Jump to content

Backdoor.Roxy


 Share

Recommended Posts

Bonjour a tous!

J'ai présentement un problème de virus, enfin, plutot un Trojan... norton Antivirus est installé et il détecte Backdoor.Roxy et le fichier Payload.dat se retrouve plusieurs fois dans Quarantaine. J'ai tentée de le supprimer a la méthode de Symantec, soit par la base de registre. Mais la clé a supprimer n'y était pas... J'ai ensuite tentée de rechercher le fichier Payload.dat pour le supprimer, mais l'ordinateur ne le trouve pas, meme chose en mode sans échec... Donc, j'ai besoin d'aide pour régler ce problème car je suis vraiment embêtée! :??: Merci! :)

Link to comment
Share on other sites

Oui, il affiche un pop up de norton Antivirus :

 

norton Antivirus Notification

Scan Type : Realtime Protection Scan

Event : Virus Found!

Virus Name : Backdoor.Roxy

File : c:Payload.dat

Location : Quarantine

Action Taken : Clean Failed : Quarantine Succeed : Access Denied

Date Found : Mon Sept 29 11:36:22 2003

 

pour ce qui est du scan de virus, il m'affiche simplement qu'il n'a trouvé aucuns virus. :??:

Merci :)

Link to comment
Share on other sites

Ok, mais il ne risque pas de seulement le deleter a chaque fois? :( Je veux dire que le payload.dat revient tout le temps, il y en a des tonnes de copies dans la section quarantaine, il en ajoute pas moins de 5 par jour... :hum:

Link to comment
Share on other sites

payload.dat revient tout le temps

 

Essayes de voir si ce n'est pas un Spyware, en passant ad-aware et Spybots (ne détectent pas les mêmes, comlplémentaires).

 

Adaware :

http://www.lavasoftusa.com/french/support/download/

 

spybot :

http://www.safer-networking.org/index.php?...n&page=download

 

Tu mets à jour les logiciels une fois installés, puis tu passes un coup de chaque, cela fonctionne à la manière d'un antivirus. Tu auras sûrement des tas de références, effaces-les.

 

Ensuite, si le fichier non-identifié revient, c'est que ce n'était pas un Spyware.

:D

Link to comment
Share on other sites

Nan Nan Nan

 

W32.Ramdex-D est un ver réseau qui, s'il est exécuté, se connecte à l'adresse 68.192.170.235 et attend de nouvelles instructions.

 

Le ver ajoute également l'entrée suivante dans la base de clés de registre:

 

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmssyslanhelper

 

W32.Ramdex-D choisit alors aléatoirement des adresses IP et essaie de se connecter au partage en utilisant un dictionnaire de mots de passe.

Si la connexion est établie, le ver essaie de se recopier aux emplacements distants suivants:

 

c$winntsystem32msmsgri32.exe

Admin$system32msmsgri32.exe

 

W32.Ramdex-D programme ensuite une tâche pour exécuter les fichiers recopiés, et implante également un cheval de Troie dans le fichier PAYLOAD.DAT

Link to comment
Share on other sites

Eh bien j'ai lue! :) Mais tu ne m'a rien proposée pour supprimer le virus, j'ai donc essayée ce que les autres me proposaient! Mais ton explication était excellente! ;) J'ai finalement résout mon problème, j'ai fait quelques essais et j'ai trouvée! J'ai plutot fait une recherche sur W32.Randex-D comme tu l'as mentionné et j'ai trouvée une clé a supprimer dans le registre, j'avais d'abbord supprimée le fichier payload.dat sur la racine du C:\ et j'avais recrée le fichier en blanc, je l'avais également fait en lecture seule. Je me suis dit que comme ca, il n'essaierait pas de le recréer puisqu'il serait déja présent! Ca a finalement fonctionné! Merci pour l'aide!

Link to comment
Share on other sites

j'ai trouvée une clé a supprimer dans le registre, j'avais d'abbord supprimée le fichier payload.dat sur la racine du C:\ et j'avais recrée le fichier en blanc, je l'avais également fait en lecture seule. Je me suis dit que comme ca, il n'essaierait pas de le recréer puisqu'il serait déja présent! Ca a finalement fonctionné!

Le coup du lecture seule c'était une excellente idée (même si ces saloperies ne s'emm. que rarement avec ce genres de détail), mais je suppose que c'est la suppression de la clé qui a mis fin à la création de ce fichier. :heu:

Au plaisir ! :cool:

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...