Backdoor.Roxy

[JFunY]

Bonjour a tous!

J'ai présentement un problème de virus, enfin, plutot un Trojan... norton Antivirus est installé et il détecte Backdoor.Roxy et le fichier Payload.dat se retrouve plusieurs fois dans Quarantaine. J'ai tentée de le supprimer a la méthode de Symantec, soit par la base de registre. Mais la clé a supprimer n'y était pas... J'ai ensuite tentée de rechercher le fichier Payload.dat pour le supprimer, mais l'ordinateur ne le trouve pas, meme chose en mode sans échec... Donc, j'ai besoin d'aide pour régler ce problème car je suis vraiment embêtée! :??: Merci! :)

[jackrabbit]

je ne sais pas si ca va marcher mais j'ai fait des petites recherche et apparement ca fonctionne.

 

il sufi d'aller sur http://www.anti-trojan.net/fr/download.aspx

 

et tu telecharge le programme

 

tiens nous au courant et bonne chance :cool:

[JFunY]

Ok, merci!! J'en redonne des nouvelles aussitot que je l'aurai essayée! :)

[JFunY]

J'ai téléchargée et installée Anti-Trojan, mais il n'a rien trouvé... Pourtant, j'ai bel et bien le Trojan Backdoor.Roxy... :(

[jackrabbit]

peux tu me donner avec precision les erreur que tu obtiens

[JFunY]

Oui, il affiche un pop up de norton Antivirus :

 

norton Antivirus Notification

Scan Type : Realtime Protection Scan

Event : Virus Found!

Virus Name : Backdoor.Roxy

File : c:Payload.dat

Location : Quarantine

Action Taken : Clean Failed : Quarantine Succeed : Access Denied

Date Found : Mon Sept 29 11:36:22 2003

 

pour ce qui est du scan de virus, il m'affiche simplement qu'il n'a trouvé aucuns virus. :??:

Merci :)

[JFunY]

J'ai le .bmp du pop up, j ai fait un print screen, mais quand j'ai essayée de l'inclure dans mon message, ca a pas fonctionné...

[DataWolf]

à ta place je commencerais par modifier les options de nav : en cas de découverte de virus, nettoyer sinon supprimer (au lieu de nettoyer sinon mettre en quarantaine). C'est radical !

[JFunY]

Ok, merci :)

Mais pour le supprimer totalement?

[DataWolf]

C'est ce qu'il va faire !

 

Action Taken : Clean Failed : Quarantine Succeed

 

donc si tu modifies tes options tu auras :

 

Action Taken : Clean Failed : Delete Succeed

 

:)

[JFunY]

Ok, mais il ne risque pas de seulement le deleter a chaque fois? :( Je veux dire que le payload.dat revient tout le temps, il y en a des tonnes de copies dans la section quarantaine, il en ajoute pas moins de 5 par jour... :hum:

[DataWolf]

il y en a des tonnes de copies dans la section quarantaine, il en ajoute pas moins de 5 par jour...

Et ben ce sera 5 par jour de gagnés ! :)

[JFunY]

Vu de cette manière, c est certain :D

 

Merci :)

[Richard]

payload.dat revient tout le temps

 

Essayes de voir si ce n'est pas un Spyware, en passant ad-aware et Spybots (ne détectent pas les mêmes, comlplémentaires).

 

Adaware :

http://www.lavasoftusa.com/french/support/download/

 

spybot :

http://www.safer-networking.org/index.php?...n&page=download

 

Tu mets à jour les logiciels une fois installés, puis tu passes un coup de chaque, cela fonctionne à la manière d'un antivirus. Tu auras sûrement des tas de références, effaces-les.

 

Ensuite, si le fichier non-identifié revient, c'est que ce n'était pas un Spyware.

:D

[DataWolf]

Nan Nan Nan

 

W32.Ramdex-D est un ver réseau qui, s'il est exécuté, se connecte à l'adresse 68.192.170.235 et attend de nouvelles instructions.

 

Le ver ajoute également l'entrée suivante dans la base de clés de registre:

 

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmssyslanhelper

 

W32.Ramdex-D choisit alors aléatoirement des adresses IP et essaie de se connecter au partage en utilisant un dictionnaire de mots de passe.

Si la connexion est établie, le ver essaie de se recopier aux emplacements distants suivants:

 

c$winntsystem32msmsgri32.exe

Admin$system32msmsgri32.exe

 

W32.Ramdex-D programme ensuite une tâche pour exécuter les fichiers recopiés, et implante également un cheval de Troie dans le fichier PAYLOAD.DAT

[JFunY]

Ok, merci Richard, je vais essayer ca et si ca ne fonctionne pas, je vous en redonne des nouvelles :)

[DataWolf]

Ben quoi, j'pue l'ail, alors ? :??: :(

[JFunY]

Mais non! :) Que me suggère tu?

[DataWolf]

Que me suggère tu?

De lire mes posts !

:(

[JFunY]

Eh bien j'ai lue! :) Mais tu ne m'a rien proposée pour supprimer le virus, j'ai donc essayée ce que les autres me proposaient! Mais ton explication était excellente! ;) J'ai finalement résout mon problème, j'ai fait quelques essais et j'ai trouvée! J'ai plutot fait une recherche sur W32.Randex-D comme tu l'as mentionné et j'ai trouvée une clé a supprimer dans le registre, j'avais d'abbord supprimée le fichier payload.dat sur la racine du C:\ et j'avais recrée le fichier en blanc, je l'avais également fait en lecture seule. Je me suis dit que comme ca, il n'essaierait pas de le recréer puisqu'il serait déja présent! Ca a finalement fonctionné! Merci pour l'aide!

[DataWolf]

j'ai trouvée une clé a supprimer dans le registre, j'avais d'abbord supprimée le fichier payload.dat sur la racine du C:\ et j'avais recrée le fichier en blanc, je l'avais également fait en lecture seule. Je me suis dit que comme ca, il n'essaierait pas de le recréer puisqu'il serait déja présent! Ca a finalement fonctionné!

Le coup du lecture seule c'était une excellente idée (même si ces saloperies ne s'emm. que rarement avec ce genres de détail), mais je suppose que c'est la suppression de la clé qui a mis fin à la création de ce fichier. :heu:

Au plaisir ! :cool: