Backdoor.Roxy

JFunY · 29 septembre 2003

Bonjour a tous!

J'ai présentement un problème de virus, enfin, plutot un Trojan... norton Antivirus est installé et il détecte Backdoor.Roxy et le fichier Payload.dat se retrouve plusieurs fois dans Quarantaine. J'ai tentée de le supprimer a la méthode de Symantec, soit par la base de registre. Mais la clé a supprimer n'y était pas... J'ai ensuite tentée de rechercher le fichier Payload.dat pour le supprimer, mais l'ordinateur ne le trouve pas, meme chose en mode sans échec... Donc, j'ai besoin d'aide pour régler ce problème car je suis vraiment embêtée! :??: Merci! :)

jackrabbit · 29 septembre 2003

je ne sais pas si ca va marcher mais j'ai fait des petites recherche et apparement ca fonctionne.

il sufi d'aller sur http://www.anti-trojan.net/fr/download.aspx

et tu telecharge le programme

tiens nous au courant et bonne chance :cool:

JFunY · 29 septembre 2003

Ok, merci!! J'en redonne des nouvelles aussitot que je l'aurai essayée! :)

JFunY · 29 septembre 2003

J'ai téléchargée et installée Anti-Trojan, mais il n'a rien trouvé... Pourtant, j'ai bel et bien le Trojan Backdoor.Roxy... :(

jackrabbit · 30 septembre 2003

peux tu me donner avec precision les erreur que tu obtiens

JFunY · 30 septembre 2003

Oui, il affiche un pop up de norton Antivirus :

norton Antivirus Notification

Scan Type : Realtime Protection Scan

Event : Virus Found!

Virus Name : Backdoor.Roxy

File : c:Payload.dat

Location : Quarantine

Action Taken : Clean Failed : Quarantine Succeed : Access Denied

Date Found : Mon Sept 29 11:36:22 2003

pour ce qui est du scan de virus, il m'affiche simplement qu'il n'a trouvé aucuns virus. :??:

Merci :)

JFunY · 30 septembre 2003

J'ai le .bmp du pop up, j ai fait un print screen, mais quand j'ai essayée de l'inclure dans mon message, ca a pas fonctionné...

DataWolf · 30 septembre 2003

à ta place je commencerais par modifier les options de nav : en cas de découverte de virus, nettoyer sinon supprimer (au lieu de nettoyer sinon mettre en quarantaine). C'est radical !

JFunY · 30 septembre 2003

Ok, merci :)

Mais pour le supprimer totalement?

DataWolf · 30 septembre 2003

C'est ce qu'il va faire !

Action Taken : Clean Failed : Quarantine Succeed

donc si tu modifies tes options tu auras :

Action Taken : Clean Failed : Delete Succeed

:)

JFunY · 30 septembre 2003

Ok, mais il ne risque pas de seulement le deleter a chaque fois? :( Je veux dire que le payload.dat revient tout le temps, il y en a des tonnes de copies dans la section quarantaine, il en ajoute pas moins de 5 par jour... :hum:

DataWolf · 1 octobre 2003

il y en a des tonnes de copies dans la section quarantaine, il en ajoute pas moins de 5 par jour...

Et ben ce sera 5 par jour de gagnés ! :)

JFunY · 1 octobre 2003

Vu de cette manière, c est certain :D

Merci :)

Richard · 1 octobre 2003

payload.dat revient tout le temps

Essayes de voir si ce n'est pas un Spyware, en passant ad-aware et Spybots (ne détectent pas les mêmes, comlplémentaires).

Adaware :

http://www.lavasoftusa.com/french/support/download/

spybot :

http://www.safer-networking.org/index.php?...n&page=download

Tu mets à jour les logiciels une fois installés, puis tu passes un coup de chaque, cela fonctionne à la manière d'un antivirus. Tu auras sûrement des tas de références, effaces-les.

Ensuite, si le fichier non-identifié revient, c'est que ce n'était pas un Spyware.

:D

DataWolf · 1 octobre 2003

Nan Nan Nan

W32.Ramdex-D est un ver réseau qui, s'il est exécuté, se connecte à l'adresse 68.192.170.235 et attend de nouvelles instructions.

Le ver ajoute également l'entrée suivante dans la base de clés de registre:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmssyslanhelper

W32.Ramdex-D choisit alors aléatoirement des adresses IP et essaie de se connecter au partage en utilisant un dictionnaire de mots de passe.

Si la connexion est établie, le ver essaie de se recopier aux emplacements distants suivants:

c$winntsystem32msmsgri32.exe

Admin$system32msmsgri32.exe

W32.Ramdex-D programme ensuite une tâche pour exécuter les fichiers recopiés, et implante également un cheval de Troie dans le fichier PAYLOAD.DAT

JFunY · 1 octobre 2003

Ok, merci Richard, je vais essayer ca et si ca ne fonctionne pas, je vous en redonne des nouvelles :)

DataWolf · 2 octobre 2003

Ben quoi, j'pue l'ail, alors ? :??: :(

JFunY · 2 octobre 2003

Mais non! :) Que me suggère tu?

DataWolf · 6 octobre 2003

Que me suggère tu?

De lire mes posts !

:(

JFunY · 6 octobre 2003

Eh bien j'ai lue! :) Mais tu ne m'a rien proposée pour supprimer le virus, j'ai donc essayée ce que les autres me proposaient! Mais ton explication était excellente! ;) J'ai finalement résout mon problème, j'ai fait quelques essais et j'ai trouvée! J'ai plutot fait une recherche sur W32.Randex-D comme tu l'as mentionné et j'ai trouvée une clé a supprimer dans le registre, j'avais d'abbord supprimée le fichier payload.dat sur la racine du C:\ et j'avais recrée le fichier en blanc, je l'avais également fait en lecture seule. Je me suis dit que comme ca, il n'essaierait pas de le recréer puisqu'il serait déja présent! Ca a finalement fonctionné! Merci pour l'aide!

DataWolf · 6 octobre 2003

j'ai trouvée une clé a supprimer dans le registre, j'avais d'abbord supprimée le fichier payload.dat sur la racine du C:\ et j'avais recrée le fichier en blanc, je l'avais également fait en lecture seule. Je me suis dit que comme ca, il n'essaierait pas de le recréer puisqu'il serait déja présent! Ca a finalement fonctionné!

Le coup du lecture seule c'était une excellente idée (même si ces saloperies ne s'emm. que rarement avec ce genres de détail), mais je suppose que c'est la suppression de la clé qui a mis fin à la création de ce fichier. :heu:

Au plaisir ! :cool:

Connexion

Backdoor.Roxy

Messages recommandés

JFunY

jackrabbit

JFunY

JFunY

jackrabbit

JFunY

JFunY

DataWolf

JFunY

DataWolf

JFunY

DataWolf

JFunY

Richard

DataWolf

JFunY

DataWolf

JFunY

DataWolf

JFunY

DataWolf

Rejoindre la conversation

Bhmag

Activité