Backdoor détecté

Québec1 Messages postés 4 Statut Membre -  
Québec1 Messages postés 4 Statut Membre -
Bonjour,

Je ne sais trop quel est la meilleure chose à faire dans le cas suivant, le logiciel The Cleaner a détecté un backdoor et je ne connaîs pas vraiment la procédure. Voici son rapport:

19-07-10 13:13:34: Session>Started
19-07-10 13:13:34: Startup>The Cleaner 2011 7.2.0.3510
19-07-10 13:13:34: >
19-07-10 13:13:34: >=== UNREGISTERED ===
19-07-10 13:13:34: >
19-07-10 13:13:36: Startup>Intel(R) Celeron(R) CPU 1.70GHz
19-07-10 13:13:36: Startup>Windows 2000 SP3
19-07-10 13:13:36: Startup>UAC unavailable.
19-07-10 13:13:36: Startup>Memory load: 93%
19-07-10 13:13:36: Startup>Physical memory: 247Mb
19-07-10 13:13:36: Startup>Malware Database: C:\Program Files\The Cleaner\malware.abs
19-07-10 13:13:36: Startup>Registry Database: C:\Program Files\The Cleaner\registry.abs
19-07-10 13:13:36: Startup>Files Database: C:\Program Files\The Cleaner\files.abs
19-07-10 13:13:36: Startup>Filespect Database: C:\Program Files\The Cleaner\filespect.abs
19-07-10 13:13:36: Startup>DeepScan Database: C:\Program Files\The Cleaner\deepscan.abs
19-07-10 13:13:36: Startup>Whitelist Database: C:\Documents and Settings\Marie1\Application Data\thecleaner\whitelist.abs
19-07-10 13:13:36: Startup>Malware Database Version 1355
19-07-10 13:13:39: Scan>Command line scan started.
19-07-10 13:13:39: Scan>"C:\Program Files\The Cleaner\cleaner7.exe" "C:\Documents and Settings\Marie1\Local Settings\Temporary Internet Files\Content.IE5\1FRFPDCE\Artistique.pptx"
19-07-10 13:13:48: Scan>Scan of 54 objects completed in 8 secondes
19-07-10 13:13:48: Scan>No malware detected.
19-07-10 13:14:00: Scan>Smart Scan started.
19-07-10 13:14:23: Scan>[R] 125: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias: Backdoor
19-07-10 13:14:24: Scan>Scan stopped.
19-07-10 13:14:24: Scan>Scan of 2308 objects completed in 5 secondes
19-07-10 13:14:24: Scan>Malware detected.
19-07-10 13:16:54: Scan>Smart Scan started.
19-07-10 13:16:57: Scan>[R] 125: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias: Backdoor
19-07-10 14:01:52: Scan>Scan of 19846 objects completed in 44 minutes, 55 secondes
19-07-10 14:01:52: Scan>Malware detected.

Est-ce vraiment un backdoor et quel est la procédure à faire ? Est-ce que je dois faire effectuer la réparation ?

Merci de votre aide

3 réponses

  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonjour,

    [x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

    [x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.

    -+-+-+-+-> ZHPDiag <-+-+-+-+-

    [x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

    [x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

    [x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

    [x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

    [x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

    [x] Rend toi sur cjoint puis clique sur " Parcourir ".

    [x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

    [x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
    0
    1. Québec1 Messages postés 4 Statut Membre
       
      Merci de ton aide rapide Xplode, mais j'ai le même problème qu'il y a un mois environ. Smart 91 m'avait aussi suggérer d'utiliser ZHPDiag mais j'ai toujours le message suivant:
      Le point d'entrée de procédure IsUserAnAdmin est introuvable dans la bibliothèque de liaison dynamique shell32.dll. Il m'avait alors suggérer d'utiliser Hijackthis et d'installer Malwarebytes et Anti-Malware. Après la lecture des rapports, il semblait n'avoir rien d'anormal mais aujourd'hui j'ai toujours Cleaner qui me dit que j'ai un backdoor. Alors je ne sais trop.
      0
  2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    On va utiliser un autre outil :

    * Télécharge OTL sur ton bureau.

    * Fais un double-clic sur l'icône d'OTL pour le lancer
    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    * Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

    * Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

    * Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    activex
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles


    * Cliques sur l'icône "Analyse" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Rend toi sur cjoint puis clique sur " Parcourir ".
    *Sélectionne le fichier OTL.txt, puis clique sur " Ouvrir ".
    *Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
    *Fais de même pour le rapport extra.txt
    * Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
    0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Tu as Windows 2000, c'est sûrement pour cela que ZHPDiag ne passe pas :)

    -+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-

    [x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

    [x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

    [x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

    [x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

    [x] Sélectionne tout tes disques locaux et amovibles

    [x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

    [x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

    [x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

    [x] Tu peux ensuite vider la quarantaine de MBAM.

    [x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

    [x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
    0
    1. Québec1 Messages postés 4 Statut Membre
       
      Voici le rapport de Malwarebyte:

      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4327

      Windows 5.0.2195 Service Pack 3
      Internet Explorer 6.0.2600.0000

      19-07-10 16:13:37
      mbam-log-2010-07-19 (16-13-37).txt

      Type d'examen: Examen complet (A:\|C:\|D:\|E:\|G:\|)
      Elément(s) analysé(s): 144012
      Temps écoulé: 47 minute(s), 54 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0