Votre question

Perlovga et Dropper

Tags :
  • Scan
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Février 2009 09:39:44

Bonjour à tous,

Depuis quelques jours, 2 virus sont apparus sur mon serveur NT1. Perlovga et Dropper.Win32.Small.
J'ai passer Kapersky et hijackthis mais souhaiterez avoir quelques explications pour la suite des evenements... malgré un redemarrage avec un cd boot linux et la suppression des autorun.inf, copy.exe et host.exe, les virus sont toujours là.
D'avance merci pour votre aide.

Autres pages sur : perlovga dropper

23 Février 2009 09:40:52

Voici le rapport Kapersky :
can settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area Folder
H:\
Scan statistics
Files scanned 170412
Threat name 4
Infected objects 6
Suspicious objects 0
Duration of the scan 03:32:49

File name Threat name Threats count
H:\copy.exe Infected: Worm.Win32.Perlovga.a 1
H:\ExcelMPO\copy.exe Infected: Worm.Win32.Perlovga.a 1
H:\ExcelMPO\host.exe Infected: Trojan-Dropper.Win32.Small.apl 1
H:\host.exe Infected: Trojan-Dropper.Win32.Small.apl 1
H:\Informatique\LIBRE SERVICE\LOGICIELS\tightvnc-1.2.9-setup.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.h 1
H:\Informatique\LIBRE SERVICE\LOGICIELS\tightvnc-1.2.9-setup.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.b 1
The selected area was scanned.
23 Février 2009 09:41:39

Et le rapport Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:31:27, on 23/02/09
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v4.40 (4.40.1381.0001)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\System32\msdtc.exe
C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
C:\WINNT\System32\CpqRcmc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\Program Files\Executive Software\DiskeeperServer\DKService.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
C:\WINNT\System32\llssrv.exe
C:\MSSQL\BINN\SQLSERVR.EXE
C:\win32app\nsr\bin\nsrexecd.exe
C:\WINNT\System32\pfc\PATFCPQ.EXE
C:\win32app\nsr\bin\portmap.exe
c:\winnt\system32\pstores.exe
C:\WINNT\System32\LOCATOR.EXE
C:\WINNT\System32\AtSvc.Exe
C:\WINNT\System32\snmp.exe
C:\MSSQL\BINN\SQLEXEC.EXE
C:\compaq\survey\Surveyor.EXE
C:\WINNT\System32\sysdown.exe
C:\WINNT\System32\wins.exe
C:\WINNT\CPQCPM\snmpget.exe
C:\WINNT\CPQCPM\CPMSVC.EXE
C:\WINNT\System32\CPQNiMgt\CPQNIMGT.EXE
C:\WINNT\system32\cpqmgmt\CqMgServ\CqMgServ.EXE
C:\WINNT\system32\cpqmgmt\cqmgstor\cqmgstor.exe
C:\WINNT\CPQCPM\snmpset.exe
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\NTACMON.EXE
C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe
C:\WINNT\System32\taskmgr.exe
C:\VIRUS\OTMoveIt3.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fr.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:C:\Program Files\Plus!\Microsoft Internet\docs\home.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.fr.msn.com/access/allinone.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NTACMON] NTACMON.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe -s
O4 - Global Startup: cg26.BHF.lnk = symbols\exe\cpqdbg.dbg
O13 - WWW Prefix:
O13 - WWW. Prefix: http://
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lda26.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lda26.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 194.2.0.20 194.2.0.50
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lda26.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 194.2.0.20 194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 194.2.0.20 194.2.0.50
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - Symantec Corporation - C:\Program Files\VERITAS\Backup Exec\RANT\beremote.exe
O23 - Service: Compaq Power Management Web Agent (CPMWEBMGMT) - Compaq Computer Corp. - C:\WINNT\CPQCPM\CPMWMGMT.EXE
O23 - Service: Compaq Power Management (CPQCPM) - Unknown owner - C:\WINNT\CPQCPM\CPMSVC.EXE
O23 - Service: Compaq NIC Agents (CPQNicMgmt) - Compaq Computer Corp. - C:\WINNT\System32\CPQNiMgt\CPQNIMGT.EXE
O23 - Service: Compaq Remote Monitor Service (CPQRCMC) - Compaq Computer Corporation - C:\WINNT\System32\CpqRcmc.exe
O23 - Service: Compaq Server Agents (CqMgServ) - Compaq Computer Corp. - C:\WINNT\system32\cpqmgmt\CqMgServ\CqMgServ.EXE
O23 - Service: Compaq Storage Agents (CqMgStor) - Compaq Computer Corp. - C:\WINNT\system32\cpqmgmt\cqmgstor\cqmgstor.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperServer\DKService.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
O23 - Service: NetWorker Remote Exec Service (nsrexecd) - Unknown owner - C:\win32app\nsr\bin\nsrexecd (file missing)
O23 - Service: Compaq NT Management (PATFCPQ) - BMC Software, Inc. - C:\WINNT\System32\\pfc\PATFCPQ.EXE
O23 - Service: Storage Management Portmapper (portmap) - Unknown owner - C:\win32app\nsr\bin\portmap (file missing)
O23 - Service: Surveyor - Compaq Computer Corp. - C:\compaq\survey\Surveyor.EXE
O23 - Service: Compaq System Shutdown Service (SysDown) - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe

--
End of file - 6390 bytes
Contenus similaires
a b 8 Sécurité
23 Février 2009 13:42:02

Bonjour,

Télécharge DelDomains (de Mike Burgess)

  • Enregistre le sur le Bureau.
  • Utilisation : clic droit / Installer
  • Si tu vois le bloc notes s'ouvrir, c'est que tu as fais une mauvaise manip.

    Normalement, tu ne vois rien se passer !

    &

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
    ~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici!

    [#FF0000]Aide
    :
  • Comment utiliser MBAM.
  • Comment faire démarrer son ordinateur en mode sans échec.
    23 Février 2009 14:27:19

    Merci déjà pour ta réponse.
    Le téléchargement de DelDomains et son installation s'est correctement déroulé.
    Concernant MalwareByte's Anti-Malware, lors de l'installation une message apparaît :
    "RunTime error '453'
    Can't find DLL entry point GetFileSizeEx in kernel 32"
    Pour rappel, l'ordinateur est son NT4. Ce soft est il compatible ?
    J'ai essayé avec les 2 liens de téléchargement de MBAM, c'est kif kif
    Malkovick
    23 Février 2009 14:45:54

    Ok,
    j'ai installé MAM sur un autre poste qui est en 2003 et avec un accès complet au poste en NT. J'ai lancé ensuite un scan depuis ce 2003 sur le NT....
    Scan en cours.
    Je post le rapport dés que le scan est terminé

    23 Février 2009 16:47:23

    Malwarebytes' Anti-Malware 1.34
    Version de la base de données: 1795
    Windows 5.2.3790 Service Pack 1

    23/02/2009 16:45:57
    mbam-log-2009-02-23 (16-45-57).txt

    Type de recherche: Examen complet (H:\|)
    Eléments examinés: 755279
    Temps écoulé: 2 hour(s), 2 minute(s), 12 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 12

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    H:\copy.exe (Backdoor.Hupigon) -> Quarantined and deleted successfully.
    H:\host.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    H:\ExcelMPO\copy.exe (Backdoor.Hupigon) -> Quarantined and deleted successfully.
    H:\ExcelMPO\copy.exe.1.AVB (Backdoor.Hupigon) -> Quarantined and deleted successfully.
    H:\ExcelMPO\copy.exe.2.AVB (Backdoor.Hupigon) -> Quarantined and deleted successfully.
    H:\ExcelMPO\host.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    H:\ExcelMPO\host.exe.0.AVB (Trojan.Dropper) -> Quarantined and deleted successfully.
    H:\ExcelMPO\host.exe.1.AVB (Trojan.Dropper) -> Quarantined and deleted successfully.
    H:\ExcelMPO\host.exe.2.AVB (Trojan.Dropper) -> Quarantined and deleted successfully.
    H:\RECYCLER\S-1-5-21-262101934-809512382-953900138-500\DD6.AVB (Trojan.Dropper) -> Quarantined and deleted successfully.
    H:\RECYCLER\S-1-5-21-262101934-809512382-953900138-500\DD7.AVB (Trojan.Dropper) -> Quarantined and deleted successfully.
    H:\RECYCLER\S-1-5-21-262101934-809512382-953900138-500\DD8.AVB (Trojan.Dropper) -> Quarantined and deleted successfully.
    a b 8 Sécurité
    23 Février 2009 19:12:24

    Euh pourquoi il n'a cherché que sur H: au lieu de C: ?
    24 Février 2009 12:36:27

    Comme je le précisais, l'installation de MAM ne se faisait pas sur le serveur NT, c'est la raison pour laquelle j'ai lancé l'analyse depuis un autre poste en Windows2003.
    Pour se faire, j'ai connecter un lecteur réseau (H:)  sur le Win2003 qui correspond au Disque de NT.
    Je viens de redémarrer le NT....ils sont toujours présents...grrr
    a b 8 Sécurité
    24 Février 2009 21:04:03

    Bah il faut lancer sur C: sinon ça sert à rien :/ 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS