INFECTEE PAR plusieurs Backdoor?? (RESOLU)

[nyny34]

bonsoir

 

J'ai téléchargé et lancé "spyware doctor" en mode sans échec, pour voir (je ne suis pas enregistré, donc je n'ai pas pu nettoyer)

 

Il m'a détecté :

 

Backdoor codbot.Gen

Backdoor Sdbot.AAD

Backdoor SDBot.XD

Backdoor Rbot.Gen

Media.Access

 

J'ai antivir, spybot, ad aware, avg(à l'essai) mais quand je scan, ça me détecte rien

 

Je crois que ça fait un moment que j'ai ça. J'avais déjà posté il y a quelque temps, on m'avait fait faire des vérifications mais il n'y avait rien. Je reboote beaucoup

 

Suis vraiment infectée ou c'est spyware doctor qui interprete mal???

 

Merci à l'avance

Modifié le 17 décembre 2006 par nyny34

[Malekal_morte]

Bonjour,

 

Donne les fichiers infectées ET :

 

 

- Télécharge HiJackThis de Merijn sur ton bureau.

- Renomme le fichier HiJackThis.exe en Scanner.exe pour cela, fais un clic droit sur le fichier HiJackThis.exe et choisis renommer dans la liste

- Tape Scanner.exe et Appuye sur la touche Entrée.

- Génère un rapport en suivant ces indications :

- Double-clic sur Scanner.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur le Bloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

Aide : N'hésite pas à consulter l'aide HiJackThis -

[nyny34]

bonsoir Malekal_Morte

 

Pour hijackthis je l'avais déjà installé. Je mets le rapport

 

Logfile of HijackThis v1.99.1

Scan saved at 21:45:33, on 14/12/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

C:\sygate\smc.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

D:\Program Files\Spyware Doctor\sdhelp.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\wdfmgr.exe

D:\WINDOWS\htpatch.exe

D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

D:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

D:\Program Files\Spyware Doctor\swdoctor.exe

D:\WINDOWS\System32\wbem\wmiprvse.exe

C:\Mozilla Firefox\firefox.exe

C:\divers\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [smcService] C:\sygate\smc.exe -startgui

O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

O4 - HKLM\..\Run: [EPSON Stylus C44 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"

O4 - HKCU\..\Run: [spyware Doctor] "D:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D60AFDDF-D9F8-47A8-9AEA-20A3BD34362E}: NameServer = 86.64.145.144 84.103.237.144

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\sygate\smc.exe

 

 

Pour les fichiers infectés, je suis obligée de relancé spyware car j'ai pas pu enregistrer le rapport. Je copie sur papier et je le mets

 

J'oublié, j'ai zebprotect et sygate comme firewall

 

Merci

[Malekal_morte]

Télécharge & installe le service pack 1a : http://www.microsoft.com/windowsxp/downloa...p1/network.mspx

 

Une fois installé, poste un nouveau rapport HijackThis.

[nyny34]

je te mets ce qu'il y a de marqué

 

Pour backdoor.Coodbot.Gen

 

HKLM\SYSTEM\CONTROLSET001\control\saveboot\Minimal\upnpdrv

HKLM\SYSTEM\CONTROLSET001\control\saveboot\Minimal\upnpdrv##

HKLM\SYSTEM\CONTROLSET001\control\saveboot\Network\upnpdrv

HKLM\SYSTEM\CONTROLSET001\control\saveboot\Network\upnpdrv##

HKLM\SYSTEM\CONTROLSET002\control\saveboot\Minimal\upnpdrv

HKLM\SYSTEM\CONTROLSET002\control\saveboot\Minimal\upnpdrv##

HKLM\SYSTEM\CONTROLSET002\control\saveboot\Network\upnpdrv

HKLM\SYSTEM\CONTROLSET002\control\saveboot\Network\upnpdrv##

HKLM\SYSTEM\CurrentControlSet\control\saveboot\Minimal\upnpdrv

HKLM\SYSTEM\CurrentControlSet\control\saveboot\Minimal\upnpdrv##

HKLM\SYSTEM\CurrentControlSet\control\saveboot\Minimal\upnpdrv

HKLM\SYSTEM\CurrentControlSet\control\saveboot\Minimal\upnpdrv##

 

Backdoor.Rbot.Gen

 

HKLM\SYSTEM\CurrentControlSet\control\saveboot\Minimal\Netlib

HKLM\SYSTEM\CurrentControlSet\control\saveboot\Minimal\Netlib##

HKLM\SYSTEM\CurrentControlSet\control\saveboot\Minimal\Netlib

HKLM\SYSTEM\CurrentControlSet\control\saveboot\Minimal\Netlib##

 

Backdoor.Sdot.AAD

 

 

HKLM\SYSTEM\CONTROLSET001\Enum\Root\LEGACY_RDRIV

HKLM\SYSTEM\CONTROLSET001\Enum\Root\LEGACY_RDRIV##

HKLM\SYSTEM\CONTROLSET001\Enum\Root\LEGACY_RDRIV##Nextinstance

HKLM\SYSTEM\CONTROLSET002\Enum\Root\LEGACY_RDRIV

HKLM\SYSTEM\CONTROLSET002\Enum\Root\LEGACY_RDRIV##

HKLM\SYSTEM\CONTROLSET002\Enum\Root\LEGACY_RDRIV##Nextinstance

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV##

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV##Nextinstance

 

J'ai pas tout mis car c'est long. Je connais rien mais j'ai l'impression que c'est des fichiers, ça se suit.

 

Si tu as besoin du reste tu me le dis mais je le ferai demain

[Malekal_morte]

Non t'embêtes pas.

Installe le service Pack 1a comme demandé dans mon message précédent.

[nyny34]

Non t'embêtes pas.

Installe le service Pack 1a comme demandé dans mon message précédent.

 

J'ai déjà sp1 et sp2

[Malekal_morte]

Je pense pas. Regarde au début du rapport HijackThis :

 

Platform: Windows XP (WinNT 5.01.2600)

 

Aucun SP1 ou SP2.

 

Où tu vois que tu as SP1 SP2 ?

[nyny34]

Je pense pas. Regarde au début du rapport HijackThis :

Aucun SP1 ou SP2.

 

Où tu vois que tu as SP1 SP2 ?

Modifié le 17 décembre 2006 par nyny34

[Malekal_morte]

Ca n'a rien à voir !

 

Installe le Service Pack 1a car là si ton firewall se désactive, c'est la porte ouverte aux infections.

Poste un nouveau rapport HijackThis, une fois installé.