc delete serv-u (pour peu que le nom du service n'est pas été edité)


Message édité par DjobaDjobi le 14-10-2004 à 11:32:41
Reply

Marsh Posté le 14-10-2004 à 12:24:04    

POur le backdoor, et Msoft32.exe, c'est, apparemment, réglé.
 
Par conrte, le problème principal (qui est un figeage pc inopiné et intempestif, depuis l'install du wifi wanadoo) est toujours d'actualité.
 
Or, le seul message que je dégote à chaque blocage est celui-ci:

Citation :

La règle "Unused Windows Services Block" a bloqué la communication.
Adresse locale : Tous les adaptateurs réseau locaux(1025)
Nom du processus : "C:\WINDOWS\System32\svchost.exe"


 
Il provient du journal Norton Internet Secutity.
 
J'ai peur que le service en question soit foireux.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed