Backdoor.Delf.is

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Backdoor.Delf.is

Messagede BigOne » 12 Mar 2005, 21:22

Bonjour a tous.Pest patrol 5 a decouvert, ce trojan Backdoor.Delf.is, qui est installer dans C:\ATI\SUPPORT\wxp-w2k-catalyst-8-111-050222a-021277c\WDM_All\ikernell.ex_ Est que c'est un faux/positif? Dans l'installateur des driver 5.3, ce sont les tout nouveaux driver d'ati, pest patrol ne detecte rien.Et j'ai ce fichier, NTMSDATA.BAK qui reviens toujours, meme si je le detruit .J'ai verifier, avec HijackThis, mais mon log me parais normal.Voici mon log.Merci a l'avance de votre aide.



Logfile of HijackThis v1.99.1
Scan saved at 15:17:35, on 2005-03-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetMsg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\Program Files\CA\eTrust PestPatrol\PestPatrol5.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
J:\Program Files\iolo\System Mechanic 4\SysMech4.exe
C:\WINDOWS\Explorer.EXE
J:\Telechargements\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 0501211718
O17 - HKLM\System\CCS\Services\Tcpip\..\{42C2FE04-9BFA-4E21-81C2-B7BA54195D3A}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{42C2FE04-9BFA-4E21-81C2-B7BA54195D3A}: NameServer = 192.168.1.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetMsg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
BigOne
 
Messages: 22
Inscription: 11 Aoû 2004, 07:23
Localisation: Quebec,Canada

Messagede césar » 12 Mar 2005, 22:58

bonsoir,

ton log m'a l'air propre, en effet. à part peut-être messenger qui n'est pas conseillé (si tu savais le nombre de "clients" qu'on a ici, à cause de messenger), enfin...
pour ton NTMSDATA.BAK, ça me turlupine car j'ai le même et beaucoup de site le désignent comme appartenant à un keylogger. mais d'un autre côté beaucoup de sites indiquent que c'est n'est qu'un fichier de windows (mais qui sert à quoi au juste ? tout comme quelques milliers d'autres fichiers windows ?).
Une chose est sûre, les fichiers *.bak ne sont pas indispensables. Normalement, ils sont créés en guise de mini-sauvegarde après une modif de programme, une mise à jour, ou un changement de config, mais on s'en sert jamais. détruire tous ceux de plus de un jour.
je viens de détruire le mien et effectivement, il réapparait. en attendant, je l'ai renommé en *.old, mais pour quoi faire ?
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede BigOne » 13 Mar 2005, 01:42

Salut, Cesar. Merci de me repondre. J'ai renommer le fichier NTMSDATA.BAK en .old , mais ce je trouve tres etrange meme en demasquant les fichier proteger du systeme, je ne vois pas le fichier dans system32 mais en fesant une recherche avec xp il me le trouver c'est comme ca que j'ai pu le renommer.Et a propos du backdoor, si qelqu'un a une carte video Ati et Pest patrol pourriez-vous faire un scan,pour voir, si vous avez le meme resultat que moi, avec les nouveaux driver 5.3.Au fait si je l'enleve dans counter strike source les boites en bois il apparaisse noir au lieu de brune, rien a comprendre Mouaaarrrrffffffff.Encore merci je continue de faire des recherche de mon cote.
BigOne
 
Messages: 22
Inscription: 11 Aoû 2004, 07:23
Localisation: Quebec,Canada

Messagede Vazkor » 13 Mar 2005, 04:43

Bonjour à la Belle Province,

Tu peux toujours soumettre un log HJT à un script d'analyse automatique en ligne ici:
http://hijackthis.de/index.php?langselect=french

Ce script n'est pas parfait mais permet de "débroussailler" le terrain.

Comme le dit César, ton log à l'air propre:
http://hijackthis.de/logfiles/c3cea2066 ... c1aae.html

Amitiés par dessus la Grande mare aux canards (ou la Flaque),

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede BigOne » 13 Mar 2005, 06:46

Hahahaha, Salut Vaskor, ca fais un bail... Salut, a la bonne, veille terre, de France.Effectivement, j'ai verifier, avec le log automatique, et tout, est bon.Pour le, NTMSDATA.BAK que j'ai renommer en .old comme Cesar me la suggerer, system mechanic, me revois les deux .BAK et .old rien de regler, de ce cote la. Il me delete, le .old, mais pas le .BAK.... Pour Ati, et le Backdoor trojan, demain je vais retelecharger un autre exe des driver 5.3, de chez Ati (c'est la que je les aie telecharger en premier) pour voir... ;)Et je veux, rappeller a tout les detenteurs de carte Ati si, vous pouvez tester, vos nouveaux driver 5.3, avec pest patrol, j'aimerais savoir, si vous avez, le meme resultat, que moi. Merci. a l'avance.
BigOne
 
Messages: 22
Inscription: 11 Aoû 2004, 07:23
Localisation: Quebec,Canada


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 11 invités

cron