Backdoor.trojan

salut
désactive la restauration système (outils système)

redémarre en mode sans échec (F8 au lancement de XP)
refais tes scans avec tout( norton + antitrojan)

ça devrait aller
;-)

J'ai exactement le meme voir le poste du meme nom ;o)
Bon le problème c'ets qu'ne mode sans echec, le fichier sqlp.dll n'apparait pas !
C'ets ca le probleme lol bon je vais quand meme réessayer je vous tiens en courant!

"tu vas voir satané virus!"

dans options des dossiers coche "afficher fichiers masqués et protégés" pour voir ton beau trojan

;-)

bon, maintenant, sachant que moi, j'ai ce probleme mais que j'ai windows 2000.. et que "restauration sytem" n'existe pas .. je fais comment??

Salut Geek!
Merci d'essayer de nous repondre.
Mais le problème c'est que je l'ai déjà fait... et il apparait pas... Bref c'est la galère

Faite un recherche sous google avec le nom du virus ou alors sur le site suivant
Ici

bonjour
je suis infecte par backdoor.trojan.
j'ai desactive la restauration du systeme puis j'ai coche l'option afficher les dossiers caches.
ensuite j'ai bascule en mode sans echec et j'ai scane les disques avec des anti trojan et norton mais ils n'ont rien detectes.
en fait le dossier infecte (system32\coml.dll ) ne s'affiche pas. que puis je faire pour eradique ce virus.
merci pour votre aide

Alors qu'est-ce qui te rend si sûr que ton virus est tjs là?

on est sur ke le virus est toujour présent dans l'ordinateur car norton n'arrete pas de le repérer dés kon rentre sur windows, malgré ke le fichier infecter ne soit pas visible(meme en fichier caché)

pour ton problème de trojan va voir ici tout en bas de la page sa put te dépanner : secuser.com ;-)

pour ton problème de trojan va voir ici tout en bas de la page sa put te dépanner : secuser.com ;-)

oups désolé!!! :-o

moi j'y suis dejà allé et leur programme anti bachdoor trojan ne fait rien... et ne detecte rien...

Bon voila ce que je pense...
En fait le fichier infecté doit etre créé lors du démarage de windows... Donc lorsqu'on le demarre en mode sans echec il n'est pas créé... et Norton et les anti trojan ne le detecte pas...
Mais lorsqu'on demarre windows en mode normal, Norton le detecte mais ne peux pas enlever le fichier car il est en cours d'utilisation...
Bref en fait faudrait savoir quel processus utilise ce fichier... et ca je ne sais pas faire...

Au fait simple question... moi je me suis chopé le virus en ouvrant MSN et vous? ed plus ce qui est bizzard c'ets la date du fichier moi c'ets sqlp.dll créé le 26juin... et vous?

Salut, télécharger Stinger sur cette page et scanner vos PC avec, il devrait être en mesure de supprimer ce trojan. Bonne chance.

Il ne faut meme pas penser a l'utilisation de ce logiciel et de n'importe lequel dailleur, g déja essayer toute sorte de logi dont a² stinger mais rien a faire.

Il y a qu'un solution mais jne ser plus laquel, g entendu parler kil fallai aller dans " regedit" aller supprimer une clé en rapport avec ca, seulement yen a plusieux milliers.

Laquel choisir ? :-o

:-o

J'ai le m pb depuis lundi: je n'utilise pas messenger.
J'ai lancé sans succès: A2, ad Aware, Trojan remover, Stinger, Spybot, CwShredder, The Cleaner, Tauscan.
Par contre, j'ai édité ca avec Hijack. Qq pourrait-il m'indiquer s'il y a une clef suspecte?
Merci.

Logfile of HijackThis v1.97.7
Scan saved at 13:09:39, on 21/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\TPSMain.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Fichiers communs\RTE\RTEGPRS.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\bruxelles2\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.levillage.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {369C0741-D8F4-47AC-B8DB-9BC67F79E5CC} - (no file)
O2 - BHO: (no name) - {4A1D92A8-33E9-49C0-AF9E-3885B437B659} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: (no name) - {5F00014C-3E13-4E79-A0FE-157756706385} - (no file)
O2 - BHO: (no name) - {B929EB81-0C42-407E-AD9C-A0F4FE04E924} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FF5D6818-CBC5-4085-9E0D-DCC3E362DF63} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TFncKy] C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [Opware12] "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [RTEGPRS] "C:\Program Files\Fichiers communs\RTE\RTEGPRS.exe" tray
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)
O9 - Extra button: Run WinHTTrack (HKLM)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack (HKLM)
O9 - Extra button: NetAnts (HKLM)
O9 - Extra 'Tools' menuitem: &NetAnts (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash...

J'ai trouvé la solution!!!
Bon je l'ai trouvé sur un autre forum donc j'espère que les admins vont pas m'en vouloir de mettre le lien...
http://www.commentcamarche.net/forum/affich-886205-Back...
Mais franchement c'ets trop bon ca m'a enlevé le virus mais aussi plein d'autre spy aware!
Bref grand merci à bal-trap!
En tout cas merci à tous pour vos elements de reponses!

TORGNOLL AIDE MOI !!!!!
j'ai backdoor qui m'a envahi!!
j'ai été voir sur ton forum, mais tu a utilisé quel procédé pour tout enlevé?? il y en a tellement!!! aide moi stp

Donc y a une personen qui s'appele ball trap et franchement j'ai fait toutes ces manips et j'ai reussi à l'enlever...
Donc d'abord il te donne un lien pour telecharger un programme : dllfix.exe :

--citation--
http://membres.lycos.fr/aricop/forum/dllfix.exe
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
--------------------------------

En fait le fichier trouvé c'est le fichier contaminé...


----Citation------
-Relance "dllfix.exe" du début. Cette fois-ci option "2 : run fix"

Sous menu "1- Enter dll name..."

Tu rentres le nom : C:\WINDOWS\SYSTEM32\WDMECF.DLL (ou le nom de ton fichier contaminé)

Touche entrée.

-Il va la chercher et la supprimer après un redémarrage.

-Passer CoolWebSchredder : ->Fix.

-Passer AdAware et supprimer tout ce qu'il trouvera.
(Passer CWS et AdAware impérativement, même si ça a été fait avant!)
voici les lien des 2 log a telecharger avant
CWShredder
http://www.spywareinfo.com/~merijn/downloads.html
--------------------

Bref super merci Ball Trap!!!!!!

Cool!
Merci je suis enfin débarassé de cette m***.
Vive la solidarité du web! :-D

bonjour
J'ai utilisé la procédure ball trap 34 sans succés.
Le .dll foireux est bien détecté le reboot se passe bien puis CWS puis Ad_ware et pan le revoilou.
Il est vrai que j'ai choppé CWShredder sur un autre site et la mise à jour n'a pas été possible vu que le site spywareinfo est tombé en carafe récemment pour une question de disque dur si j'ai bien compris.

Est ce que ceci peut expliquer que le trojan est toujours bien installé chez moi ?

par avance merci

Moi mon problème , c'est que j'avais un fichier "res.dll" dans "systéme 32" et qu'il était infécté par "BACDOOR.TROJAN" et que je n'ais pas pu le réparer avec aucun programme proposé, et ni le supprimer ,et j'ais galéré pas mal.........


Maintenant J'ais la solution, chez moi sa à fonctionné.....et c'est tout bête!!!

D'abord il faut cocher "désactiver la restauration", et redémarer en mode sans échec en passant par "msconfig" dans "executer" et dans "boot.ini" cocher "safeboot" et redémarer.
Ensuite en mode sans échec, tu crées un dossier que tu nommes par exemple "j't'aurais", et tu glisse ton fichier infecté dedans. Aprés tu envois ton dossier à la corbeille, et le tour et joué. Bonne chance à tous

oulala .. le site que tu m'as donné torgnoll ne veut pas s'afficher.. je suis en pleine mer! et je coule.. gloup gloup .. bref, rien a faire.. et norton ne me detecte rien.. j'ai fait "le mode sans echec plus le scan" j'essai d'aller voir sur "symatec" mais c tout en anglais!!! j'ai été voir partout .. je suis supper decus.. demain si je trouve rien j'ammene tout a la casse!!!   .. j'ai plus qu'a formater je crois bien..

Merci pour la réponse jm54
Mais ces .dll sont des fichiers qui existent à la base ou ils sont créés par le troyen ?
Si on suis ta méthode : tu détruis (en safe boot) à chaque infection on peut penser qu'à un moment ben pour le coup il ne te restera plus rien :-D
Non sans rire je suis perdu maintenant...
Merci d'éclairer la buse que je suis.

j'ai oublié de dire que j'ai windows 2000 pro et la restauration systeme N EXISTE PAS !!!

Salut

Avant de suprimer le fichier " .dll" , j'ais tout simplement contrôlé sur un autre PC, et il n'existe pas.
Depuis que je l'ais suprimé, je n'ais pas eu un problème.Si des problèmes survenait, je le ferais savoir.Si tu as des doutes attents un peut, mais je suis confiant
A bientôt

Re salut

Pour la réstauration, c'est peut-être pas utille.

Par prudence, au lieu de supprimer ton fichier " dll", sauvegarde le sur disquette par exemple.

Re à bientôt

mais c'est quoi ce fichier "dll" ?

.dll est l'extension du fichier infecté détecté par l'antivirus.
Pour ma part backdoor trojan a infecté ,dixit Norton, un fichier du nom de logjdjj.dll. Pour jm54 c'est res.dll.
Apparemment ce sont en fait des fichiers créés par le troyen.
Mais .dll est aussi l'extension des drivers système si j'ai bien compris.

Mon fichier contaminé s'appellait "res dll", j'ais pu constaté sur le forum que d'autres avait un autre nom, mais toujours "---.dll". Relève le nom du tien et essai ma métode.
salut

Un ".dll" est une librairie. C'est l'extension des librairies necessaires à l'exécution des executables. En abrégé, dll veut dire Dynamic Linking Librairy, elles contiennent des fonctions ou procédures standards qui peuvent etre utilisées par n'importe quelle application (ou executable). Il faut donc etre vigilant lorsqu'on supprime une dll car on peut supprimer une librairie dans laquelle se trouvent une ou plusieurs fonctions nécessaires à l'execution de plusieurs programmes (tels que excel, un jeu ou une appli de retouche photo, .....) :-D

Norton m'affiche également un message d'alerte sur backdoor trojan, mais le fichier impliqué est kbdfcga.dll. J'ai essayé de l'effacer (dans c:\windows\system32) et je ne le trouve pas.
J'ai arrêté la restauration, je suis sous XP, et j'ai scanné en mode sans échec, rien n'y fait.

C'est arrivé le vers le 18 juillet

Avez-vous rencontré ce pb avec le même nom de fichier ?

Je vais essayé la méthode de Torgnoll

kome je lé deja di
"les trojan c les plu facile a supprimé.c simple il suffi de supprimé les fichier tenporary file. allé dan pano de configuration>option internet et vou cliqué sur supprimer les fichier... sa marche vraimen et c tou simple"
et voila

J'avais déjà essayé option internet/supprimé fichiers et ça n'a pas marché.

Par contre avec le truc de Torgnoll ça été efficace

Merci à Torgnoll

voilas je suis nouveau dans ce forum...
j'ai 16 ans..pour ceux que sa intéresse brefff.
voilas j'ai chopé le virus backdoor....j'ai lu vos réponses et dons décoché restauration systéme et insatallé stinger..rien a faire..
pourais t'on m'expliquer dans des termes compréhensibles par un noobi de l'informatik...
merci d'avance a tout le monde.. :-P

salut a tous!
Moi il m'est arrivée la même chose que vous tous : j'ai été contaminé par ce virus :-x . Mais moi le truc le plus délirant, c'est que pendant que je lisais vos messages sur ce forum, aprés plusieurs tentative de supression de ce virus, Norton Antivirus 2005 l'a réparé automatiquement à ma grande surprise sans rien lui demander :-D :-P :-o . J'aimerais avoir une explication sur ce comportement du logiciel si possible.
Merci
@+ ;-)

il se peut que norton se sois mis a jour et as donc pu te reparer ton trojan

j'ai exactement le me^me probleme mise a part que moi norton arrive a le suprimer ^^ . Enfin preske vu k'il reaparait a chaque demarage de windows avec un nom différent ds C:\Documents and Settings\"moi"\Local Settings\Temp? il me l'affiche avec ce nom: 97exmodulah.exe mais a chaque fois il se copie avec un nombre différent au debut et je ne trouve pas le fichier qui me copie ce ***** de trojan. Il me desactive ma protection internet au demarage ainsi que les maj automatiques AIDEZ MOI je vous en supli!!!!

Moi, quand je lance dllfix.exe/start.bat, il me dit que le fichier système ne convient pas à l'exécution des applications MS-DOS ou Microsoft Windows.

moi kan je suis aller en mode sans echec et que je suis revenu en mode normal le theme du vieu windows est rester et je peu plus le changer puiske le theme de windows xp n existe plus!!!

J'ai eu le même souci que Orditutor avec en plus des fichiers du type *exmodul*.exe qui voulait se connecter sur le net. Dans windows/system il y avait le fichier smss.exe qui avait une date récente (la date de contamination en fait) je l'ai remplacé par un simple copier-coller par le vrai smss.exe qui se trouve dans windows/system32 et qui est beaucoup plus ancien. Ne pas se tromper dans la manip car c'est un fichier critique. Depuis plus de pb.

J'ai le meme probleme, Norton m'avertie qu'un virus ''BAckdoor.trojan'' a infecté mon ordinateur... J'ai essayé toutes les moyen indiqué sur les 2 pages. Mais moi mon fichiers corrompu est visible en safe mode, mais elle n'est pas supprimable t'en en safe mode ou en mode normal '' c:\window\system32\wineij32.dll ''
Si quelqu'un peut m'aider a l'enlever j'ai essayer le scan de spybot..., ad aware SE, norton, spyware doctor et stringer

Si vous pouvez m'aider merci

moi j'ai trouver LA solution ultime et sans echec (enfin jusqu'a maintenant) j'ai tout simplement reinstallé mon system (windowsXP) parce que avec deux virus en plus de ce trojan j'ai penser que sa allait bien comme :-(. Mais quand même refléchisez avant de faire comme moi sinon vous etes bon pour le faire tout les 6 mois minimum ( sava je me suis habitué
;-) sur ce bonne chance ^^ :-P

J'ai pas tout compris ta solution mais avoir deux virus de plus je pense pas j'essaie deja d'en retirer un autre