Trojan backdoor [Résolu/Fermé]

Signaler
Messages postés
2644
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
12 mai 2016
-
 Miguel -
Bonjour,

j'ais un soucis ,et là , je suis à court d'idées :(

suite à un scan , avg m'a détecté un " HOST CHANGE " et intercepté un trojan horse backdoor SA

j'ais effectué un scan kaperski ( en ligne ) tout est ok . mais spybot me détecte un right media .

et R host (restauration du fichier host ) ne donne rien de plus .

voici mon rapport hijack ,merci d'avance pour votre aide :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:38, on 08/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\LimeWire\LimeWire.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Propriétaire\Bureau\securité\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 3.75\MediaManager\grab.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://softandfun.xooit.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

6 réponses


Tu peux essayer de supprimer ce(s) trojan(s) à l'aide de malwarebytes' antimalware (mbam pour les intimes^^) en le téléchargeant là =>http://www.malwarebytes.org/mbam/program/mbam-setup.exe en le mettant à jour et en scannant l'intégralité de tes disques (en mode sans échec si possible). Si t'esun peu perdu => http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php le tuto. Voilà!
bst31
Messages postés
2644
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
12 mai 2016
225
je viend de lire le tutoriel , j'ais téléchargé , je te tiens au courant ;)
Messages postés
956
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
8 mai 2014
125
Bonsoir,

pour ton 'host change" c'est normal qu'avg te le dise car tu as spybot et que tu as certainement fait une vaccination.
Ces vaccinations sont des urll suspectes et dangereuses que spybot place dans ton fichier host
pas de soucis de ce cote la

pour ton trojan place le en quarantaine ou supprime le comme tu veux et supprime le right média détecté par spybot

voila, si j'ai pu t'aider
bst31
Messages postés
2644
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
12 mai 2016
225
en fait , le trojan est déjas en quarantaine depuis 2 jour , et ce Right Media revien sans cesse .

j'ais des dificultées de navigation internet , et le window update ne fonctionne plus .
maranval
Messages postés
956
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
8 mai 2014
125 > bst31
Messages postés
2644
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
12 mai 2016

ton trojan est dans quel fichier, dans quel emplacement ?

essaies aussi de faire un scann complet avec ad aware 2007
bst31
Messages postés
2644
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
12 mai 2016
225 > maranval
Messages postés
956
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
8 mai 2014

il était dans un fichier zip de mise à jour du BIOS (asus update)

j'ais viré ce fichier (poubelle)
Messages postés
956
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
8 mai 2014
125
et pour ta navigation internet essaies de fair eune analyse avec ccleaner il se peut qu'elle soit ralenti par des fichiers tempraires, cookies, etc...
bst31
Messages postés
2644
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
12 mai 2016
225
déjas fait une bonne trentaine de fois :))

je parle de blocage d'acces internet ( internet ne peut pas ouvrir cette page ...)
Messages postés
956
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
8 mai 2014
125
pour internet ton pare feu ne le bloque pas ?
bst31
Messages postés
2644
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
12 mai 2016
225
il est reparametré , attend , je vais faire un scan antimalware , je te tiend au courant ;)
Messages postés
2644
Date d'inscription
samedi 29 décembre 2007
Statut
Contributeur
Dernière intervention
12 mai 2016
225
tout est ok maintenant , c'est spybot qui laissait penetrer les malwares par le biais de mon pare feu , et mon pare feu qui bloquait les mises à jour window , merci encore pour votre aide ;))

ps : j'ais viré cette grosse m..de de spybot .
J'ai tout essayé Avast, Malwarebytes, Spybot et dix autres, rien n'y faisait. Finalement j'ai viré Avast!, j'ai installé AVG 2011 et je l'ai exécuté (scan complet) là sont apparus de nouveau trojan. J'ai demandé leur mise en quarantaine et tout est revenu presque normal, il n'y a plus de virus et de cheval de troie et de vers, sauf que j'avais passé tellement d'anti-n'importe-quoi qu'en essayant application après application, j'ai dû en retaper une couple.

Perdez pas votre temps avec les hijack et tous les interminables blablas, désactiver les restaurations et lancez AVG 2011... quand tout baignera de nouveau, réduisez le fichier des restaurations à zéro (pour détruire ce qu'il contient) redonnez une valeur normale et ouvrez-vous une bière, le bonheur est là !