Se connecter / S'enregistrer
Votre question

TROJAN HORSE BackDorr.SdBot.SVM sur IRC

Tags :
  • Antivirus
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Janvier 2006 19:56:42

Bjr à tous,
Je tourne sur Toshiba TECR 9000 avec XP.
Mon anti virus (AVG Free) a détecté un cheval de troie (BackDorr.SdBot.SVM) qui, a priori, prend la commande sur des ports IRC.
AVG réussi à le soigner (Heal), le garde en quarantaine (Vault) et je le suprimme (empy vault).

MAIS, à chaque connection sur le net, AVG me sort une nouvelle alame avec le même non de virus mais une fois dans le fichier (msconf.exe), une autre dans le fichier "winocx.exe, ...

Quelqu'un peut t-il me préciser une démarche à suivre pour éradiquer totalement cettte bestiole.

merci d'avance pour vos précieux (j'espère) conseils.

Autres pages sur : trojan horse backdorr sdbot svm irc

13 Janvier 2006 15:11:12

Salut,

Télécharge HijackThis : http://www.infos-du-net.com/telecharger/HijackThis.html
Extrais le fichier hijackthis.exe, de son fichier zip, dans un dossier dédié (un dossier que tu places sur le bureau par exemple).
Lance le fichier hijackthis.exe, choisi Do a system scan a save a logfile, et donne nous le résultat du scan.
13 Janvier 2006 18:54:54

Les résultats du scan avec Hijackthis sont :

Logfile of HijackThis v1.99.1
Scan saved at 18:51:12, on 13/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe
C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe
C:\WINDOWS\System32\s3hotkey.exe
C:\WINDOWS\System32\S3Tray2.exe
C:\WINDOWS\System32\00THotkey.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\EMT3\TMERzCtl.EXE
C:\Program Files\TOSHIBA\EMT3\TMESBS32.EXE
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\bin.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\EMT3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\EMT3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TMESBS.EXE] C:\Program Files\TOSHIBA\EMT3\TMESBS32.EXE /Client
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 02
O4 - HKLM\..\Run: [Windows Ocx Service] winocx.exe
O4 - HKLM\..\Run: [mlp] C:\bin.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [Windows Ocx Service] winocx.exe
O4 - HKLM\..\RunServices: [mlp] C:\bin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Ocx Service] winocx.exe
O4 - HKCU\..\RunServices: [Windows Ocx Service] winocx.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing)
O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)

Contenus similaires
14 Janvier 2006 23:31:00

Salut,

1) Relance HJT et fix ces lignes :
Citation :

O4 - HKLM\..\Run: [Windows Ocx Service] winocx.exe
O4 - HKLM\..\Run: [mlp] C:\bin.exe

O4 - HKLM\..\RunServices: [Windows Ocx Service] winocx.exe
O4 - HKLM\..\RunServices: [mlp] C:\bin.exe

O4 - HKCU\..\Run: [Windows Ocx Service] winocx.exe
O4 - HKCU\..\RunServices: [Windows Ocx Service] winocx.exe


2) Redémarre en mode sans échec

3) Supprime ces fichiers :
winocx.exe (dans C:\Windows ou C:\WIndows\system32 !)
C:\bin.exe

4) Redémarre normalement


As tu encore des soucis ?
15 Janvier 2006 17:50:36

Oui j'ai encore des soucis.

j'ai fait ta procédure, hormis la suppression de "winocx.exe" car je n'ai trouvé son emplacement. Il n'est pas dans système 32 de window (pourtant dans l'option des fichiers j'ai affiché les fichiers caché) Le mode recherche (avec l'option affichéer tous les dossier) ne trouve rien non plus.

Cela étant, depuis ma première demande, le nom du virus à changé. Le scan de mon anti virus (AVG free) me dit que j'ai fichiers infectés . Ce sont :
- C:\System volum information\_restore{6155C032-F325-4588-A014-OOEEF0766EB9}\RP4\A000280.exe\dr32.exe
L'anti vrus me dit aussi que ce fichier est situé dans les archives et ne peut être soigné ???

Le nouveau non de virus accroché est
trojan horse Downloader.Genreci.MUM

Un nouveau scan avec Hirtjack donne :
Logfile of HijackThis v1.99.1
Scan saved at 17:38:43, on 15/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe
C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe
C:\WINDOWS\System32\s3hotkey.exe
C:\WINDOWS\System32\S3Tray2.exe
C:\WINDOWS\System32\00THotkey.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\EMT3\TMERzCtl.EXE
C:\Program Files\TOSHIBA\EMT3\TMESBS32.EXE
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Grisoft\AVG Free\avgwb.dat
C:\Documents and Settings\Administrateur\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\vtsss.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\EMT3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\EMT3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TMESBS.EXE] C:\Program Files\TOSHIBA\EMT3\TMESBS32.EXE /Client
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 02
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinDLL (kky32.dll)] rundll32.exe C:\WINDOWS\System32\kky32.dll,start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O20 - Winlogon Notify: vtsss - C:\WINDOWS\SYSTEM32\vtsss.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing)
O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)

Merci de ton aide
15 Janvier 2006 18:04:13

en suite

le nom du virus est trojan horse Downloader.Generic.MUM

en plus, je suis allé voir l'archive infecté (- C:\System volum information\_restore{6155C032-F325-4588-A014-OOEEF0766EB9}\RP4\A000280.exe\dr32.exe)

Même chose il est introuvable dans le répertoire RP4 de _restore ???

Merci encore
16 Janvier 2006 09:44:22

Salut,

Maintenant tu as une infection Vundo, fais ceci :

Désinfection avec VundoFix
1) Redémarre l'ordinateur
2) Après les écritures du BIOS, appuie sur la touche F8 (si F8 ne marche pas, appuie sur F5) pour arriver à un menu avec des écritures blanches sur un fond noir.
3) Dans ce menu, utilises les flèches de ton clavier pour naviguer et choisir le mode sans échec. Valide avec la touche Entrée.
4) Le démarrage en mode sans échec est long généralement. Tu vas avoir des écritures blanches bizarres, ne t'inquiète pas c'est normal. Prend ton mal en patience pour que ça démarre.
5) Si au bout d'un trop long temps (genre 5 minutes), ça n'a toujours pas redémarré, dis le, je t'expliquerais comment faire sans redémarrer en mode sans échec.
[/quote]

4) Va dans le dossier VundoFix que tu viens de créer, et lance KillVundo.bat
Tu auras alors ce message :
Citation :
VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....


Appuie sur Entrée. Tu auras alors ce message :

Citation :
Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\vtsss.dll


Et valide avec Entrée. Maintenant, appuie sur la touche F6, puis sur la touche Entrée à nouveau, tu auras alors ce texte :

Citation :
Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\ssstv.*


Revalide avec Entrée, appuie sur F6 et revalide par Entrée.

HijackThis se lance automatiquement, choisi alors Do a system scan and save a logfile
Coche ces lignes et appuie sur Fix Checked :


O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\vtsss.dll

O20 - Winlogon Notify: vtsss - C:\WINDOWS\SYSTEM32\vtsss.dll


Quitte HijackThis, et appuie sur une touche pour redémarrer le PC.
Cette désinfection peut provoquer un écran bleu de Windows, ne t'inquiète pas, c'est normal.

Une fois que tu as redémarré, poste un nouveau log HijackThis.



Ensuite, fix cette ligne :
O4 - HKLM\..\Run: [WinDLL (kky32.dll)] rundll32.exe C:\WINDOWS\System32\kky32.dll,start

Et supprime ce fichier :
C:\WINDOWS\System32\kky32.dll

Puis, pour supprimer ton fichier dans System Volume Information, désactive la restauration système :
http://www.infos-du-net.com/modules/nsections/astuce-7....


On la réactivera une fois que tout sera propre.
16 Janvier 2006 20:34:59

avant d'essayer ta procédure je crois utile de te dire ceci :

après avoir essayé la première procédure j'ai cru que c'été réglé. Plusieurs scan avec mon anti virus ne trouvais plus de virus.

et c'est lors d'une connection internet que de nouveau une alarme est ressorti ce coup ci encore avec le Backdoor.SdBot.SVM et non plus le Download.generic.MUM.

mon anti virus l'a soigné, mis en quarantaine puis je l'ai effacé. depuis de nouveau plusieurs scan sont propre mais je suis persuadé qu'une fois online une nouvelle alarme va surgir.

Dois-je quand même
après t'avoir dit cela, dois-je quand même mettre en oeuvre ta dernière procédure ?
16 Janvier 2006 20:44:14

oui il le faut ! sinon tu restes infecté ! :-P
16 Janvier 2006 21:05:36

à titre d'exemple je suis retourné sur internet ce soir et j'ai eu une alarme ce coups ci avec le virus suivant :
Trojan horse generic. CSJ

depuis le début c'est les 3 noms de virus que j'ai choppé

je met en oeuvre ta procédure et te dit ce qu'il en est.
merci de ta patience
16 Janvier 2006 21:42:28

Ok j'ai mis en oeuvre la dernière procédure.

en désactivant la restauration du système (désactivé toujours en ce moment) je n'ai plus que , dans le répertoire system volume info qu'un seul fichier texte baptisé "Tracking"

L'ordinateur redémarre normalement
J'attend ton prochain message pour réactiver la restauration du système s'il faut le faire
9 Février 2006 11:14:56

Et depuis ... plus de message !

à se demander si le coup de main n'était pas un coup de pied ...
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS