Bonjour, j'ai pour abitude de ne jamais posté c'est la deuxième fois seulement car je me renseigne beaucoup sur google ou ici sur ce forum qui exelent !!et du coup je me suis toujours sortit de mes probleme mais là !!!!!!
 
Je vient de réinstaller mon systeme d'exploitation ( win SP1 ) puis je commençait a installer toute les mises a jour windows, mon bitefender 8 pro, etc.....
Quand bitefender m'annonce que j'ai des troyens
 
Backdoor.CodBot.E
Backdoor.CodBot.Z
Backdoor.SdBot.WU
Trojan.Rootkit.H
 
Ils sont tous appliquer a des application que je n'ait pas installer....
 
Jusque la tous va bien sauf que aucun utilitaire ne trouve de trace appart bitefender, j'ai essayer Spybot, adaware, a-squared ,Trojan Remover,tout les utilitaire de désinfection bitefender (backdoor )et quelque autre aussi.....
 
Au bout de quelque minute la charge processeur monte a 100 pou 100 et bloque le pc.
Je laisse donc toujour mon gestionnaire de tache ouvert pour fermer le processus qui bloque le pc en general c'est un svchost.exe.
 
des processus ce charge que je n'ai jamais vu MSMSN7.EXE etc....
 
Merci de votre aide et désolé pour la longueure mais je galère top merci a la personne qui repondra à ce SOS !

ben msmsn c'est msn

Bisare on trouve pratiquement pas d'info sur ces backdoor.
SdBot à un rapport avec irc apparement, tu l'utilise ?

Merci Google, Sophos:
 
Les produits Sophos Anti-Virus détectent les membres de la famille de vers W32/Codbot sous le nom de W32/Codbot-Gen.
 
Les vers détectés sous le nom de W32/Codbot-Gen fournissent via des canaux IRC des fonctionnalités de cheval de Troie de porte dérobée à l'attaquant distant. En réponse à une commande de cet attaquant distant, ces vers peuvent se propager sur des partages réseau distants protégés par des mots de passe faibles.
 
Les membres de la famille W32/Codbot peuvent se copier dans le dossier système Windows et, pour s'exécuter à l'ouverture de session, crée des entrées dans le registre suivant :
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
 
Ces fonctionnalités de porte dérobée incluent la possibilité de renifler des paquets, de télécharger du code malveillant supplémentaire et de subtiliser des mots de passe ainsi que d'autres informations système.
 
Les vers W32/Codbot peuvent s'enregistrer sous la forme de processus de service.
 
Les membres de la famille W32/Codbot-Gen tentent en général d'exploiter les failles comme la faille LSASS (MS04-011).

Oui bien sur j'ai deja pensé a msn mais non ce n'est pas ça IRC non je ne l'utilise pas.
Pour binouche 22 ok j'ai bien compris mais ça ne fait pas avancé le chmilblick a moins que je n'ai pas compris ton message ?(merci tout de meme pour l'info )

Télécharge Hijackthiset poste un log ici.

Logfile of HijackThis v1.99.1
Scan saved at 20:57:15, on 09/05/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\System32\MSMSN7.exe
C:\WINDOWS\System32\testtts.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\explorer'net\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [TTS Sync] testtts.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [Windows Host32 Starter] hostserv.exe
O4 - HKLM\..\RunServices: [TTS Sync] testtts.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [TTS Sync] testtts.exe
O4 - HKCU\..\RunServices: [Windows Host32 Starter] hostserv.exe
O4 - Global Startup: HPZRCV01.LNK = ?
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/S [...] vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5133311275
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0778B94E-8211-431C-8D51-0233743E15EB}: NameServer = 212.37.32.5,213.228.0.168
O17 - HKLM\System\CS1\Services\Tcpip\..\{0778B94E-8211-431C-8D51-0233743E15EB}: NameServer = 212.37.32.5,213.228.0.168
O17 - HKLM\System\CS2\Services\Tcpip\..\{0778B94E-8211-431C-8D51-0233743E15EB}: NameServer = 212.37.32.5,213.228.0.168
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 

Il semblerait que MSMSN7.exe ne soit pas un processus légitime, mais je ne peux pas l'affirmer, j'ai trouvé des résultats contradictoires.
 

oui c'est bien ce que je me disait car je ne l'avais jamais vu avant....

Bonsoir, installe Hijackthis correctement ex:
C:\HJT\Hijackthis.exe pour avoir accès aux backups
 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche:
 
O4 - HKCU\..\RunServices: [Windows Host32 Starter] hostserv.exe  
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone  
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

 
Utilise la fonction rechercher pour ces fichiers:
 
MSMSN7.exe  
testtts.exe  
et renomme les: nom tiret extension point anc:
 
MSMSN7-exe.anc  
testtts-exe.anc
 
Supprime: hostserv.exe
 
Recache les fichiers. Démarre normalement et tiens nous au courant.
 
 
 
 
 

Bonjour' merci beaucoup a stonangel & aux autres!
La manip a marcher nickel.
Processus ok ET BITEFENDER n'affiche plus de troyen.
j'avais rajjouter quelque ligne au fixed lors du scan de hijackthis ce qui ne lui a pas fais de mal.
Merci beaucoup a tous.
 

Re bonjour désolé de vous rederanger tous mais....
le troyen recidive je ne comprend pas, mon PC a fonctionner toute la journé nikel et ce soir il recommence a me lancé un processus svchost.exe qui skotch la charge cpu a 100 pour cent !!!!
 
j'ai essayé de refaire la manip avec Hijackthis mais rien n'y fait alors si vous voyé quelque chose qui cloche ben... merci de me le faire savoir........
 
ogfile of HijackThis v1.99.1
Scan saved at 21:41:43, on 10/05/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HJT\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5133311275
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0778B94E-8211-431C-8D51-0233743E15EB}: NameServer = 212.27.32.5,213.228.0.168
O17 - HKLM\System\CS1\Services\Tcpip\..\{0778B94E-8211-431C-8D51-0233743E15EB}: NameServer = 212.27.32.5,213.228.0.168
O17 - HKLM\System\CS2\Services\Tcpip\..\{0778B94E-8211-431C-8D51-0233743E15EB}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

Bonsoir je ne touve rien dans ton rapport. On va pousser un peu le nettoyage:
 
Télécharge, installe, mets à jour et exécute cet utilitaire
 
http://www.ewido.net/en/download/
 
A la fin de son analyse, tu colles son rapport ici

ok voila....
 
demarrage....
 
---------------------------------------------------------
 ewido security suite - Rapport de démarrage
---------------------------------------------------------
 
 + Créé le:  23:43:48, 10/05/2005
 + Somme de contrôle: E99BBB57
 
Reg\HKLM\Run         ATIModeChange                            Ati2mdxx.exe                                                                                        
Reg\HKLM\Run         ATIPTA                                   C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe                                    
Reg\HKLM\Run         BDMCon                                   C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe                                                              
Reg\HKLM\Run         BDNewsAgent                              C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe                                                            
Reg\HKCU\Run         CTFMON.EXE                               C:\WINDOWS\System32\ctfmon.exe                                                                      
 
 
 
processus.....
 
---------------------------------------------------------
 ewido security suite - Rapport des processus
---------------------------------------------------------
 
 + Créé le:  23:45:39, 10/05/2005
 + Somme de contrôle: D29EE1FD
 
       0: System Process
       4: System Process
     252: C:\Program Files\Internet Explorer\iexplore.exe
     452: \SystemRoot\System32\smss.exe
     508: \??\C:\WINDOWS\system32\csrss.exe
     512: C:\WINDOWS\system32\NOTEPAD.EXE
     532: \??\C:\WINDOWS\system32\winlogon.exe
     576: C:\WINDOWS\system32\services.exe
     588: C:\WINDOWS\system32\lsass.exe
     764: C:\WINDOWS\system32\svchost.exe
     956: C:\WINDOWS\System32\svchost.exe
     976: C:\WINDOWS\System32\svchost.exe
     988: C:\WINDOWS\System32\svchost.exe
    1256: C:\WINDOWS\system32\spoolsv.exe
    1332: C:\Program Files\ewido\security suite\ewidoctrl.exe
    1356: C:\WINDOWS\Explorer.EXE
    1404: C:\Program Files\ewido\security suite\ewidoguard.exe
    1428: C:\Program Files\ewido\security suite\securitysuite.exe
    1456: C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    1468: C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
    1476: C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
    1484: C:\WINDOWS\System32\ctfmon.exe
    1536: C:\WINDOWS\System32\taskmgr.exe
    1620: C:\WINDOWS\System32\Ati2evxx.exe
    1672: C:\WINDOWS\System32\SCardSvr.exe
    1688: C:\WINDOWS\system32\slserv.exe
    1732: C:\WINDOWS\System32\svchost.exe
    1772: C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    1816: C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    1880: C:\Program Files\Internet Explorer\iexplore.exe
    1992: C:\Program Files\Softwin\BitDefender8\vsserv.exe

mais bon je crois que j'ai trouvé un nid dans systeme 32 avec bitefender......
 
C:\WINDOWS\system32\TFTP1100 Infectés avec Backdoor.PoeBot.B
C:\WINDOWS\system32\TFTP1100 Effacé
C:\WINDOWS\system32\TFTP3644 Infectés avec Backdoor.Codbot.Z
C:\WINDOWS\system32\TFTP3644 Effacé
C:\WINDOWS\system32\TFTP516 Infectés avec Backdoor.Codbot.Z
C:\WINDOWS\system32\TFTP516 Effacé
C:\WINDOWS\system32\TFTP540 Infectés avec Backdoor.PoeBot.B
C:\WINDOWS\system32\TFTP540 Effacé
C:\WINDOWS\system32\TFTP824 Infectés avec Backdoor.Codbot.Z
C:\WINDOWS\system32\TFTP824 Effacé
 
 
 
 
je sais pas si ça resoudra le probleme mais bon en tous cas cé deja ça en plus.....

ça recommence j'en ai encore plein !!!!!
Bitefender en trouve des nouveau et ewido trouve lui aussi des traces de trojan bizzare.....
 
Je sais plus quoi faire les processus on l'air correct a part que j'ai toujour un svchost.exe qui s'emballe A 99 au bout de une ou deux minute.
 
Je fait tou mettre en quarantaine ou j'efface quand je peut....
 
mais ça resoud pas le probleme originel.
 
( entre parenthèse; je deviens peut-etre parano mais tout les jour je me connect sur mon lui de travail(j'ai un portable )et la apres avoir supprimer deux trois processus louche j'ai plus de probleme de la journée meme apres redemarrage. dès que je rentre chez moi le soir et que je le branche a ma freebox tout recommence .... bizarre hein ?.....)

Effectivement c'est peut-être un problème matériel et pas de sécurité.

bon ben tant pis merci quand meme de ton aide je donne un dernier scan avec Ewido qui a été fait pendant qu'il déconnait ( cé a dire pendant que le processu svchost.exe monte le cpu a cent pour cent..) si tu vois quelque chose de louche sinon cé pas grave je vais aller me pendre ....
 
 
---------------------------------------------------------
 ewido security suite - Rapport des processus
---------------------------------------------------------
 
 + Créé le:  21:49:54, 12/05/2005
 + Somme de contrôle: 87CADFB2
 
       0: System Process
       4: System Process
     124: C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
     244: C:\Program Files\Softwin\BitDefender8\vsserv.exe
     448: \SystemRoot\System32\smss.exe
     504: \??\C:\WINDOWS\system32\csrss.exe
     528: \??\C:\WINDOWS\system32\winlogon.exe
     580: C:\WINDOWS\system32\services.exe
     592: C:\WINDOWS\system32\lsass.exe
     768: C:\WINDOWS\system32\svchost.exe
     836: C:\WINDOWS\System32\svchost.exe
     968: C:\WINDOWS\System32\svchost.exe
    1004: C:\WINDOWS\System32\svchost.exe
    1316: C:\WINDOWS\system32\spoolsv.exe
    1344: C:\WINDOWS\Explorer.EXE
    1460: C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    1468: C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
    1480: C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
    1496: C:\WINDOWS\System32\ctfmon.exe
    1564: C:\Program Files\ewido\security suite\securitysuite.exe
    1616: C:\WINDOWS\System32\Ati2evxx.exe
    1640: C:\Program Files\ewido\security suite\ewidoctrl.exe
    1652: C:\Program Files\ewido\security suite\ewidoguard.exe
    1780: C:\WINDOWS\System32\SCardSvr.exe
    1812: C:\WINDOWS\system32\slserv.exe
    1848: C:\WINDOWS\System32\svchost.exe
    1900: C:\WINDOWS\System32\taskmgr.exe
    2000: C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Bonsoir, il manque le log final d'Ewido

up, ça m'intéresserait d'avoir une piste pour corriger ce damné trojan et son cousin le poebot
 

Salut à tous,
 
Je pense qu'il peut s'agir d'un Rootkit...
Recherche toutes les entrées dans la BDR répondant au nom de ton svchost (attention à l'orthographe), sauve ta BDR puis vire toutes les entrées qui y semblent liées : il peut s'agir de x.CompaqDrivers, de msnt.exe, de msdirectx.sys, ...
 
Vérifie aussi les clefs suivantes :
 
[HKEY_CLASSES_ROOT\exefile\shell\open\command]  
[HKEY_CLASSES_ROOT\comfile\shell\open\command]  
[HKEY_CLASSES_ROOT\batfile\shell\open\command]  
[HKEY_CLASSES_ROOT\piffile\shell\open\command]  
 
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]  
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]  
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]  
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]  
--> TOUT doit être "%1" %* dans la colonne "données"  
 
Pense à la restauration du système... teste éventuellement ta Ram avec Memtest...
 
Tiens-nous au courant !

Salut tout le monde...
 
[config: Win XP pro SP1 - AntiVir XP, Sygate personnal firwall, Spybot, Mozilla Firefox 1.04]
 
il m'arrive la même chose!!
j'ai chopé un virus qui faisait redémarrer mon ordi avec un joli compte à rebours..!! pile à ma première connexion internet haut débit avec neuf telecom.. pas de bol.!! bref je me dis c pas grave je réinstalle de toute façon je voulais le faire. Je réinstalle ma connexion neuftel et rebelote exactement le même virus..!!! entre les compte à rebours je télécharge les mises à jour de AntVir XP, les mises à jour sécurité microsoft et je vérouille mon firewall (Sygate en esssayant de deviner les ip d'ou les virus sont téléchargé et en bloquant l'accès au réseau de certains fichiers.. notamment cmd.exe qui était utilisé pour accéder au réseau)... petit à petit j'ai un ordi à jour et là antivir m'annonce que j'ai des worm: poebot et codbot..!! je les supprime et je n'ai plus de problème de redémmarage.. seulement j'ai une alerte pour poebot et codbot toutes les 10 min..!!  
j'ai fait un scan avec stinger... avec www.secuser.com... mais ils ne trouvent rien et j'ai toujours une alerte de temps à autre..!!  
Sur ce je télécharge hijackthis et voilà ce qu'il me donne..!! :
 
Logfile of HijackThis v1.99.1
Scan saved at 14:29:01, on 08/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spybot\TeaTimer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\STX OpenClose\OpenClose.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 82.146.42.123 lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 online.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.com
O1 - Hosts: 82.146.42.123 personal.barclays.co.uk
O1 - Hosts: 82.146.42.123 barclays.co.uk
O1 - Hosts: 82.146.42.123 ibank.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.nwolb.com
O1 - Hosts: 82.146.42.123 nwolb.com
O1 - Hosts: 82.146.42.123 hsbc.co.uk
O1 - Hosts: 82.146.42.123 www.hsbc.co.uk
O1 - Hosts: 82.146.42.123 abbey.com
O1 - Hosts: 82.146.42.123 www.abbey.com
O1 - Hosts: 82.146.42.123 www.abbey.co.uk
O1 - Hosts: 82.146.42.123 abbey.co.uk
O1 - Hosts: 82.146.42.123 cahoot.com
O1 - Hosts: 82.146.42.123 www.cahoot.com
O1 - Hosts: 82.146.42.123 www.cahoot.co.uk
O1 - Hosts: 82.146.42.123 cahoot.co.uk
O1 - Hosts: 82.146.42.123 www.co-operativebank.co.uk
O1 - Hosts: 82.146.42.123 co-operativebank.co.uk
O1 - Hosts: 82.146.42.123 www.co-operativebank.com
O1 - Hosts: 82.146.42.123 co-operativebank.com
O1 - Hosts: 82.146.42.123 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 82.146.42.123 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 82.146.42.123 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 82.146.42.123 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 82.146.42.123 www.smile.co.uk
O1 - Hosts: 82.146.42.123 smile.co.uk
O1 - Hosts: 82.146.42.123 www.cajamar.es
O1 - Hosts: 82.146.42.123 cajamar.es
O1 - Hosts: 82.146.42.123 www.cajamar.com
O1 - Hosts: 82.146.42.123 www.unicaja.es
O1 - Hosts: 82.146.42.123 unicaja.es
O1 - Hosts: 82.146.42.123 www.unicaja.com
O1 - Hosts: 82.146.42.123 unicaja.com
O1 - Hosts: 82.146.42.123 www.caixagalicia.es
O1 - Hosts: 82.146.42.123 caixagalicia.es
O1 - Hosts: 82.146.42.123 www.caixagalicia.com
O1 - Hosts: 82.146.42.123 caixagalicia.com
O1 - Hosts: 82.146.42.123 activa.caixagalicia.es
O1 - Hosts: 82.146.42.123 www.caixapenedes.es
O1 - Hosts: 82.146.42.123 caixapenedes.es
O1 - Hosts: 82.146.42.123 www.caixapenedes.com
O1 - Hosts: 82.146.42.123 caixapenedes.com
O1 - Hosts: 82.146.42.123 bancae.caixapenedes.com
O1 - Hosts: 82.146.42.123 www.caixasabadell.es
O1 - Hosts: 82.146.42.123 caixasabadell.es
O1 - Hosts: 82.146.42.123 www.caixasabadell.net
O1 - Hosts: 82.146.42.123 caixasabadell.net
O1 - Hosts: 82.146.42.123 www.cajamadrid.es
O1 - Hosts: 82.146.42.123 cajamadrid.es
O1 - Hosts: 82.146.42.123 www.cajamadrid.com
O1 - Hosts: 82.146.42.123 cajamadrid.com
O1 - Hosts: 82.146.42.123 oi.cajamadrid.es
O1 - Hosts: 82.146.42.123 www.ccm.es
O1 - Hosts: 82.146.42.123 ccm.es
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: OpenClose.lnk = C:\Program Files\STX OpenClose\OpenClose.exe
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{242402BE-A376-4788-B801-3F519D0B8D20}: NameServer = 80.118.196.36 80.118.192.100
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate Personal Firewall\smc.exe
O23 - Service: Sound Sservice Driver  (Sound Service) - Sygate Technologies, Inc. - (no file)
 
et alors là ou je suis surpris c'est la ligne O1 qui me donne tout plein d'adresses de banques à l'étranger..!!!    
 
est-ce que qq1 peut me dire koi c'est et le moyen de me débarrasser de ça..!!
 
d'avance merci...
 
nérik

Je regarde ton rapport réponse dans un moment.

Re, télécharge et installe ces utilitaires:
 
Hoster - Toadbee :
http://www.greyknight17.com/spy/Hoster.exe
 
CCleaner
http://www.ccleaner.com/ccdownload.asp
 
Désactive TeaTimer de SSD le temps de faire les corrections avec Hijackthis.
 
Démarre Hijackthis Do a system scan only et coche les lignes suivantes:
 
O1 - Hosts: 82.146.42.123 lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 online.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.com
O1 - Hosts: 82.146.42.123 personal.barclays.co.uk
O1 - Hosts: 82.146.42.123 barclays.co.uk
O1 - Hosts: 82.146.42.123 ibank.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.nwolb.com
O1 - Hosts: 82.146.42.123 nwolb.com
O1 - Hosts: 82.146.42.123 hsbc.co.uk
O1 - Hosts: 82.146.42.123 www.hsbc.co.uk
O1 - Hosts: 82.146.42.123 abbey.com
O1 - Hosts: 82.146.42.123 www.abbey.com
O1 - Hosts: 82.146.42.123 www.abbey.co.uk
O1 - Hosts: 82.146.42.123 abbey.co.uk
O1 - Hosts: 82.146.42.123 cahoot.com
O1 - Hosts: 82.146.42.123 www.cahoot.com
O1 - Hosts: 82.146.42.123 www.cahoot.co.uk
O1 - Hosts: 82.146.42.123 cahoot.co.uk
O1 - Hosts: 82.146.42.123 www.co-operativebank.co.uk
O1 - Hosts: 82.146.42.123 co-operativebank.co.uk
O1 - Hosts: 82.146.42.123 www.co-operativebank.com
O1 - Hosts: 82.146.42.123 co-operativebank.com
O1 - Hosts: 82.146.42.123 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 82.146.42.123 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 82.146.42.123 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 82.146.42.123 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 82.146.42.123 www.smile.co.uk
O1 - Hosts: 82.146.42.123 smile.co.uk
O1 - Hosts: 82.146.42.123 www.cajamar.es
O1 - Hosts: 82.146.42.123 cajamar.es
O1 - Hosts: 82.146.42.123 www.cajamar.com
O1 - Hosts: 82.146.42.123 www.unicaja.es
O1 - Hosts: 82.146.42.123 unicaja.es
O1 - Hosts: 82.146.42.123 www.unicaja.com
O1 - Hosts: 82.146.42.123 unicaja.com
O1 - Hosts: 82.146.42.123 www.caixagalicia.es
O1 - Hosts: 82.146.42.123 caixagalicia.es
O1 - Hosts: 82.146.42.123 www.caixagalicia.com
O1 - Hosts: 82.146.42.123 caixagalicia.com
O1 - Hosts: 82.146.42.123 activa.caixagalicia.es
O1 - Hosts: 82.146.42.123 www.caixapenedes.es
O1 - Hosts: 82.146.42.123 caixapenedes.es
O1 - Hosts: 82.146.42.123 www.caixapenedes.com
O1 - Hosts: 82.146.42.123 caixapenedes.com
O1 - Hosts: 82.146.42.123 bancae.caixapenedes.com
O1 - Hosts: 82.146.42.123 www.caixasabadell.es
O1 - Hosts: 82.146.42.123 caixasabadell.es
O1 - Hosts: 82.146.42.123 www.caixasabadell.net
O1 - Hosts: 82.146.42.123 caixasabadell.net
O1 - Hosts: 82.146.42.123 www.cajamadrid.es
O1 - Hosts: 82.146.42.123 cajamadrid.es
O1 - Hosts: 82.146.42.123 www.cajamadrid.com
O1 - Hosts: 82.146.42.123 cajamadrid.com
O1 - Hosts: 82.146.42.123 oi.cajamadrid.es
O1 - Hosts: 82.146.42.123 www.ccm.es
O1 - Hosts: 82.146.42.123 ccm.es
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
 
Ferme toutes les fenêtres tous les programmes puis Fix checked.
 
Lance Hoster-Toadbee et clique sur Restore original Hosts
 
Exécute CCleaner sur toutes les sessions utilisateur
 
Redémarre normalement. Fais un scan ici:
http://www.pandasoftware.com/produ [...] ncipal.htm et colle le résultat avec un nouveau rapport Hijackthis.
 
Concernant Fashget:
http://www3.ca.com/securityadvisor [...] =453077947

Stonangel
 
 
tjrs a l'oeuvre et efficace  
 
 
@+
 

Bonsoir flit et merci   .

Merci bien...
 
j'ai fait tout ce que tu m'as dit et j'en ai profité pour passer à XP SP2..
 
voilà le log de hijackthis:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spybot\TeaTimer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\STX OpenClose\OpenClose.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: OpenClose.lnk = C:\Program Files\STX OpenClose\OpenClose.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -  
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate Personal Firewall\smc.exe
O23 - Service: Sound Sservice Driver  (Sound Service) - Sygate Technologies, Inc. - (no file)
 
ça a l'air un peu plus normal... ??
j'espère m'être débarrassé de cette merde...
 
En tout cas merci pour tout Stonangel    
 
nerik

Bonjour tu en es effectivemment débarrassé. Bon surf