Aller au contenu

Backdoor.Roxy


JFunY

Messages recommandés

Bonjour a tous!

J'ai présentement un problème de virus, enfin, plutot un Trojan... norton Antivirus est installé et il détecte Backdoor.Roxy et le fichier Payload.dat se retrouve plusieurs fois dans Quarantaine. J'ai tentée de le supprimer a la méthode de Symantec, soit par la base de registre. Mais la clé a supprimer n'y était pas... J'ai ensuite tentée de rechercher le fichier Payload.dat pour le supprimer, mais l'ordinateur ne le trouve pas, meme chose en mode sans échec... Donc, j'ai besoin d'aide pour régler ce problème car je suis vraiment embêtée! :??: Merci! :)

Lien vers le commentaire
Partager sur d’autres sites

Oui, il affiche un pop up de norton Antivirus :

 

norton Antivirus Notification

Scan Type : Realtime Protection Scan

Event : Virus Found!

Virus Name : Backdoor.Roxy

File : c:Payload.dat

Location : Quarantine

Action Taken : Clean Failed : Quarantine Succeed : Access Denied

Date Found : Mon Sept 29 11:36:22 2003

 

pour ce qui est du scan de virus, il m'affiche simplement qu'il n'a trouvé aucuns virus. :??:

Merci :)

Lien vers le commentaire
Partager sur d’autres sites

Ok, mais il ne risque pas de seulement le deleter a chaque fois? :( Je veux dire que le payload.dat revient tout le temps, il y en a des tonnes de copies dans la section quarantaine, il en ajoute pas moins de 5 par jour... :hum:

Lien vers le commentaire
Partager sur d’autres sites

payload.dat revient tout le temps

 

Essayes de voir si ce n'est pas un Spyware, en passant ad-aware et Spybots (ne détectent pas les mêmes, comlplémentaires).

 

Adaware :

http://www.lavasoftusa.com/french/support/download/

 

spybot :

http://www.safer-networking.org/index.php?...n&page=download

 

Tu mets à jour les logiciels une fois installés, puis tu passes un coup de chaque, cela fonctionne à la manière d'un antivirus. Tu auras sûrement des tas de références, effaces-les.

 

Ensuite, si le fichier non-identifié revient, c'est que ce n'était pas un Spyware.

:D

Lien vers le commentaire
Partager sur d’autres sites

Nan Nan Nan

 

W32.Ramdex-D est un ver réseau qui, s'il est exécuté, se connecte à l'adresse 68.192.170.235 et attend de nouvelles instructions.

 

Le ver ajoute également l'entrée suivante dans la base de clés de registre:

 

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmssyslanhelper

 

W32.Ramdex-D choisit alors aléatoirement des adresses IP et essaie de se connecter au partage en utilisant un dictionnaire de mots de passe.

Si la connexion est établie, le ver essaie de se recopier aux emplacements distants suivants:

 

c$winntsystem32msmsgri32.exe

Admin$system32msmsgri32.exe

 

W32.Ramdex-D programme ensuite une tâche pour exécuter les fichiers recopiés, et implante également un cheval de Troie dans le fichier PAYLOAD.DAT

Lien vers le commentaire
Partager sur d’autres sites

Eh bien j'ai lue! :) Mais tu ne m'a rien proposée pour supprimer le virus, j'ai donc essayée ce que les autres me proposaient! Mais ton explication était excellente! ;) J'ai finalement résout mon problème, j'ai fait quelques essais et j'ai trouvée! J'ai plutot fait une recherche sur W32.Randex-D comme tu l'as mentionné et j'ai trouvée une clé a supprimer dans le registre, j'avais d'abbord supprimée le fichier payload.dat sur la racine du C:\ et j'avais recrée le fichier en blanc, je l'avais également fait en lecture seule. Je me suis dit que comme ca, il n'essaierait pas de le recréer puisqu'il serait déja présent! Ca a finalement fonctionné! Merci pour l'aide!

Lien vers le commentaire
Partager sur d’autres sites

j'ai trouvée une clé a supprimer dans le registre, j'avais d'abbord supprimée le fichier payload.dat sur la racine du C:\ et j'avais recrée le fichier en blanc, je l'avais également fait en lecture seule. Je me suis dit que comme ca, il n'essaierait pas de le recréer puisqu'il serait déja présent! Ca a finalement fonctionné!

Le coup du lecture seule c'était une excellente idée (même si ces saloperies ne s'emm. que rarement avec ce genres de détail), mais je suppose que c'est la suppression de la clé qui a mis fin à la création de ce fichier. :heu:

Au plaisir ! :cool:

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...