cheval de Troie Backdoor et cheval de Troie Trojan-Downloader

Bonjour à tous, alors voila j'explique mon problème, j'ai formater dernièrement, car avant je recevait régulièrement des backdoor ect... via mon antivirus Kaspersky. Maintenant depuis que j'ai formater, je reçois encore est toujours des backdoor , j'ai beau reformater rien y fait. Quand je regarde mon journal de protection sur kaspers voila ce qu'il me marque:

-supprimé : cheval de Troie Backdoor.Win32.Rbot.bfd Le fichier: C:\WINDOWS\system32\TFTP2276
-supprimé : cheval de Troie Backdoor.Win32.Rbot.bfd Le fichier: C:\WINDOWS\system32\TFTP3736
-supprimé : cheval de Troie Backdoor.Win32.Wootbot.cz Le fichier: C:\WINDOWS\system32\sucker.exe/Armadillo
-supprimé : cheval de Troie Backdoor.Win32.Rbot.bci Le fichier: C:\WINDOWS\system32\TFTP3948/PE_Patch
-supprimé : cheval de Troie Trojan-Downloader.Win32.Small.dos Le fichier: C:\WINDOWS\system32\k.exe/UPX
-supprimé : cheval de Troie Trojan-Downloader.Win32.Small.dos Le fichier: C:\System Volume Information\_restore{72365EA9-1189-4079-93EC-CE49A17887AA}\RP7\A0002290.exe/UPX
-supprimé : cheval de Troie Backdoor.Win32.Rbot.bhf Le fichier: C:\WINDOWS\SYSTEM32\TFTP3048
-découvert : cheval de Troie Trojan-Downloader.JS.Psyme.c URL: http://85.255.116.204/5/s1s//index.chm/index.htm
-découvert : cheval de Troie Backdoor.Win32.Rbot.aem Le fichier: C:\WINDOWS\system32\twfk.exe/PE_Patch

Il arrive a en supprimer, mais il en reste toujours, les 2 derniers présents sur la liste par exemple. Je fais régulièrement des scans avec Ewido, Kaspersky en mode sans échec, et je fais même aller Smithfraudfix. Et je continue à recevoir des messages d'alerte de kaspersky.
Que dois-je faire pour m'en débarrasser une fois pour toute?? Si quelqu'un serais m'aider sa serait cool de m'en dire davantage.
Merci d'avance pour votre aide.


[ Ce message a ete modifié par : : Metorakt le 28-08-2006 23:55 ]

Bonjour.


I) Désactive puis réactive la restauration system pour ce faire ( Avec Windows XP seulement ) :

Pour la désactiver :

Code:

  Cliquez sur Démarrer. 
  Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés. 
  Cliquez sur l'onglet «Restauration du système». 
  Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les  lecteurs»
  Cliquez sur Appliquer.
  Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur  Oui. 
  Cliquez sur OK.

Pour la réactiver

Code:

  Cliquez sur Démarrer. 
  Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés. 
  Cliquez sur l'onglet «Restauration du système». 
  Désélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs». 
  Cliquez sur Appliquer puis sur OK.

II) Télécharge A squarred 2.0


* Mets le à jour.
* CliQue sur le bouton Scanner l'ordinateur.
* Choisis le Scan Détail ( le plus long mais le plus détaillé ).
* A la fin du scan, coche tous les objets trouvés puis clique sur Objet chosisis en quarantaine
* Clique sur Enregistrer le rapport et enregistre le dans un endroit où tu pourras facilement le retrouver.
* Va dans l'onglet Quarantaine, clique droit puis "selectionner tout" et enfin clique sur supprimer
* Recherche le rapport que tu as enregistré auparavant et poste le.




III) Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml

Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.
Tu peux consulter le tutorial de F-Secure BlackLight





IV) Télécharge HijackThis et clique sur "Do a system scan only". A la fin du scan fait "save log" et enregistre le sur ton bureau,post le ensuite en fesant un copier-coller

----------------------------------------------------------------------
\/ ATTENTION Ne jamais essayer d'analyser son log HijackThis seul sur "HijackThis.de" qui n'est pas mis à jour et donc peut vous enduire en erreur qui pourrait être fatal à votre ordinateur !! \/

Alors voila le resultat des differents scans:

Rapport A squarred 2.0:

Début du scan: 29/08/2006 11:06:49
C:\Documents and Settings\cyril\Cookies\cyril@247realmedia[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@2o7[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@adtech[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@advertising[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@as-us.falkag[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@atdmt[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@bluestreak[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@bravenetmedianetwork[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@clickbank[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@com[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@doubleclick[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@landing.domainsponsor[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@mediaplex[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@metriweb[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@serving-sys[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@tradedoubler[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\cyril\Bureau\SmitfraudFix\Process.exe Détecter: Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\cyril\Bureau\SmitfraudFix.zip/Process.exe Détecter: Riskware.RiskTool.Win32.Processor.20
C:\WINDOWS\system32\Process.exe Détecter: Riskware.RiskTool.Win32.Processor.20

Scanné

Fichiers: 40475
Traces: 67487
Cookies: 128
Processus: 26

Trouver

Fichiers: 3
Traces: 0
Cookies: 16
Processus: 0
Clés de Registre: 0

Fin du Scan: 29/08/2006 11:50:47
Temps du Scan: 0:43:58

C:\Documents and Settings\cyril\Bureau\SmitfraudFix\Process.exe Quarantaine Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\cyril\Bureau\SmitfraudFix.zip/Process.exe Quarantaine Riskware.RiskTool.Win32.Processor.20
C:\WINDOWS\system32\Process.exe Quarantaine Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\cyril\Cookies\cyril@247realmedia[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@2o7[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@adtech[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@advertising[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@as-us.falkag[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@atdmt[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@bluestreak[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@bravenetmedianetwork[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@clickbank[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@com[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@doubleclick[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@landing.domainsponsor[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@mediaplex[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@metriweb[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@serving-sys[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\cyril\Cookies\cyril@tradedoubler[1].txt Quarantaine Trace.TrackingCookie

Quarantaine

Fichiers: 3
Traces: 0
Cookies: 16


Rapport F-Secure Blacklight :
08/29/06 12:28:44 [Info]: BlackLight Engine 1.0.46 initialized
08/29/06 12:28:44 [Info]: OS: 5.1 build 2600 (Service Pack 1)
08/29/06 12:28:44 [Note]: 7019 4
08/29/06 12:28:44 [Note]: 7005 0
08/29/06 12:28:48 [Note]: 7006 0
08/29/06 12:28:48 [Note]: 7011 1180
08/29/06 12:28:48 [Note]: 7026 0
08/29/06 12:28:49 [Note]: 7026 0
08/29/06 12:29:09 [Note]: FSRAW library version 1.7.1019
08/29/06 12:32:13 [Note]: 7007 0

Rapport HijackThis :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\gsicon.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\cyril\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{E79B8896-44FD-451E-81E5-FDB3F54782C4}: NameServer = 195.238.2.22 195.238.2.21
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Voila le resultat de tout ces scan, merci, si je remarque encore une rpesence d'un de ses virus je vous informerez
null

Bonjour.

Tes logs sont propres.


Où en sont tes problèmes ?

je ne reçois plus d'alerte, je pense que le probléme est réglé
si jamais le probléme revient je préviendré

encore un grand merci

D'accore tien nou sau courant .

Bonne soirée.

Salut les gens.


Freeman j'ai un pote qui à un trojan backdoor quelle démarche doit il suivre pour s'en débarrasser ?

Merci d'avance.

@+
dt.

Bonjour oODTGOo.

Tu lui dit de créer ton propre fil de discussion sur le forum pour que l'on puisse l'aider