Hello à tous
 
Voilà le pc de ma copine s'est pris un beau Trojan, un processus qui traine en permance (XCalibre.exe)...Apparemment il permet à pas mal de virus de rentrer sur le PC, et ça a pas raté.
 
En installant Bit Defender Free Edition, il a trouvé pas mal de virus en tout genre...
 
En passant un coup d'AdWare et SpyBot, il n'a pas viré le processus en question....Auriez vous une idée ??
 
Merci d'avance,
Jey.

Télécharger "HijackThis" sur:
 
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
 
 

bonjour,
c'est une (édit    ) des Xvariantes du backdoor Sdbot
Troj/SdBot-EI is a backdoor  The Trojan copies itself to the Windows system folder as XCALIBRE.EXE
http://www.sophos.com/virusinfo/an [...] botei.html

voili
 
Logfile of HijackThis v1.98.2
Scan saved at 13:06:56, on 01/11/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\SYSTEM32\htenda.exe
C:\WINNT\system32\systemconfig.exe
C:\WINNT\system32\svchostss.exe
C:\WINNT\SYSTEM32\bbsdf.exe
C:\WINNT\system32\ffbaqe.exe
C:\WINNT\system32\svhost.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\msupdate.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\svchostss.exe
C:\WINNT\system32\systemconfig.exe
C:\WINNT\system32\svchostss.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\systemconfig.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\systemconfig.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\system32\svhost.exe
C:\HiJackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.starwars-universe.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.starwars-universe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\applications\adobe\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\APPLIC~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {4DC83918-85E4-44D0-AC42-A6023A5D3700} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [prwltnftfi] C:\WINNT\system32\zqcdox.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft System NT] svhost.exe
O4 - HKLM\..\Run: [Windows update configs] svhost.exe
O4 - HKLM\..\Run: [vDGDGvvsa dqdw] C:\WINNT\SYSTEM32\htenda.exe
O4 - HKLM\..\Run: [DASDS VSAVdjs] dsabdw.exe
O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\documents and settings\all users\menu démarrer\programmes\démarrage\winmngr.exe
O4 - HKLM\..\Run: [System Configurator] systemconfig.exe
O4 - HKLM\..\Run: [Configuration Loader] svchostss.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] cnnet.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [MSN Messenger BETA 7] C:\WINNT\SYSTEM32\bbsdf.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] ffbaqe.exe
O4 - HKLM\..\RunServices: [Microsoft System NT] svhost.exe
O4 - HKLM\..\RunServices: [Windows update configs] svhost.exe
O4 - HKLM\..\RunServices: [DASDS VSAVdjs] dsabdw.exe
O4 - HKLM\..\RunServices: [System Configurator] systemconfig.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] cnnet.exe
O4 - HKLM\..\RunServices: [Configuration Loader] svchostss.exe
O4 - HKLM\..\RunServices: [Norton Auto-Protect] ffbaqe.exe
O4 - HKCU\..\Run: [Microsoft System NT] svhost.exe
O4 - HKCU\..\Run: [DASDS VSAVdjs] dsabdw.exe
O4 - HKCU\..\Run: [Norton Auto-Protect] ffbaqe.exe
O4 - HKCU\..\Run: [Configuration Loader] svchostss.exe
O4 - HKCU\..\Run: [System Configurator] systemconfig.exe
O4 - Global Startup: msupdate.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
 

C'est bien ce que je pensais...il a fait pleinde petits.
 
O4 - HKLM\..\Run: [prwltnftfi] C:\WINNT\system32\zqcdox.exe  
O4 - HKLM\..\Run: [Microsoft System NT] svhost.exe  
O4 - HKLM\..\Run: [Windows update configs] svhost.exe  
O4 - HKLM\..\Run: [vDGDGvvsa dqdw] C:\WINNT\SYSTEM32\htenda.exe  
O4 - HKLM\..\Run: [DASDS VSAVdjs] dsabdw.exe  
O4 - HKLM\..\Run: [System Configurator] systemconfig.exe  
O4 - HKLM\..\Run: [Configuration Loader] svchostss.exe  
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] cnnet.exe  
O4 - HKLM\..\Run: [MSN Messenger BETA 7] C:\WINNT\SYSTEM32\bbsdf.exe  
O4 - HKLM\..\Run: [Norton Auto-Protect] ffbaqe.exe  
O4 - HKLM\..\RunServices: [Microsoft System NT] svhost.exe  
O4 - HKLM\..\RunServices: [Windows update configs] svhost.exe  
O4 - HKLM\..\RunServices: [DASDS VSAVdjs] dsabdw.exe  
O4 - HKLM\..\RunServices: [System Configurator] systemconfig.exe  
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] cnnet.exe  
O4 - HKLM\..\RunServices: [Configuration Loader] svchostss.exe  
O4 - HKLM\..\RunServices: [Norton Auto-Protect] ffbaqe.exe  
O4 - HKCU\..\Run: [Microsoft System NT] svhost.exe  
O4 - HKCU\..\Run: [DASDS VSAVdjs] dsabdw.exe  
O4 - HKCU\..\Run: [Norton Auto-Protect] ffbaqe.exe  
O4 - HKCU\..\Run: [Configuration Loader] svchostss.exe  
O4 - HKCU\..\Run: [System Configurator] systemconfig.exe  
O4 - Global Startup: msupdate.exe  
 
Coche et fixe ces lignes ds HijackThis.
 
Puis supprime en mode sans échec les fichiers correspondants.
Tu dois au moins trouver:
C:\WINNT\SYSTEM32\htenda.exe  
C:\WINNT\system32\systemconfig.exe  
C:\WINNT\system32\svchostss.exe  
C:\WINNT\SYSTEM32\bbsdf.exe  
C:\WINNT\system32\ffbaqe.exe  
C:\WINNT\system32\svhost.exe  
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\msupdate.exe  
Et ce fameux XCalibre.exe, bien sûr.
 
Avant, n'oublie pas de faire ceci:
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Puis vide la corbeille.
 
Redémarre en mode normal et poste un nouveau log (j'en ai p-être oublié...)
 
-----------
Edit : Fais attention à ne pas confondre certains fichiers avec  
C:\WINNT\system32\svchost.exe qui lui est indispensable à windows.
 
.

2 entrées de celui-ci en dessous l'une de l'autre
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\svhost.exe

Merci beaucoup pour ses infos
 
voilà le log :
 
Logfile of HijackThis v1.98.2
Scan saved at 13:58:03, on 01/11/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINNT\system32\taskmgr.exe
C:\HiJackThis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.starwars-universe.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.starwars-universe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\applications\adobe\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\APPLIC~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {4DC83918-85E4-44D0-AC42-A6023A5D3700} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [prwltnftfi] C:\WINNT\system32\zqcdox.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\documents and settings\all users\menu démarrer\programmes\démarrage\winmngr.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
 

O4 - HKLM\..\Run: [prwltnftfi] C:\WINNT\system32\zqcdox.exe <-- celui-ci encore à fixer
 
BitDefender Free Edition<-- ce n'est pas un antivirus (free)  efficace?

O3 - Toolbar: (no name) - {4DC83918-85E4-44D0-AC42-A6023A5D3700} - (no file)  
 
O4 - HKLM\..\Run: [prwltnftfi] C:\WINNT\system32\zqcdox.exe  
O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\documents and settings\all users\menu démarrer\programmes\démarrage\winmngr.exe  
 
Donc pareil:
1-Fixer les lignes
2- Supprime les fichiers en sans échec:
 
C:\WINNT\system32\zqcdox.exe
c:\documents and settings\all users\menu démarrer\programmes\démarrage\winmngr.exe
 
Vider la corbeille.
 
Poster un nouveau log.

je suis la copine en question.
 
le problème maintenant, c'est qu'au démarrage, après avoir ouvert ma session, j'ai un écran noir, rien qui bouge malgré la souris en attente, et le seul moyen c'est de terminer le explorer.exe du gestionnaire et de le rouvrir pour pouvoir afficher le bureau.  
c'est bien sympa de virer les virus, mais j'aimerais bien que mon pc redémarre normalement maintenant, je vais pas me taper ça a chaque démarrage. une idée d'où que ça peut viendre?  

Non. Cet ordi était archi-infecté...Donc, quelle a été leur action...je ne sais pas.
 
Ce que l'on peut faire, c'est enlever les virus....mais remettre ce qu'ils ont pu détruire..ça, c'est autre chose. En effet, la plupart tente de terminer des processus, de corrompre des fichiers système et même d'en effacer.
 
Termine le nettoyage en tous cas.

mais ça ne me faisait pas ça avant que mon copain décide d'y toucher. ça démarrait normalement, le seul truc c'est que mon pc était un peu lent, mais ça me génait pas spécialement, c'était pas énorme, sauf les jours ou la connexion ramait.
maintenant, il me fait écran noir au démarrage et je ne peux meme plus ouvrir mon dossier paramètres, ça plante automatiquement.
alors je veux bien continuer a nettoyer ça, mais si ça me crée encore plus de problèmes après, je fais comment pour réparer?

Je suis désolé, je ne peux pas te répondre exactement.
 
Pour un des virus présents par exemple:
http://www3.ca.com/securityadvisor [...] x?id=39529
 

 
Ce qu'il a pu faire exactement, je ne le sais pas.

arg, ils sont à nouveau de retour : toutes les merdes qu'on avait virés tout à l'heure sont réapparus

si dans ton malheur ton démarrage est restauré, profite pour faire un scan avec ton antivirus et surtout installe un firewall, il n'y a aucune trace dans ton log. c'est prendre bcp de risques

 
Tout à fait. En voici un, si tu n'en as pas sous la main:
http://www.zonelabs.com/store/cont [...] id=pdb_za1
 

J'ai installé Kerio, qui a une bonne réputation.
En antivirus gratuit vous me conseillez koi ? (qui soit capable de faire le ménage)

Ok pour Kerio, il est très bien.
 
En antivirus, tu as déjà BitDefender.
Les autres ne seront pas meileurs.
 
En gratuit, il y a:
http://www.avast.com/eng/down_home.html