Backdoor détecté
Québec1
Messages postés
4
Statut
Membre
-
Québec1 Messages postés 4 Statut Membre -
Québec1 Messages postés 4 Statut Membre -
Bonjour,
Je ne sais trop quel est la meilleure chose à faire dans le cas suivant, le logiciel The Cleaner a détecté un backdoor et je ne connaîs pas vraiment la procédure. Voici son rapport:
19-07-10 13:13:34: Session>Started
19-07-10 13:13:34: Startup>The Cleaner 2011 7.2.0.3510
19-07-10 13:13:34: >
19-07-10 13:13:34: >=== UNREGISTERED ===
19-07-10 13:13:34: >
19-07-10 13:13:36: Startup>Intel(R) Celeron(R) CPU 1.70GHz
19-07-10 13:13:36: Startup>Windows 2000 SP3
19-07-10 13:13:36: Startup>UAC unavailable.
19-07-10 13:13:36: Startup>Memory load: 93%
19-07-10 13:13:36: Startup>Physical memory: 247Mb
19-07-10 13:13:36: Startup>Malware Database: C:\Program Files\The Cleaner\malware.abs
19-07-10 13:13:36: Startup>Registry Database: C:\Program Files\The Cleaner\registry.abs
19-07-10 13:13:36: Startup>Files Database: C:\Program Files\The Cleaner\files.abs
19-07-10 13:13:36: Startup>Filespect Database: C:\Program Files\The Cleaner\filespect.abs
19-07-10 13:13:36: Startup>DeepScan Database: C:\Program Files\The Cleaner\deepscan.abs
19-07-10 13:13:36: Startup>Whitelist Database: C:\Documents and Settings\Marie1\Application Data\thecleaner\whitelist.abs
19-07-10 13:13:36: Startup>Malware Database Version 1355
19-07-10 13:13:39: Scan>Command line scan started.
19-07-10 13:13:39: Scan>"C:\Program Files\The Cleaner\cleaner7.exe" "C:\Documents and Settings\Marie1\Local Settings\Temporary Internet Files\Content.IE5\1FRFPDCE\Artistique.pptx"
19-07-10 13:13:48: Scan>Scan of 54 objects completed in 8 secondes
19-07-10 13:13:48: Scan>No malware detected.
19-07-10 13:14:00: Scan>Smart Scan started.
19-07-10 13:14:23: Scan>[R] 125: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias: Backdoor
19-07-10 13:14:24: Scan>Scan stopped.
19-07-10 13:14:24: Scan>Scan of 2308 objects completed in 5 secondes
19-07-10 13:14:24: Scan>Malware detected.
19-07-10 13:16:54: Scan>Smart Scan started.
19-07-10 13:16:57: Scan>[R] 125: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias: Backdoor
19-07-10 14:01:52: Scan>Scan of 19846 objects completed in 44 minutes, 55 secondes
19-07-10 14:01:52: Scan>Malware detected.
Est-ce vraiment un backdoor et quel est la procédure à faire ? Est-ce que je dois faire effectuer la réparation ?
Merci de votre aide
Je ne sais trop quel est la meilleure chose à faire dans le cas suivant, le logiciel The Cleaner a détecté un backdoor et je ne connaîs pas vraiment la procédure. Voici son rapport:
19-07-10 13:13:34: Session>Started
19-07-10 13:13:34: Startup>The Cleaner 2011 7.2.0.3510
19-07-10 13:13:34: >
19-07-10 13:13:34: >=== UNREGISTERED ===
19-07-10 13:13:34: >
19-07-10 13:13:36: Startup>Intel(R) Celeron(R) CPU 1.70GHz
19-07-10 13:13:36: Startup>Windows 2000 SP3
19-07-10 13:13:36: Startup>UAC unavailable.
19-07-10 13:13:36: Startup>Memory load: 93%
19-07-10 13:13:36: Startup>Physical memory: 247Mb
19-07-10 13:13:36: Startup>Malware Database: C:\Program Files\The Cleaner\malware.abs
19-07-10 13:13:36: Startup>Registry Database: C:\Program Files\The Cleaner\registry.abs
19-07-10 13:13:36: Startup>Files Database: C:\Program Files\The Cleaner\files.abs
19-07-10 13:13:36: Startup>Filespect Database: C:\Program Files\The Cleaner\filespect.abs
19-07-10 13:13:36: Startup>DeepScan Database: C:\Program Files\The Cleaner\deepscan.abs
19-07-10 13:13:36: Startup>Whitelist Database: C:\Documents and Settings\Marie1\Application Data\thecleaner\whitelist.abs
19-07-10 13:13:36: Startup>Malware Database Version 1355
19-07-10 13:13:39: Scan>Command line scan started.
19-07-10 13:13:39: Scan>"C:\Program Files\The Cleaner\cleaner7.exe" "C:\Documents and Settings\Marie1\Local Settings\Temporary Internet Files\Content.IE5\1FRFPDCE\Artistique.pptx"
19-07-10 13:13:48: Scan>Scan of 54 objects completed in 8 secondes
19-07-10 13:13:48: Scan>No malware detected.
19-07-10 13:14:00: Scan>Smart Scan started.
19-07-10 13:14:23: Scan>[R] 125: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias: Backdoor
19-07-10 13:14:24: Scan>Scan stopped.
19-07-10 13:14:24: Scan>Scan of 2308 objects completed in 5 secondes
19-07-10 13:14:24: Scan>Malware detected.
19-07-10 13:16:54: Scan>Smart Scan started.
19-07-10 13:16:57: Scan>[R] 125: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias: Backdoor
19-07-10 14:01:52: Scan>Scan of 19846 objects completed in 44 minutes, 55 secondes
19-07-10 14:01:52: Scan>Malware detected.
Est-ce vraiment un backdoor et quel est la procédure à faire ? Est-ce que je dois faire effectuer la réparation ?
Merci de votre aide
A voir également:
- Backdoor détecté
- Clé usb non detecté - Guide
- Un hyperviseur a été détecté. les fonctionnalités nécessaires à hyper-v ne seront pas affichées. - Windows 11
- Un changement de réseau a été détecté - Forum Réseau
- Aucun pilote de périphérique n'a été détecté windows 10 - Forum Windows 10
- Mon pc charge mon téléphone mais ne le détecte pas ✓ - Forum Téléphones & tablettes Android
3 réponses
Bonjour,
[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !
[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !
[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
On va utiliser un autre outil :
* Télécharge OTL sur ton bureau.
* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.
* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"
netsvcs
activex
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Rend toi sur cjoint puis clique sur " Parcourir ".
*Sélectionne le fichier OTL.txt, puis clique sur " Ouvrir ".
*Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
*Fais de même pour le rapport extra.txt
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
* Télécharge OTL sur ton bureau.
* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.
* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"
netsvcs
activex
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Rend toi sur cjoint puis clique sur " Parcourir ".
*Sélectionne le fichier OTL.txt, puis clique sur " Ouvrir ".
*Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
*Fais de même pour le rapport extra.txt
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Voilà les liens pour les 2 rapports:
https://www.cjoint.com/?htvlwN1cZB
https://www.cjoint.com/?htvnkd0QaD
https://www.cjoint.com/?htvlwN1cZB
https://www.cjoint.com/?htvnkd0QaD
Tu as Windows 2000, c'est sûrement pour cela que ZHPDiag ne passe pas :)
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
Voici le rapport de Malwarebyte:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4327
Windows 5.0.2195 Service Pack 3
Internet Explorer 6.0.2600.0000
19-07-10 16:13:37
mbam-log-2010-07-19 (16-13-37).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 144012
Temps écoulé: 47 minute(s), 54 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4327
Windows 5.0.2195 Service Pack 3
Internet Explorer 6.0.2600.0000
19-07-10 16:13:37
mbam-log-2010-07-19 (16-13-37).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 144012
Temps écoulé: 47 minute(s), 54 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Le point d'entrée de procédure IsUserAnAdmin est introuvable dans la bibliothèque de liaison dynamique shell32.dll. Il m'avait alors suggérer d'utiliser Hijackthis et d'installer Malwarebytes et Anti-Malware. Après la lecture des rapports, il semblait n'avoir rien d'anormal mais aujourd'hui j'ai toujours Cleaner qui me dit que j'ai un backdoor. Alors je ne sais trop.