Se connecter / S'enregistrer
Votre question

Trojan-Downloader.BAT.Ftp.ab et autre...

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Mai 2006 13:19:57

Bonjour à tous,

Je viens de faire un scan anti virus avec f secure et il me trouve 3 virus non "nettoyable". J'ai fait un ptit tour sur les forums mais rien de bien clair... donc bon... je post (donc je suis ;) )
Pour info : les virus non nettoyer (enfin plutot les troyans)
D:\WINDOWS\system32\i Infection: Trojan-Downloader.BAT.Ftp.ab
D:\WINDOWS\winsock\services.exe Infection: Trojan-Proxy.Win32.Ranky.fl
D:\WINDOWS\winmhubx¥.exe Infection: Trojan-Proxy.Win32.Agent.jh

Je vouilais les effacer mais suis pas sure que ce soit une bonne idée

Le rapport Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 13:05:12, on 25/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.exe
D:\Program Files\F-Secure\Common\FSM32.EXE
D:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
D:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
D:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
D:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
D:\Program Files\F-Secure\Anti-Virus\fssm32.exe
D:\Program Files\F-Secure\Common\FSMA32.EXE
D:\Program Files\F-Secure\Common\FSMB32.EXE
D:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
D:\Program Files\F-Secure\Common\FCH32.EXE
D:\Program Files\F-Secure\Common\FAMEH32.EXE
D:\Program Files\F-Secure\Common\FNRB32.EXE
D:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
D:\Program Files\F-Secure\Common\FIH32.EXE
D:\Program Files\F-Secure\Anti-Virus\fsav32.exe
D:\WINDOWS\system32\devldr32.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\F-Secure\Anti-Virus\fsavgui.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\WINDOWS\system32\svchost.exe
C:\HijackThis\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\winsock\services.exe
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\winsock\services.exe
O4 - HKLM\..\Run: [Windows Update] host.exe
O4 - HKLM\..\Run: [Winamp Agent] D:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows TCP/IP Socket Layer] D:\WINDOWS\winsock\services.exe
O4 - HKLM\..\Run: [Microsoft Service Messenger 8] msmsn8.exe
O4 - HKLM\..\Run: [F-Secure Manager] "D:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\RunServices: [Windows Update] host.exe
O4 - HKLM\..\RunServices: [Microsoft Service Messenger 8] msmsn8.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - D:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - D:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - D:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - D:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Windows TCP/IP Socket Layer (Winsock) - Unknown owner - D:\WINDOWS\winsock\services.exe

et la je fais un scan panda...
Sais pas... une idée????
Mille merci pour votre aide.

Mo
:-D

Autres pages sur : trojan downloader bat ftp

25 Mai 2006 13:34:52

Salut Mcomaud.


I) Fais le ménage sur ton ordinateur :

**Télécharge Ccleaner, fais un log et supprime tous ce qu'il te trouve
Avec son Tuto explicatif


II)Ensuite pour essayer de supprimmer tes trojans :

1) Télécharge Ewido mets le à jour et fais un scan en mode sans échec (tapote la touche F8 au démarage de ton ordinateur). Redémarre normalement et post le log.

2) Télécharge (qui nessecite un enregistrement sur le web). Fais un scan et supprime tous ce qu'il trouve.

3) Fais un scan antivirus en ligne Kaspersky; son tuto et post le rapport

4) Relance HijackThis et clique sur "Do a system scan only". A la fin du scan fait "save log" et enregistre le sur ton bureau,post le ensuite en fesant un copier-coller.
25 Mai 2006 13:43:51

Pour ton log HijackThis, ces lignes me paraissent bizares :

O4 - HKLM\..\Run: [Microsoft (R) Windows TCP/IP Socket Layer] D:\WINDOWS\winsock\services.exe

O23 - Service: Windows TCP/IP Socket Layer (Winsock) - Unknown owner - D:\WINDOWS\winsock\services.exe

Attends que quelqun te donne son avis avant de faire qoi que ce soit avec ton log HiajckThis.
Contenus similaires
a b 8 Sécurité
25 Mai 2006 14:04:01

Bonjour,

Télécharge:

Ccleaner
Installe le dans un répertoire dédié.

Ewido
Installe le puis mets le à jour.

  • Redémarre en mode sans échec.
    /!\ Tu n'as pas accès à Internet dans ce mode, note bien les instructions /!\

  • Lance Hijackthis ->Do a system scan only
    ->Coche les lignes puis Fix checked:

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\winsock\services.exe
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\winsock\services.exe
    O4 - HKLM\..\Run: [Windows Update] host.exe
    O4 - HKLM\..\Run: [Winamp Agent] D:\WINDOWS\System32\winamp.exe
    O4 - HKLM\..\Run: [Microsoft (R) Windows TCP/IP Socket Layer] D:\WINDOWS\winsock\services.exe
    O4 - HKLM\..\Run: [Microsoft Service Messenger 8] msmsn8.exe
    O4 - HKLM\..\RunServices: [Windows Update] host.exe
    O4 - HKLM\..\RunServices: [Microsoft Service Messenger 8] msmsn8.exe
    O23 - Service: Windows TCP/IP Socket Layer (Winsock) - Unknown owner - D:\WINDOWS\winsock\services.exe

    Assure toi d'avoir accès aux dossiers/fichiers cachés
    ->Panneau de configuration
    ->Options dossiers
    ->Coche Afficher les dossiers cachés
    Décoche Masquer les extensions...
    Décoche Masquer les fichiers protégés...

  • Suppime ces fichiers/dossiers si existe:

    D:\WINDOWS\System32\winamp.exe
    D:\WINDOWS\winsock\
    msmsn8.exe
    host.exe

  • Lance un nettoyage Ccleaner.

  • Lance un scan complet avec Ewido
    Sauvegarde puis colle le rapport.

    Redémarre normalement.

  • Poste un nouveau rapport Hijackthis.

  • Fais un scan en ligne Kaspersky
    Aide pour les scans en ligne
    Sauvegarde puis colle le rapport en fin d'analyse.
    25 Mai 2006 15:59:58

    Mille merci pour votre aéide :-P
    J'avais trouvé la procédure noté dans un autre post alors j'ai commencé.
    J'ai fais un scan avec Ewido
    Ca a apparemment nettoyé pas mal de chose...
    le rapport :
    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 15:49:50, 25/05/2006
    + Somme de contrôle: 4B1257F0

    + Résultats du scan:

    D:\Documents and Settings\Mo\Cookies\mo@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
    D:\Documents and Settings\Mo\Cookies\mo@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
    D:\Documents and Settings\Mo\Cookies\mo@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
    D:\WINDOWS\system32\HOST.0XE -> Backdoor.Rbot : Nettoyer et sauvegarder
    D:\WINDOWS\system32\MSMSN8.0XE -> Backdoor.Rbot : Nettoyer et sauvegarder
    D:\WINDOWS\system32\wcuauth.0ll -> Trojan.AVKill.i : Nettoyer et sauvegarder
    D:\WINDOWS\system32\WINAMP.0XE -> Dropper.Paradrop.a : Nettoyer et sauvegarder
    D:\WINDOWS\winmhubx¥.exe -> Proxy.Agent.jh : Nettoyer et sauvegarder


    ::Fin du rapport
    J"y retourne pour Hijackthis
    A ++ et merci ;-)
    Mo
    25 Mai 2006 16:21:15

    Re-bonjour,

    Voici le scan d'Hijackthis :
    Logfile of HijackThis v1.99.1
    Scan saved at 16:17:09, on 25/05/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\F-Secure\Common\FSM32.EXE
    D:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    D:\Program Files\ewido anti-malware\ewidoctrl.exe
    D:\Program Files\ewido anti-malware\ewidoguard.exe
    D:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    D:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    D:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
    D:\Program Files\F-Secure\Anti-Virus\fssm32.exe
    D:\Program Files\F-Secure\Common\FSMA32.EXE
    D:\Program Files\F-Secure\Common\FSMB32.EXE
    D:\Program Files\F-Secure\Common\FCH32.EXE
    D:\Program Files\F-Secure\Common\FAMEH32.EXE
    D:\Program Files\F-Secure\Common\FNRB32.EXE
    D:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
    D:\Program Files\F-Secure\Common\FIH32.EXE
    D:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    D:\WINDOWS\system32\devldr32.exe
    D:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
    D:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\HijackThis\HijackThis1991.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [F-Secure Manager] "D:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "D:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)
    O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - D:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - D:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - D:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - D:\Program Files\F-Secure\Common\FNRB32.EXE
    O23 - Service: fsbwsys - F-Secure Corp. - D:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: Windows TCP/IP Socket Layer (Winsock) - Unknown owner - D:\WINDOWS\winsock\services.exe (file missing)


    Plus de fichier apparemment ewido et hijackthis on tout enlevé.
    Par contre on me demande au démarrage le service.exe...
    Pas bloquant mais bon.
    Je lance un scan avec kaspersky ;-)
    Merci en tout cas.
    Qu'en pensez vous?

    Mo
    25 Mai 2006 16:27:34

    Re bonjour.

    Ton log est clean. N'oublie pas de poster le rapport de Kaspersky aprés le scan.
    25 Mai 2006 18:53:53

    re bonjour,

    Bon Kaspersky n'a rien trouvé, plutot bien mais bon...
    J'ai eu une nouvelle attaque de Trojan-Downloader.BAT.Ftp.ab
    alerte remonté par fsecure... et c reparti pour un tour !!! grrrr
    Bizarre par contre que kaspersky ne l'ai pas vu...
    J'ai fait A2
    Le rapport...
    Nom du fichier Diagnostic
    D:\Documents and Settings\Mo\Cookies\mo@atdmt[2].txt Trace.TrackingCookie
    D:\Documents and Settings\Mo\Cookies\mo@bluestreak[1].txt Trace.TrackingCookie
    D:\Documents and Settings\Mo\Cookies\mo@doubleclick[1].txt Trace.TrackingCookie
    D:\Documents and Settings\Mo\Cookies\mo@mediaplex[1].txt Trace.TrackingCookie
    D:\Documents and Settings\Mo\Cookies\mo@weborama[2].txt Trace.TrackingCookie
    D:\Program Files\F-Secure\BackWeb\7681197\6.1.4.58-7681197L\Program\runner.exe Adware.BackWeb.a
    D:\Program Files\F-Secure\BackWeb\7681197\program\backWeb-7681197.exe Adware.BackWeb.a
    D:\Program Files\F-Secure\BackWeb\7681197\program\ServiceWrapper-7681197.exe Adware.BackWeb.a

    Tout a été nettoyer...
    J'ai supprimé manuellement le fichier i dans system32... verra bien :-?
    Apparemment après quelque recherche ils disent que c'est un troyan qui se réinstalle à chaque fosi??? :-(

    Une idée?
    Enfin ca a l'air d'aller la. Vais relancer un scan de fsecure pour voir
    Merci en tout cas pour votre aide.

    Mo
    25 Mai 2006 19:36:15

    Désactive ta restauration système, fais un scan ewido et A², supprime tous ce qu'ils trouvent et récative ensuite ta restauration système. :-D
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS