Svhost infecté par backdoor.generic4.BJG

novey Messages postés 9 Date d'inscription   Statut Membre -  
Darkkiller Messages postés 2336 Statut Contributeur -
bonjour

j'ai un Trojan horse backdoor.generic4.BJG et le fichier infecté est:

C:\WINDOWS\system32\system32\svhost et non pas svchost.
ce fichier est-il important ? il n'est pas utilisé et je peux le deplacer sans problème.

Que dois-je faire? merci de vos réponses.
Configuration: Windows XP
Firefox 1.0.7

4 réponses

  1. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Bonjour,

    Non svhost n'est pas un processus mais un faux processus pour camoufler un virus regarde c'est expliquer : https://www.generation-nt.com/

    ----------------------------------------------------------------------------
    Télécharge Hijackthis : http://www.merijn.org/files/hijackthis.zip

    Installe-le dans un dossier dédié

    Renomme le en "scanner.exe"

    Double-clique sur "Scanner.exe"

    Et tu clique sur "do a system scan and save a logfile"

    Un fichier .txt va apparaître tu le copie-colle dans ta prochaine réponse.

    Démo : (merci à balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
  2. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Télécharge aussi l'outil de désinfection MyDoom : http://www.fr.bitdefender.com/bd/site/downloads.php?tool=Antimydoom-FR.exe&what=2
    0
  3. novey Messages postés 9 Date d'inscription   Statut Membre
     
    Logfile of HijackThis v1.99.1
    Scan saved at 20:12:54, on 12/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Soft4Ever\looknstop\looknstop.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    G:\Program Files\mircfr\mirc.exe
    C:\Program Files\Steam\Steam.exe
    C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Documents and Settings\Zaon\Bureau\scanner.exe.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://a248.e.akamai.net/...
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
    O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [SmartGuardian] C:\Program Files\ITE\Smart Guardian\ITESmart.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    0
  4. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Tu as executé l'outil de désinfection de MyDoom ?
    Ouvre Hijackthis clique sur "Do a system scan only" et coche ces lignes :

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://a248.e.akamai.net/

    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/

    Puis clique sur "Fix Checked"
    ----------------------------------------------------------------------------

    Puis télécharge AVG Anti-Spyware :

    https://www.01net.com/telecharger/
    Installe-le puis fait immédiatement une mise à jour !

    ----------------------------------------------------------------------------
    Télécharge clean : http://www.malekal.com/download/clean.zip

    Installe-le sur le bureau et dezippe-le.
    ----------------------------------------------------------------------------
    Redémarre en mode sans échec : http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm
    (Attention pendant le mode sans échec tu n'as pas accès a internet (Donc note bien sa quelque part))
    ----------------------------------------------------------------------------
    Ouvre clean

    Un dossier clean va être créer double-clique dessus
    Puis double clique sur clean.cmd et choisit l'option 1.Patiente un peu.
    ----------------------------------------------------------------------------

    Ouvre AVG Anti-Spyware :

    Choisis l'onglet "Analyse"
    Puis l'onglet "Paramètres
    Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    /!\ Si un fichier est infecté détécté en fin d'analyse /!\
    Clique sur "Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau.
    ----------------------------------------------------------------------------

    Donc je résume tu dois me poster le rapport avg a-s , clean+ un rapport Hijackhis

    Bonne chance
    0