Je viens de réinstaller windows XP après un formatage de mon C, et ai mis Kaspersky comme antivirus,  mis à jours bien sur.
 
Mais voilà le soir quand je rentre chez moi et que je regarde le log de Kaspersky, je vois qu'il a trouver un fichier virusé, qu'il a effacé bien sur.
Le problème, c'est qu'il y a une liste d'une dizaine d'infection et de delete, mais des deux ou trois même fichiers, qui sont scchost.exe et msnv32.exe principalement, infecté par backdoor.sdbot.gen ou backdoor.sdbot.dc ou backdoor.sdbot.ck.
Y en a eu d'autre aussi, mais je n'ai pas pris soin de les noter, pensant que le problème etait réglé.
Ces fichiers sont donc trouvé infecté, effacé et retrouvé de nouveau infecté une demi heure plus tard.
Ils n'arrêtent pas de revenir sans arret en boucle.
Et j'ai eu beau faire un scan complet de mons PC plusieurs fois, il ne trouve aucun autre fichier infecté, donc, j'ai donc un système clean apparemment, ce qui n'empêche pas le lendemain de ré-avoir cette liste de fichiers in fecté et effacé dans le log.
 
Je vois pas quoi faire d'autre pour résoudre ce problème, car je vois pas comment ce virus peut se retrouver sans arret sur ma machine si il a été effacé, j'ai aussi fait un scan en ligne, et ca ne change rien.
 
J'ai regarder si un programme inhabituel tournais en tache de fond, je n'ai rien vu d'anormal non plus.
 
 
Donc en bref, HELP!!!!!
 

ces fichiers sont ils tous dans system32 ?

Il me semble, mais je suis pas sur a 100%.
Pourquoi, ça change quelque chose?

Tu peux lire mon sujet : http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
 
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Explications en français sur HijackThis
 
http://assiste.free.fr/p/internet_ [...] hijack.php
 
Tu peux faire un scan antivirus en ligne ici
 
http://www.secuser.com/outils/antivirus.htm
 
Hijack montre 99 % des virus.

OK, je vais faire un scan dés que possible ainsi que mettre HijackThis.

 
Oui :-) chose que j'ai repérée y'a pas très longtemps.
Dans system32/, y'a un sous dossier dllcache/ caché et compressé (faut faire afficher les fichiers du système d'exploitation dans option des dossiers pour le voir) qui contient une copie des fichiers 'importants' de system32/, et qu'il recopie dans system32/ dès qu'ils en sont modifiés ou supprimés. Ton virus se cache peut être dedans et ton antivirus ne voit pas ce dossier... ?

mois ça m'est arrivé pour un .ace ... il faut le suppimer a la mano en mode ss echec ...(j C tjrs pas pkoi...)

desactive la restauration sysyteme
ensuite scan avec ton anti virus  
pense a reactiver ta restauration

si ton virus reviens tout le temps c'est surement que ton systéme n'est pas correctement patché.
 
utilise windows update ci dessous.
 
http://windowsupdate.microsoft.com/

Ben si, je fait un windwos update régulièrement, et je suis à jours, j'ai fait un scan ad-aware aussi.
 
Je viens de finir le scan antivirus en ligne, et rien trouve.

Poste le Hijack, on verra bien ce qu'il en est.

Ah ben maitnenant c'est secte.exe qu'il a trouver et qu'il a supprimé, nouveau celui là.
D'où ils peuvent bien venir tout ces virus de merde.
 
Logfile of HijackThis v1.97.7
Scan saved at 22:36:14, on 13/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\NetCaptor\NetCaptor.exe
D:\Divers\Hijack\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Personnaliser - C:\Program Files\PROMT98\promtie4\options.htm
O8 - Extra context menu item: Rechercher sur Internet - C:\Program Files\PROMT98\promtie4\search.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Traduire - C:\Program Files\PROMT98\promtie4\translat.htm
O8 - Extra context menu item: Traduire dans R-Express - C:\Program Files\PROMT98\promtie4\wts.htm
O8 - Extra context menu item: Traduire la page - C:\Program Files\PROMT98\promtie4\page.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/office [...] t/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 2683912037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBFFFC25-223B-47CC-94CF-4A0748E02D92}: NameServer = 212.35.2.1,168.95.192.1

J'ai trouver un truc, en tout k en partie, dans windows xp, dans start/all programs/ accessories/system tools, y a sheduled tasks.
J'ai vu dans l'event viewer que aux heure kaspersky trouvais le virus msnv32.exe une task c'etais lance a ce moment la.
et la je suis dans le sheduled tasks et je vois trois tache que j'ai jamais cree qui semble cree les fichier msnv32.
Mais il en reste que trois qui doivent se lancer demain samedi, je les ais donc efface, et j'espere que c'est de la que venais les autres aussi.
 
Je vois dans l'event viewer qu'il y a eu plus d'une trentaine de tâches qui se sont lancées, et qu'une seule fois chacune, il en restais trois donc j'espere que maintenant c'est bon et que c'etais ca.

http://securityresponse.symantec.c [...] sdbot.html
 
Doit y avoir des infos utiles ici.

Mauvaise nouvelle, de nouveau le fichier à été recrée et supprimé, donc en fait à ce que je comprend, ce fichier est crée par je ne sais quel programme ou autre, mais en plus ce programme crée des "sheduled tasks" qui ont pour but de le lancer à un moment precis de la journée ( oui j'ai trouver une nouvelle tache de crée dans le sheduled task ), bref, fait chier.
 
Et Sielfried, j'ai rien trouver comme fichier en rapport avec ceux presente par symantec, ni de cle qui s'y rapporte dans la base de registre.

http://www.sophos.fr/virusinfo/ana [...] ndexi.html

Je crois que cette fois c'est bon, grace au lien de Sielfried, qui m'a mis sur la voie.
 
C'étais ça il semblerait http://securityresponse.symantec.c [...] dex.f.html mon mot de passe etait computer justement.
 
Je savais que c'étais pas original, mais pas à ce point là.  
 
Enfin, je l'ai changer et depuis j'ai pas encore eu de problème, donc espérons que ça dure.  
 
En tout cas, merci pour votre aide les gars.