behave like :Win32 Backdoor

flax_34 · le 10 juin 2005

Bonjour tou le monde

jai un probleme avec un virus nomé "behave like :Win32 Backdoor" ce virus mempeche de faire des mise a jour avec mon enti virus (bitdefender pro v8) le modul de mise a jour et en anglais alor que d'habitude il et en francais .Mais il mempeche de désintallé ou de réparé mon anti virus en éteignan mon PC (mon enti virus ne la détecté qu'une seul foi et en faisan des scan il ne le repere plus) et jai deja formaté mon PC un foi pour le méme virus (jai un disque dur partagé en 2 partion une normal et l'autre recovery donc le virus pouré etre dan recovery)

voila merci de me repondre

totoftotof · le 10 juin 2005

Bonjour tou le monde

jai un probleme avec un virus nomé "behave like :Win32 Backdoor" ce virus mempeche de faire des mise a jour avec mon enti virus (bitdefender pro v8) le modul de mise a jour et en anglais alor que d'habitude il et en francais .Mais il mempeche de désintallé ou de réparé mon anti virus en éteignan mon PC (mon enti virus ne la détecté qu'une seul foi et en faisan des scan il ne le repere plus) et jai deja formaté mon PC un foi pour le méme virus (jai un disque dur partagé en 2 partion une normal et l'autre recovery donc le virus pouré etre dan recovery)

voila merci de me repondre

515613[/snapback]

Bonjour flax_34,

Secuser désinfections

A bientôt

megataupe · le 10 juin 2005

Bonjour flax34.

Bonjour et bienvenue sur le forum Zébulon Sécurité

Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système :

lance l'Explorateur Windows et supprime le contenu de

--- C:\Temp

--- C:\Windows\Temp

suppression des fichiers inutiles par :

-----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles.

nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent

recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html

examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve

examen antispyware par

------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve

----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve.

Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel :

- télécharger HijackThis de Merijn Belekom

http://www.spywareinfo.com/~merijn/downloads.html

- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp)

- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

- cliquer sur 'Scan', l'affichage est instantané.

- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

- attendre l'analyse et la réponse.

Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

flax_34 · le 11 juin 2005

Logfile of HijackThis v1.99.1

Scan saved at 15:12:36, on 11/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\msmsngr.exe

C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Valve\Steam\Steam.exe

C:\WINDOWS\System32\LVComS.exe

C:\Program Files\a2\a2guard.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Logitech\SetPoint\kem.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\InterMute\SpySubtract\SpySub.exe

C:\WINDOWS\System32\wpabaln.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Flax34\Bureau\Protection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

O1 - Hosts: 24.14.38.190 ibank.barclays.co.uk

O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk

O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 24.14.38.190 www.nwolb.com

O1 - Hosts: 24.14.38.190 banesnet.banesto.es

O1 - Hosts: 24.14.38.190 extranet.banesto.es

O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Internet Explorer Hot Fix - {A90C7D63-2042-4BD9-93EC-EEABE2820245} - C:\WINDOWS\System32\yedse.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [msmsngr] C:\WINDOWS\System32\msmsngr.exe

O4 - HKLM\..\Run: [bDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

O4 - HKLM\..\Run: [MS Internet Executor 32] MSIXEC32.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\RunServices: [MS Internet Executor 32] MSIXEC32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [MS Internet Executor 32] MSIXEC32.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [steam] C:\Valve\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - Startup: PPControl.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1117813357328

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED250A8-99C1-43A7-B490-50F3DFC07D00}: NameServer = 69.50.184.84 195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{B29C30AC-A0D6-456A-82A2-2BB855A7B11B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8A9381-8F4C-4EED-905A-D63C5858F7B5}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS2\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

ipl_001 · le 11 juin 2005

Bonjour flax_34, megataupe, totoftotof, bonjour à tous,

As-tu effectué le scan antivirus HouseCall préconisé par megataupe ?

Okay, je vois que Infos-du-Net.com n'a pas répondu... http://www.infos-du-net.com/forum/100667-1...2-backdoor-quot

>behave like :Win32 Backdoor

Cette dénomination est floue ! Ton Antivirus détecte quelque chose de pas normal sans pouvoir y mettre un nom et semble lui en affecter un de générique "se comporte comme un backdoor"

>donc le virus pouré etre dan recovery

Qu'est-ce que c'est que cette "recovery" ? une zone gérée par ton antivirus ? une zone de sauvegarde gérée par toi ? la zone de restauration de Windows XP ?

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

ipl_001 · le 11 juin 2005

Rebonjour flax_34, megataupe, totoftotof, rebonjour à tous,

Stoppe le processus suivant dans le Gestionnaire des tâches :

- C:\WINDOWS\ALCXMNTR.EXE

Relance un scan HijackThis et coche les lignes en gras ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

O1 - Hosts: 24.14.38.190 ibank.barclays.co.uk

O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk

O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 24.14.38.190 www.nwolb.com

O1 - Hosts: 24.14.38.190 banesnet.banesto.es

O1 - Hosts: 24.14.38.190 extranet.banesto.es

O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Internet Explorer Hot Fix - {A90C7D63-2042-4BD9-93EC-EEABE2820245} - C:\WINDOWS\System32\yedse.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [msmsngr] C:\WINDOWS\System32\msmsngr.exe

O4 - HKLM\..\Run: [bDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

O4 - HKLM\..\Run: [MS Internet Executor 32] MSIXEC32.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\RunServices: [MS Internet Executor 32] MSIXEC32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [MS Internet Executor 32] MSIXEC32.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [steam] C:\Valve\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - Startup: PPControl.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present