[résolu]trojan.backfire131

Bonjour,

Windows Defender m'a détecté trojan.backfire131, j'ai cherché sur Google et je n'ai rien trouvé à son sujet et j'ai cherché dans le dossier où il se trouvait, je n'ai rien vu. J'aimerai savoir si c'est vraiment un trojan ou non?

bonjour,

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

A+

C'est donc bel et bien un trojan, ce truc?

peut etre on va vérifier

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 03/04/2007 a 12:31:27,14

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\timed.exe FOUND
C:\WINDOWS\mediacon.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\nvsvcd.exe FOUND
C:\WINDOWS\system32\spool\drivers\setup.exe FOUND
C:\WINDOWS\system\smss.exe FOUND
C:\WINDOWS\impborl.dll FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND
"C:\Documents and Settings\All Users\Documents\setup.exe" FOUND

"C:\Program Files\Fichiers communs\WinSoftware\" FOUND
"C:\Program Files\Fichiers communs\WinSoftware\" FOUND
"C:\Program Files\Save\" FOUND
"C:\Program Files\Viewpoint\" FOUND
"C:\Program Files\WinFixer 2005\" FOUND
*** Fin du rapport !

re, on va faire un petit brin de ménage...

Redémarre ton PC en mode sans échec :
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, envoie le moi dans ta prochaine réponse !

A+

Ok, je continuerai plus tard car actuellement je dois partir.

Oula, je suis encore plus infecté, Winantiviruspro 2006 et System Doctor 2006 se sont ramenés.

re, crée toi ton propre sujet stp

Svp, toute l'armée est là, et le PC ne résiste pas à tous ces virus, il fait un écran bleu quelques minutes plus tard (je suis sur un autre PC là)

re, fais ce que je t'ai demandé avec clean stp

Disons qu'il y'a un petit problème, je ne le trouve plus sur le bureau et je n'ai pas accès à Internet en mode sans echec et inutile de le télécharger en mode normal, l'ordinateur va bugger. Un remède?

Svp, ça commence a devenir lassant d'être sur un PC portable.

re, tu dois pouvoir démarrer en mode sans échec avec prise en charge réseau : t'auras internet normalement dans ce mode

sinon utilise une clé usb pour le passer d'un autre pc

Merci, je vais essayer ceci.

Quand je lance Clean, le PC plante.

Y'aurait-il un autre mode sans echec qui prend en contrôle les commandes?

J'ai réussi à faire le scan en mode sans echec tout court, mais lorque je reviens en mode sans echec avec prise en charge réseau, lorsque j'ouvre le fichier.txt, écran bleu, bon sinon tant pis je vais recopier à la main avec mon PPC portable.

P.S : C'est moi Sheneal, mais avec un autre pseudo.

Script execute en mode sans echec
Rapport clean par Malekal_morte -- http://www.malekal.com
Option 2 executee le 03/04/07 à 20:43:20, 85

Microsoft windows XP [version 5.1.2600]

*** Suppression de fichier dans C:

*** Suppression de fichiers dans C:\WINDOWS\

*** Suppression de fichiers dans C\WINDOWS\system32

tentative de suppression de "C\Program Files\Save\"
Impossible de supprimmer "C\Program Files\Save\"

*** Suppression des clefs de registre effectuee...
*** Fin du rapport !

C'était le deuxième scan que j'avais fait et qui donc doivent être des fichiers impossibles à supprimmer. Que dois-je faire ensuite?

Ce qui veut donc dire que le trojan a été supprimmé vu qu'il n'est pas dans le rapport?

Télécharge HijackThis, renomme le scanner (si c'est pas fait renomme le avant tout scan) et mets-le dans un dossier nommé hijackthis dans tes program files ! (C:\Program Files\HijackThis)

pour voir comment faire, regarde cette petite vidéo : http://mickael.barroux.free.fr/securite/preparation_hijackthis.php

Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !

si tu sais pas comment faire pour scanner avec hijackthis, regarde cette petite vidéo : http://pageperso.aol.fr/balltrap34/demohijack.htm

bonne soirée

Vraiment merci, mon PC remarche en mode normal, Winantiviruspro 2006 et tout ont été supprimmés il ne reste plus que Winfixer 2005 et WinAntispyware2005 que je m'occuperai plus tard et je sais comment faire. Vraiment, MERCI!!!!

ok donc bonne soirée

Voilà, Windows Defender à supprimmer les "restes".
Merci encore vraiment de ton aide, qui je n'aurai rien pu faire sans toi.

de rien ! bonne soirée

re,

Télécharge HijackThis, renomme le scanner (si c'est pas fait renomme le avant tout scan) et mets-le dans un dossier nommé hijackthis dans tes program files ! (C:\Program Files\HijackThis)

pour voir comment faire, regarde cette petite vidéo : http://mickael.barroux.free.fr/securite/preparation_hijackthis.php

Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !

si tu sais pas comment faire pour scanner avec hijackthis, regarde cette petite vidéo : http://pageperso.aol.fr/balltrap34/demohijack.htm

++

Et pour l'extension du fichier, je laisse le ".zip"?

Logfile of HijackThis v1.99.1
Scan saved at 11:22:04, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\Pierrot\LOCALS~1\Temp\Répertoire temporaire 1 pour scanner.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Program Files\WinAntiVirus Pro 2006\IEFWBHO.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyHeal 2.5] C:\Program Files\SH\SpyHeal 2.5\SpyHeal 2.5.exe /h
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [dc6v_check] C:\Program Files\SystemDoctor 2006 Free\dcmon.exe
O4 - HKLM\..\Run: [USDR6cw] C:\Program Files\SystemDoctor 2006 Free\USDR6cw.exe -c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .goa: C:\Program Files\Internet Explorer\Plugins\nppmp.dll
O12 - Plugin for .goac: C:\Program Files\Internet Explorer\Plugins\npchatg.dll
O12 - Plugin for .gob: C:\Program Files\Internet Explorer\Plugins\nppmp2.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.01net.com/telecharger/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.(...)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

Ou sinon, y'aurait-il un moyen "d'accepter" ce trojan a attaquer la mémoire, car ça devient tout de même lassant, je préfère qu'il attaque la mémoire au lieu que Windows se met toujours en sécurité avec cet écran bleu!

Svp, merci.

re, ne fais plus rien par toi meme stp laisse moi faire, tu fais seulement ce que je te dis ok ?

Avant de commencer, lis la licence de Blacklight (F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

Télécharge maintenant Navilog1.zip (Il Mafioso)
Enregistre-le sur ton Bureau.
Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

Double clique sur Navilog1.bat.
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :

-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse

Search Navipromo version 1.1.3 commencé le 04/04/2007 à 15:26:38,04

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Pierrot\Bureau\navilog1
Mise a jour le 31.03.2007 a 08h00 by IL-MAFIOSO

Executé en mode sans echec

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Pierrot\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/04/07 at 15:26:41.
[-] ERROR: F-Secure BlackLight cannot be used in safe mode.
[+] Exited on 04/04/07 at 15:26:41 (return code = 3).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 04/04/2007 à 15:27:18,71 ***

re,

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

A+

Je dois refaire ce rapport une 2 eme fois?

oui

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 04/04/2007 a 16:09:46,89

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

"C:\Program Files\Save\" FOUND
*** Fin du rapport !

P.S : Tout les scans que je fais sont en mode sans echec

Redémarre ton PC en mode sans échec :
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, envoie le moi dans ta prochaine réponse !

Ok, je vais faire ceci, par contre je sais que "Save" est un spyware appellé "SaveNow" de WhenU et ce n'est pas à cause de lui que le PC plante, je l'ai depuis longtemps.

je sais mais laisse moi faire tu verras

Ok, là il fait le "Nettoyage du disque" c'est normal que c'est long?