Backdoor prorat semble empêcher Norton d'effectuer un scan

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Backdoor prorat semble empêcher Norton d'effectuer un scan

Messagede Sblondel1 » 06 Avr 2004, 23:44

Bonjour,

J'ai été infecté par Un trojan nommé Backdoor Prorat. C'est très bizarre, Norton (pro 2003) le détecte à chaque fois (il voit des fichiers nommés wininv.dll et winkey.dll dans C:\winnt\system32), il arrive quelquefois à supprimer ces fichiers, mais à chaque fois que je redémarre mon PC, le trojan est à nouveau détecté.
Ce qui est encore plus bizarre, c'est que Norton est à chaque démarrage en "off" pour "l'auto protect", alors que je le reconfigure à chaque fois pour qu'il soit en "on" au démarrage. De même, il est impossible d'effectuer un scan du system avec Norton, c'est comme si il était bloqué...
Encore plus bizarre : j'ai pris mon disque dur sous le bras et je suis allé chez un ami qui l'a installé en slave sur son PC et a donc pu effectuer un scan avec son Norton, qui n'a rien trouvé. Je rentre chez moi, je réinstalle mon disque, je démarre le système, et hop : à nouveau Backdoor prorat !
J' ai essayé les détecteurs de trojans proposés sur ce site, ils n'ont rien vu.
J'ai essayé des antivirus online, ils n'ont rien vu.
J'ai réinstaller Norton 2003 (pas avec le CD, mais avec unimage du CD que j'ai sur mon disque), ça n'a rien changé.
Je suis allé éliminer les clés (dans la base de registre) indiquées sur le sites de symantec comme clés à détruire pour règler le problème de ce trojan, ça n'a rien changé...
J'arrive à ouvrir Norton (au début, je ne pouvait plus), le "live update fonctionne, j'arrive à réactiver "l'auto protect", mais toujours impossible de faire la moindre analyse du système ! Est-ce Norton lui même qui est affecté ?
Je ne sais plus quoi faire, au secours...
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Messagede Vazkor » 07 Avr 2004, 01:37

Bonjour,

N'aurais-tu pas omis de désactiver la restauration système, avant de nettoyer?

1. Désactiver la restauration système
2. Redémarrer
3. Nettoyer
4. Redémarrer
5. Nouveau scan pour contrôle
6. Réactiver la restauration système

Procédure Symantec pour Backdoor.Prorat: http://securityresponse.symantec.com/av ... rorat.html
De Sophos:
http://www.sophos.com/virusinfo/analyse ... oratd.html

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Sblondel1 » 07 Avr 2004, 07:07

Bonjour Jean-Claude,

Je ne pense pas que ce soit une chose que l'on peut faire avec mon OS, je suis sous Win 2k pro, et de toute façon, le scan du système ne fonctionne pas lorsque je le lance...

Stef.
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Messagede Sblondel1 » 07 Avr 2004, 07:17

autre chose : j' ai installé regcleaner, lui non plus ne se lance pas...
Je vais peut-être dire une bêtise, mais c'est comme si certaine applications destinées à scanner les dossiers étaient bloquées...

Stef
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Messagede Vazkor » 07 Avr 2004, 07:31

Bonjour,

Effectivement tu n'as pas de restauration système. Quelle chance, entre nous.

Si tu n'arrives pas à éradiquer ce troyen avec Norton, c'est que le loader/installer est encore là.

Voici ce que j'ai trouvé sur le site des auteurs. Rien de tel que des renseignements de première main ;o)
http://www.megasecurity.org/trojans/p/p ... plete.html

Version 1.0
Servers:
c:\WINDOWS\SYSTEM\sservice.exe
c:\WINDOWS\SYSTEM32\fservice.exe
c:\WINDOWS\winlogon.exe

size: 315.392 bytes

port: 5110, 5112, 51100 TCP

startup:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y} "StubPath"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "DirectX For Microsoft® Windows"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"
c:\windows\win.ini, [windows] "run"
c:\windows\system.ini, [boot] "shell"


added:
c:\WINDOWS\SYSTEM\ktd32.atm

Server1:
size: 326.656 bytes

version 1.6
port: 5110, 5112, 51100 TCP

startup:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y} "StubPath"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "DirectX For Microsoft® Windows"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"
c:\windows\system.ini, [boot] "shell"
c:\windows\win.ini, [windows] "run"

dropped files:
c:\WINDOWS\SYSTEM\sservice.exe
c:\WINDOWS\SYSTEM\winkey.dll
c:\WINDOWS\SYSTEM32\fservice.exe

Server2:
down_server.exe:
size: 2.784 bytes

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede pierre » 07 Avr 2004, 08:35

Bonjour,

Est-ce que tu es à l'aise avec les clés de le BDR ? Est-ce que tu t'en sort avec ce que t'a donné Jean-Claude ? Attention ! Recherche les valeurs dans les clés indiquées, ne détruit pas les clés elle-mêmes.

Tu peux essayer un antivirus en ligne ainsi que le scanner de GFI

Antivirus en ligne
http://assiste.com.free.fr/p/frameset/03_01.php


Anti-trojans en ligne
http://assiste.com.free.fr/p/frameset/03_06.php
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28427
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Sblondel1 » 07 Avr 2004, 09:49

Merci à tous les deux.
Est-ce que Le message de Jean-claude signifie que je dois effacer les occurences en question de la BDR et du système? En fait, j'en ai déjà effacer quelques unes, celles qui étaient indiquées chez Symantec, mais les renseignements que vous me fournissez sont plus complets...

Stef.
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Messagede Vazkor » 07 Avr 2004, 10:54

Bonjour,

Il y a au moins six versions de ProRat, mais elles semblent toutes avoir ces clés en commun:

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y} "StubPath"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "DirectX For Microsoft® Windows"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"

Plus des entrées dans System.ini et Win.ini
c:\winnt\system.ini, [boot] "shell"
c:\winnt\win.ini, [windows] "run"

Supprime les toutes les valeurs indiquées en gras dans la BDR et les lignes dans les fichiers ini.

Regarde si tu trouves des fichiers renseignés ci-après:
C:\Winnt\System\loader.exe
C:\Winnt\System\msmsg.exe
C:\Winnt\System\main.exe
C:\Winnt\System\loader.exe
C:\Winnt\System\msmsg.exe
C:\Winnt\System\winkey.dll
C:\Winnt\System\sservice.exe
C:\Winnt\System32\fservice.exe
C:\Winnt\winlogon.exe
C:\Winnt\System\ktd32.atm

Ce sont des fichiers qui pourraient être installés par une des versions connues, d'après ce que j'ai pu voir en regardant toutes les versions.

Tiens nous au courant.

@+

Mon passage chez les hackers m'a permis de récupérer les sources en C de MyD00M.A, que je suis en train d'étudier.
Je vais me remettre à la programmation, après 20 ans.
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Sblondel1 » 07 Avr 2004, 11:29

Merci beaucoup, je vais voir tout ça et je te tiens au courant...

Stef.
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Messagede Sblondel1 » 07 Avr 2004, 11:52

OK, j'ai trouvé et éliminé les valeurs que tu m'as indiqué dans la base de registre. Je n'ai trouvé aucun des fichiers dans C:\Winnt... (mais comme Norton détecte le virus, il a lui même éliminé Winkey.dll et un certain Wininv.dll (dans system32).
Par contre, je ne comprend pas ce qu'il faut faire avec ça :

Plus des entrées dans System.ini et Win.ini
c:\winnt\system.ini, [boot] "shell"
c:\winnt\win.ini, [windows] "run"


il y a bien des fichiers portant ces noms dans c:\winnt, mais pas de "shell" ou de "run", dois-je les supprimer ? Dois-je les ouvrir et supprimer les valeurs "shell" et "run" à l'intérieur (je ne les y ai pas vu...), ne sont-ils pas placer là où je les cherche (c:\winnt\) ?

Je sais que j'abuse peut-être de ta patience...

Stef.
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 33 invités