hijacked !!!

bacchus

21/06/2004 à 11:33

LG avait soumis l'idée :

C:WINDOWSSystem32netda.exe

Trojan.Dumaru.AJ ou Backdoor.Nibu.E
Va voir
:http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=t&submit=suche&show=Trojan.Dumaru.AJ

ou :http://www.sophos.com/virusinfo/analyses/trojdumaruaj.html
ou
:http://securityresponse.symantec.com/avcenter/venc/data/backdoor.nibu.e.html
avec les instructions pour l'enlever en anglais .

--
bacchus , me répondre sur le newsgroup .

joke0

21/06/2004 à 11:35

Salut,

LG:

je ne sais pas mais j'ai cette ligne qui est revenu après
avoir disparu quelques jours, c'est normal?

Non.

O4 - HKLM..Run: [load32] C:WINDOWSSystem32netda.exe

J'ai vu ça il n'y a pas longtemps. C'est dumadoor:

C'est normalement accompagné de:
NETDB.EXE
NETDC.EXE
PRNTSRV.DLL

Tu devrais avoir la ligne suivante:
system.ini : [boot] shell=explorer.exe %System%netdc.exe

Et puisque je te dis depuis 3j (par e-mail) de nettoyer cette
bestiole, voici la preuve qu'elle est toujours là...

Voir aussi:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Windows NTCurrentVersionWinlogon
Shell = "explorer.exe %System%netdc.exe"

remettre Shell = "explorer.exe"

Tu ferais bien, de publier ton rapport ici.

Tu peux toujours me l'envoyer ou la faire scanner là:
<URL:http://www.kaspersky.com/fr/remoteviruschk.html>

--
joke0

joke0

21/06/2004 à 11:42

Salut,

bacchus:

C:WINDOWSSystem32netda.exe

Trojan.Dumaru.AJ ou Backdoor.Nibu.E

(c'est la même bestiole, mais nommée différemment pas Ikarus et
Symantec).

Il peut aussi s'agir d'une variante connue ou inconnue.

--
joke0

LG

21/06/2004 à 15:53

"joke0" a écrit dans le message de
news:

Salut,

LG:
je ne sais pas mais j'ai cette ligne qui est revenu après
avoir disparu quelques jours, c'est normal?

Non.

O4 - HKLM..Run: [load32] C:WINDOWSSystem32netda.exe

J'ai vu ça il n'y a pas longtemps. C'est dumadoor:

C'est normalement accompagné de:
NETDB.EXE
NETDC.EXE
PRNTSRV.DLL

Tu devrais avoir la ligne suivante:
system.ini : [boot] shell=explorer.exe %System%netdc.exe

Et puisque je te dis depuis 3j (par e-mail) de nettoyer cette
bestiole, voici la preuve qu'elle est toujours là...

Voir aussi:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Windows NTCurrentVersionWinlogon
Shell = "explorer.exe %System%netdc.exe"

remettre Shell = "explorer.exe"

Tu ferais bien, de publier ton rapport ici.

Tu peux toujours me l'envoyer ou la faire scanner là:
<URL:http://www.kaspersky.com/fr/remoteviruschk.html>

--
joke0
voici le dernier rapport:

Logfile of HijackThis v1.97.7
Scan saved at 15:52:23, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccProxy.exe
C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
C:Program FilesNorton Internet Security ProfessionalNorton
AntiVirusnavapsvc.exe
C:Program FilesNorton Internet Security ProfessionalNorton
AntiVirusAdvToolsNPROTECT.EXE
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:WINDOWSSystem32RunDll32.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesMSN Messengermsnmsgr.exe
F:Ramboost XPRamBoost XPrambxpfr.exe
C:Program FilesNorton Internet Security ProfessionalNorton
AntiVirusSAVScan.exe
C:Program FilesMessengermsmsgs.exe
F:avantbrowserAvant Browseriexplore.exe
C:Program FilesOutlook Expressmsimn.exe
F:HijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = www.free.fr
F0 - system.ini: Shell=explorer.exe C:WINDOWSSystem32netdc.exe
F2 - REG:system.ini: Shell=explorer.exe C:WINDOWSSystem32netdc.exe

et je ne trouve aucun fichier netcd, ni de fichier system ini ou boot comme
tu me demandais de chercher ...

LG

"joke0" <joke0@tiscali.fr> a écrit dans le message de
news:XnF950F75FEBF149joke0@127.0.0.1...

Salut,

LG:

je ne sais pas mais j'ai cette ligne qui est revenu après
avoir disparu quelques jours, c'est normal?

Non.

O4 - HKLM..Run: [load32] C:WINDOWSSystem32netda.exe

J'ai vu ça il n'y a pas longtemps. C'est dumadoor:

C'est normalement accompagné de:
NETDB.EXE
NETDC.EXE
PRNTSRV.DLL

Tu devrais avoir la ligne suivante:
system.ini : [boot] shell=explorer.exe %System%netdc.exe

Et puisque je te dis depuis 3j (par e-mail) de nettoyer cette
bestiole, voici la preuve qu'elle est toujours là...

Voir aussi:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Windows NTCurrentVersionWinlogon
Shell = "explorer.exe %System%netdc.exe"

remettre Shell = "explorer.exe"

Tu ferais bien, de publier ton rapport ici.

Tu peux toujours me l'envoyer ou la faire scanner là:
<URL:http://www.kaspersky.com/fr/remoteviruschk.html>

--
joke0
voici le dernier rapport:

Logfile of HijackThis v1.97.7
Scan saved at 15:52:23, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccProxy.exe
C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
C:Program FilesNorton Internet Security ProfessionalNorton
AntiVirusnavapsvc.exe
C:Program FilesNorton Internet Security ProfessionalNorton
AntiVirusAdvToolsNPROTECT.EXE
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:WINDOWSSystem32RunDll32.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesMSN Messengermsnmsgr.exe
F:Ramboost XPRamBoost XPrambxpfr.exe
C:Program FilesNorton Internet Security ProfessionalNorton
AntiVirusSAVScan.exe
C:Program FilesMessengermsmsgs.exe
F:avantbrowserAvant Browseriexplore.exe
C:Program FilesOutlook Expressmsimn.exe
F:HijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = www.free.fr
F0 - system.ini: Shell=explorer.exe C:WINDOWSSystem32netdc.exe
F2 - REG:system.ini: Shell=explorer.exe C:WINDOWSSystem32netdc.exe

et je ne trouve aucun fichier netcd, ni de fichier system ini ou boot comme
tu me demandais de chercher ...

LG

Vous avez filtré cet utilisateur ! Consultez son message

"joke0" a écrit dans le message de
news:

Salut,

LG:
je ne sais pas mais j'ai cette ligne qui est revenu après
avoir disparu quelques jours, c'est normal?

Non.

O4 - HKLM..Run: [load32] C:WINDOWSSystem32netda.exe

J'ai vu ça il n'y a pas longtemps. C'est dumadoor:

C'est normalement accompagné de:
NETDB.EXE
NETDC.EXE
PRNTSRV.DLL

Tu devrais avoir la ligne suivante:
system.ini : [boot] shell=explorer.exe %System%netdc.exe

Et puisque je te dis depuis 3j (par e-mail) de nettoyer cette
bestiole, voici la preuve qu'elle est toujours là...

Voir aussi:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Windows NTCurrentVersionWinlogon
Shell = "explorer.exe %System%netdc.exe"

remettre Shell = "explorer.exe"

Tu ferais bien, de publier ton rapport ici.

Tu peux toujours me l'envoyer ou la faire scanner là:
<URL:http://www.kaspersky.com/fr/remoteviruschk.html>

--
joke0
voici le dernier rapport:

Logfile of HijackThis v1.97.7
Scan saved at 15:52:23, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccProxy.exe
C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
C:Program FilesNorton Internet Security ProfessionalNorton
AntiVirusnavapsvc.exe
C:Program FilesNorton Internet Security ProfessionalNorton
AntiVirusAdvToolsNPROTECT.EXE
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:WINDOWSSystem32RunDll32.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesMSN Messengermsnmsgr.exe
F:Ramboost XPRamBoost XPrambxpfr.exe
C:Program FilesNorton Internet Security ProfessionalNorton
AntiVirusSAVScan.exe
C:Program FilesMessengermsmsgs.exe
F:avantbrowserAvant Browseriexplore.exe
C:Program FilesOutlook Expressmsimn.exe
F:HijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = www.free.fr
F0 - system.ini: Shell=explorer.exe C:WINDOWSSystem32netdc.exe
F2 - REG:system.ini: Shell=explorer.exe C:WINDOWSSystem32netdc.exe

et je ne trouve aucun fichier netcd, ni de fichier system ini ou boot comme
tu me demandais de chercher ...

LG

joke0

21/06/2004 à 16:46

Salut,

LG:

NETDB.EXE
NETDC.EXE
PRNTSRV.DLL

Tu as ceux là?

F0 - system.ini: Shell=explorer.exe C:WINDOWSSystem32netdc.exe
F2 - REG:system.ini: Shell=explorer.exe C:WINDOWSSystem32netdc.exe

Et si tu élimines ces lignes depuis le mode sans échec?

et je ne trouve aucun fichier netcd, ni de fichier system ini
ou boot comme tu me demandais de chercher ...

Et en utilisant ça:
<URL:http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml>

--
joke0

hijacked !!!

5 réponses

Veuillez sélectionner un problème