Pb virus multiples et backdoor Fermé

Question

Bonjour,
Notre antivirus (Karsperky) nous a detecté cette semaine plusieurs chevaux de troie (ver, exploit, downloeder...). Mais je ne sais pas trop si il les a correctement enlevé car il y en a un notamment (backdoor win32 Van Bot) qui a l'air d'être partout (sur C, D(uniquement sauvegarde fichiers) et aussi sur ma clé USB  alors qu'il dit à chaque fois qu'il l'a supprimé. Je ne comprend plus rien. J'ai tenté de faire un rapport hijackthis mais je ne suis pas très sûre car je ne comprend pas grand chose  en Anglais. 
A l'aide!!!
Merci bcp

toune30 · Answer

désolée, je n'ai pas mis le rapport et je ne parviens pas à modifier mon message (je suis douée!!!)
est-ce que c'est ça qu'il faut?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:59, on 16/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atwtusb.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\internet\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=4061023
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=4061023
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Packard Bell Software Suite] C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Packard Bell Services - C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

toune30 · Answer

Je comprends rien, ça marche pas. Déjà j'ai dû l'installer 3 fois, à chaque fois, il me redemandait de l'installer. J'ai mis ma clé, double-cliquer, mais maintenant il se passe rien, si je double clique sur l'icone usbfix, j'ai un petit cardre rouge ou il écrit "chemin spécifié introuvable". le rapport hijackis n'allait pas?
merci

toune30 · Answer

Ok, voici le rapport :

-------------- FindyKill V4.700 ------------------

* User : internet - RUFFL
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 13/11/08 par Chiquitine29
* Recherche effectuée à 17:44:16 le 16/11/2008
* Windows XP - Internet Explorer 6.0.2900.5512
 
((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\internet\Application Data 
 
 
»»»» Presence des fichiers dans C:\DOCUME~1\internet\LOCALS~1\Temp 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\internet\Local Settings\Temporary Internet Files\Content.IE5 
 
 
--------------- [ Registre / Startup ] ----------------  
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    atwtusb	REG_SZ	atwtusb.exe beta
    AVP	REG_SZ	"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz	REG_SZ	nwiz.exe /install
    NvMediaCenter	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    Packard Bell Software Suite	REG_SZ	C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
    VeohPlugin	REG_SZ	"C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
 
--------------- [ Registre / Clés infectieuses ] ----------------  
 
 
 
--------------- [ Etat / Services ] ---------------- 
 


+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

 Ndisuio - Type de démarrage = 3 
 
 EapHost - Type de démarrage = 3 
 
 Ip6Fw - Type de démarrage = 3 
 
 SharedAccess - Type de démarrage = 2 
 
 wuauserv - Type de démarrage = 2 
 
 wscsvc - Type de démarrage = 2 
 
 
 
--------------- [ Recherche dans supports amovibles] ----------------  
 
 
+- Informations : 

C: - Lecteur fixe

D: - Lecteur fixe

J: - Lecteur amovible

 
+- presence des fichiers :  

 
 
--------------- [ Registre / Mountpoint2 ] ----------------  
 
 
-> Not found ! 
 
 
------------------- ! Fin du rapport ! --------------------

toune30 · Answer

Voila le nouveau rapport. Et au fait, tu vois quoi dans ces rapports?

F --------- Logfile of AD-Remover 1.0.3.3 by C_XX ---------    

START at: 18:06:18 | 16/11/2008 
ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP ) 
Internet Explorer: 6.0.2900.5512
OPTION: Scan
EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
USER: internet | PC: RUFFL
BOOT MODE: Normal 
DRIVE(S): C:\ 
~> Systemdrive: C:\
 
--------- [ PROCESSES ] ---------

\SystemRoot\System32\smss.exe [928]   
\??\C:\WINDOWS\system32\csrss.exe [996]   
\??\C:\WINDOWS\system32\winlogon.exe [1020]   
C:\WINDOWS\system32\services.exe [1064]   
C:\WINDOWS\system32\lsass.exe [1076]   
C:\WINDOWS\system32\svchost.exe [1308]   
C:\WINDOWS\system32\svchost.exe [1420]   
C:\WINDOWS\System32\svchost.exe [1548]   
C:\WINDOWS\system32\svchost.exe [1640]   
C:\WINDOWS\system32\svchost.exe [1848]   
C:\WINDOWS\system32\spoolsv.exe [1964]   
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [240]   
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe [280]   
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE [320]   
C:\WINDOWS\system32
vsvc32.exe [356]   
C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe [800]   
C:\WINDOWS\Explorer.EXE [576]   
C:\WINDOWS\system32\svchost.exe [896]   
C:\WINDOWS\system32\UAService7.exe [984]   
C:\WINDOWS\system32\atwtusb.exe [1224]   
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [196]   
C:\WINDOWS\system32\RUNDLL32.EXE [412]   
C:\WINDOWS\system32\ctfmon.exe [420]   
C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe [448]   
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe [456]   
C:\WINDOWS\System32\alg.exe [2604]   

---------------------------- [~> 26]


+---------------------------------------------------------------------------+
+-------------------------------  SERVICES FOUND
+---------------------------------------------------------------------------+ 

Found ! - "Boonty Games"  

+---------------------------------------------------------------------------+
+-------------------------------  REGISTRY ELEMENTS FOUND
+---------------------------------------------------------------------------+ 

"HKEY_LOCAL_MACHINE\Software\Boonty" 
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Boonty Games" 
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Boonty Games" 
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Boonty Games" 
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BOONTY_GAMES" 

+---------------------------------------------------------------------------+
+-------------------------------  FILES\FOLDERS FOUND 
+---------------------------------------------------------------------------+ 

[24/06/2008 14:34|d--------] C:\Program Files\Fichiers communs\BOONTY Shared 
[24/06/2008 14:34|d--------] C:\Documents and Settings\All Users\Application Data\BOONTY 
 
 
+---------- Scanning prefs.js ... ( # Mozilla User Preferences ) 
 
...\skzdx0cn.default\prefs.js : 
 
~~~~ Mozilla FireFox version 3.0.4 ~~~~ 
  
Start Page :  "https://www.google.fr/?gws_rd=ssl"   
 
+----------+ 
 
 
+---------------------------------------------------------------------------+ 
 

+---------- Added scan ...

+-----[HKLM\...\Run]
 
atwtusb	REG_SZ	atwtusb.exe beta 
AVP	REG_SZ	"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" 
NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
nwiz	REG_SZ	nwiz.exe /install 
NvMediaCenter	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 

+-----[HKCU\...\Run]

CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe 
Packard Bell Software Suite	REG_SZ	C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run 
VeohPlugin	REG_SZ	"C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" 

+-----[HKLM\...\Internet Explorer\MAIN]

Start Page : hxxp://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen 

+-----[HKCU\...\Internet Explorer\MAIN]

Start Page : hxxp://search.orbitdownloader.com 

+---------------------------------------------------------------------------+
+-------------------------------  [ EOF - 88 lines ]
+---------------------------------------------------------------------------+

[ END at: 18:07:37 | 16/11/2008 ] - [ Time elapsed: 78.5 seconds ]

toune30 · Answer

d'accord, j'ai enlevé bounty game comme tu l'avais préconisé, mais d'ou vient-il, c'était  un virus?  et est-ce que cela à voir avec le backdoor qui infecte C, D et ma clé? tu le vois apparaitre ds les difféents rapports?
Merci bcp

toune30 · Answer

Merci pour la réponse,je n'ai pas répondu car pour moi, la soirée était terminée! 
Donc sur le hitjackis et findkill, tu  ne vois rien d'autre? (pour moi, ces rapports sont du chinois!!!) . Effectivement, mon antivirus dit à chaque fois qu'il l'a supprimé! le problème, c'est que ce tojan (backdoor Win 32 van bot) revient sans cesse, et sur tous mes stockages. Est-ce possible que Karsperky l'élimine vraiment (d'ou les rapports précédents ou on ne voit rien) mais que je me réinfecte sans cesse par le même trojan, auquel cas il faudrait que je trouve pourquoi et comment?
J'ai vu ce que tu me propose de vérifier. Si je ne me trompe pas c'est pour virer les barres d'outils superflues? A priori, je n'en ai pas, c'est clean de ce côté là... C'était pour ça ou pour autre chose?
Encore merci du temps que tu prends pour m'aider.

toune30 · Answer

eT Voila le nouveau! tu vois qqchose? D'ailleur, je vois que mon firewall n'est pas activé? normal à ton avis? Je ne me rappelle pas pourquoi j'ai fait ça!!! incompatibilité avec l'antivirus ou gros oubli de ma part???  je vois aussi que ce rapport parle d'internet explorer mias je n'y vais jamais, toujours par firefox. Et je vois aussi apparaitre megaupload. Je l'ai eu en effet mais qq heures, je l'ai enlevé (enfin normalement!!!) de mes barres d'outil. Alors pourquoi elle apparait?! 
Que de questions! et que de patience de ta part!
-----------\  ToolBar S&D 1.2.4   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) D CPU 3.40GHz )
   BIOS : Phoenix ROM BIOS PLUS Version 1.10 1.0.2 
   USER : internet ( Administrator )
   BOOT : Normal boot
   Antivirus : Kaspersky Anti-Virus 7.0.1.325 (Activated)
   Firewall  :   (Not Activated)
   C:\ (Local Disk) - NTFS - Total:220 Go (Free:147 Go)
   D:\ (Local Disk) - NTFS - Total:74 Go (Free:3 Go)
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)

   "C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
   Option : [1] ( 17/11/2008|11:53 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (internet) - {991A772A-BA13-4c1d-A9EF-F897F31DEC7D} => megaupload
   (internet) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr"
   "Search Bar"="http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1"
   "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="https://www.msn.com/fr-fr"
   "Home_Page"="https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1"
   "Help_Page"="http://support.euro.dell.com/segment.asp?country=FR&language=FR"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 17/11/2008|11:55 - Option : [1]

   -----------\  Fin du rapport a 11:55:35,65

toune30 · Answer

petit problème... J'ai dû bloquer le téléchargement de SDfix car Karpersky s'est faché rouge!!! >Je te joins ce qu'il me dit...

découvert : virus Heur.Invader (modification)	URL: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe//SDFix/apps/Cghtme.exe

toune30 · Answer

Cette fois, ça a été long. Il me semble qu'il confirme que le méchant trojan n'est plus là... mais alors pourquoi revient-il sans cesse....

[b]SDFix: Version 1.240 [/b]
Run by internet on 17/11/2008 at 14:08

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 14:27:20
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Real\RealPlayer\realplay.exe"="C:\Program Files\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer"
"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"="C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:*:Enabled:Veoh Web Player "
"C:\Program Files\VideoLAN\VLC\vlc.exe"="C:\Program Files\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player"
"C:\Program Files\Ubisoft\Splinter Cell Pandora Tomorrow\pandora.exe"="C:\Program Files\Ubisoft\Splinter Cell Pandora Tomorrow\pandora.exe:*:Enabled:pandora"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Thu 26 Oct 2006            88 A.SHR --- "C:\i386\EE87FF7D6B.sys"
Fri 27 Oct 2006         4,184 A.SH. --- "C:\i386\KGyGaAvL.sys"
Fri 10 Aug 2007            56 ..SHR --- "C:\WINDOWS\system32\6B7DFF87EE.sys"
Mon  1 Oct 2007            88 ..SHR --- "C:\WINDOWS\system32\EE87FF7D6B.sys"
Mon  1 Oct 2007         4,184 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri  4 Apr 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sat 10 Mar 2007           444 ...HR --- "C:\Documents and Settings\All Users\Application Data\SecuROM\UserData\securom_v7_01G.bak"

[b]Finished![/b]

toune30 · Answer

Vraiment je comprends rien. 
malwarebyte  a cherché partout, je lui avais aussi demandé de vérifier ma clé USB. Il a rien trouvé, tout était à 0 sur le rapport, mais en MEME TEMPS (au moment ou malwarebyte finissait) karspersky m'a trouvé ça : 
Infecté : cheval de Troie Backdoor.Win32.Rbot.rqg	J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe	27,5 Ko. Il m'a proposé de le supprimé, ce que j'ai fait (une fois de plus!!!)
....  alors que ce matin, tout était nickel qd j'ai lancé l'analyse et depuis, je n'ai RIEN fait ni ajouté sur ma clé. Alors d'ou ça vient, surtt que malwarebyte n'a rien vu....

toune30 · Answer

La corbeille est vide, je l'ai vidée en fin de matinée. Qt à la quarantaine, il n'y a rien puisuq'à chaque fois, karsperky le supprime. Je n'ai donc que sont rapport de suppression, ...

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1403
Windows 5.1.2600 Service Pack 3

17/11/2008 15:44:39
mbam-log-2008-11-17 (15-44-39).txt

Type de recherche: Examen complet (C:\|D:\|J:\|)
Eléments examinés: 125866
Temps écoulé: 48 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

toune30 · Answer

oui, j  c'est ma clé. Mais je rappelle que depuis 2 mois, on a retrouvé ce backdoor plein de fois sur C et sur D alors qu'à chaque fois que je mets ma clé, karsperky dit qi'il l'a supprimé.
Voila rapoort usbfix. ça te parle?
encore merci d'être toujours là, parce que j'ai bien conscience que c'est long...
------------ UsbFix V2.408 ---------------

* User : internet - 
* Outils mis a jours le 16/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 16:26:13 le 17/11/2008
* Windows Xp - Internet Explorer 6.0.2900.5512 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\internet\LOCALS~1\Temp\1.tmp\b2e.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe

D: - Lecteur fixe

J: - Lecteur amovible


--------------- [ Lecteur C ] ---------------- 

C: - Lecteur fixe


+- Listing des fichiers présents :

[20/08/2004 10:37][--a------] C:\AUTOEXEC.BAT   
[05/08/2004 12:00][-rahs----] C:\NTDETECT.COM   
[29/06/2008 14:51][--a------] C:\bnupdate.exe   
[18/05/2008 18:00][-rahs----] C:\boot.ini   
[12/01/2007 19:15][--a------] C:\Requirements.txt   
[12/01/2007 19:15][--a------] C:\TB.txt   
[12/01/2007 19:15][--a------] C:\UsbFix.txt   
[20/08/2004 10:37][--a------] C:\CONFIG.SYS   
[20/08/2004 10:37][--a------] C:\hiberfil.sys   
[20/08/2004 10:37][--a------] C:\IO.SYS   
[20/08/2004 10:37][--a------] C:\MSDOS.SYS   
[20/08/2004 10:37][--a------] C:\pagefile.sys   

--------------- [ Lecteur D ] ---------------- 

D: - Lecteur fixe


+- Listing des fichiers présents :

[28/03/2007 15:50][-r-h-----] D:\NG Recovery Point Storage.ini   

--------------- [ Lecteur J ] ---------------- 

J: - Lecteur amovible


+- Listing des fichiers présents :

[12/08/2008 18:29][--a------] J:\vlc-0.8.6i-win32.exe   
  
--------------- [ Registre / Startup ] ----------------   
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    atwtusb	REG_SZ	atwtusb.exe beta
    AVP	REG_SZ	"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz	REG_SZ	nwiz.exe /install
    NvMediaCenter	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    Packard Bell Software Suite	REG_SZ	C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
    VeohPlugin	REG_SZ	"C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38fcb13c-1ab6-11dd-9126-001676d7720c}\Shell\AutoRun\command  
  
--------------- [ Nettoyage des disques ] ----------------   
   
  
--------------- [ Resumé ] ----------------   
  
 -> /!\ Le resultat doit etre interprété par un spécialiste  /!\   
  
[20/08/2004 10:37][--a------] C:\AUTOEXEC.BAT   
[05/08/2004 12:00][-rahs----] C:\NTDETECT.COM   
[29/06/2008 14:51][--a------] C:\bnupdate.exe   
[18/05/2008 18:00][-rahs----] C:\boot.ini   
[28/03/2007 15:50][-r-h-----] D:\NG Recovery Point Storage.ini   
[12/08/2008 18:29][--a------] J:\vlc-0.8.6i-win32.exe   
 
--------------- ! Fin du rapport ! ----------------

toune30 · Answer

Toujours rien , il me dit que ordi sain! je crois que je deviens folle, pourtant, sur karsperky, il existe bien ce trojan. C'est lui qui délire?

toune30 · Answer

ok, je te remercie vraiment, ça m'embête pour toi que ce soit si compliqué et si long... d'ailleur, je m'interroge.. tu es sans cesse devant ton ordi ou tu as une veille?! parceque là, pour le suivi, je suis épatée! moi que j'y sois, c'est normal, c'est mon pb, mais toi, tu suis d'autres posts en même temps? en tous cas merci bcp. 
Ceci dit qd je compare à d'autres, pour l'instant mon pb n'entraine pas de dégats sérieux sur le PC, c'est juste que j'aimerai bien qu'il s'arrète de revenir ce backdoor! ...

toune30 · Answer

C'est tt ce que j'ai. Comme il les supprime, il ne stocke que leur nom. Mais c'est le baackdoor qu'il supprime sans cesse et qui revient sans cesse.

Infecté : cheval de Troie Backdoor.Win32.Rbot.rqg	J:\Autorun.inf	280 octet(s)
Infecté : logiciel publicitaire not-a-virus:AdWare.Win32.MegaSearch.aj	C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP359\A0107088.dll	1,9 Mo
Infecté : cheval de Troie Backdoor.Win32.Rbot.rqg	J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe	27,5 Ko

toune30 · Answer

Je dois partir, reviens dans 2 heures. Merci!

toune30 · Answer

Suis revenue.
Ce que j'ai mis suffit ou dois-je trouver un autre rapport?
merci

toune30 · Answer

Je les ai tous supprimés toute à l'heure, soit par leur propres prg de désinstallation, soit par la déinstallation de windows. EDonc normalement, ce doit être ok de ce co^té là. Tu penses que je fais quand même toolscleaner ou inutile?

toune30 · Answer

et oui, tu avais raison!
-->- Recherche: 

C:\TB.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Documents and Settings\internet\Bureau\hijackthis.log: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\internet\Bureau\hijackthis.log: supprimé !
C:\Program Files\UsbFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

toune30 · Answer

Là j'ai beau suivre tes indics, je cale...j'ai vérifier que tt cocher sauf service invalide, j'ai fait nettoyer. Et maintenant il affiche une liste de 728 fichiers ou chemin.-inexistants, obsloète...( Pourtant je fais souvent un nettoyage base registre (avec ccleaner))
J'ai 4 boutons en bas dont selection/action/stop.
Je fais quoi?

toune30 · Answer

Tu m'avais dit de ne pas selectionner les éléments verts. Alors je selectionne tout ou juste les rouges?

toune30 · Answer

ok merci, je lance . Il fait la 1ere passe, mais moi, je tiens plus debout..alors dodo!
Je reviens demain matin. tu seras là?
merci
bonsoir.

toune30 · Answer

Bonjour!
Me revoila devant mon ordi, pour ce matin du moins, car ensuite, il faut quand même que j'aille travailler!
Alors, j'ai fait les 4 passes, il a enlevé plus de 700 entrées (surprise car ccleaner ne trouvait plus rien à enlever de ma base de registre!, j'espère que rien d'important n'aura été perdu!, mais bon, il y a tjrs les sauvegardes..., parce que trier dans ces entrées ne me parait pas à ma portée, c'est du chinois !)
Donc tout est propre! 
j'attends tes conseils quand tu auras le temps  pour nettoyer ma restauration...

toune30 · Answer

opération effectuée. Maintenant c'est clean?

toune30 · Answer

c'est fait, point de restauration au nom évocateur créé! C'est tt bon maintenant?

toune30 · Answer

d'accord, je fais ça tout de suite, mais ça va prendre du temps donc je posterai demain matin (quoique les rapports kasperky, je ne sais pas si ils sont bien car ils ne ressemblent pas aux autres...) 
Bonsoir et encore merci pour toute ton aide!!!

toune30 · Answer

Plus vite que prévu! il me dit qu'il n'y a plus rien!! Il dit"aucun code malicieux découvert", quant au rapport, il fait  49MO, c'est le listing de tous les fichiers examinés. Je pense que ceci n'apporte rien de plus.
Alors ça y est! mon PC est ok!!! c'est tout bon?
J'enlève toolscleaner de mon bureau? juste en cliquant sur icone et supprimer (je ne le trouve pas en désinstallation ailleur)
A nouveau dodo! donc à demain! J'attends avec impatience que tu me dises "tt est ok!" et que je puisse mettre résolu à ce topic...
salut!

toune30 · Answer

non, merci, pas d'autres soucis , ...pour l'instant!...(heureusement!!) 
En tous cas merci VRAIMENT beaucoup pour toute ton aide. Mon ordi roucoule! Je n'aurai jamais pensé et réusssi  à faire ça toute seule!!!
 Alors encore merci ! Ce soir je fermerai ce post et je mettrai RESOLU!!!

Pb virus multiples et backdoor

28 réponses

Discussions similaires