w32.spybot.worm
w32.spybot.worm - Sécurité - Windows & Software
Marsh Posté le 19-08-2006 à 20:34:52
puisque personne ne répond à ma demande initiale, je vais essayer de reformuler avec une idée suite à mes lectures :
comment détruire le svahost.exe (et non le svhost.exe) qui est à la racine de windows ???
Ce serait sympa si quelqu'un pouvait m'aider.
Marsh Posté le 19-08-2006 à 20:36:42
http://www.symantec.com/region/fr/ [...] .worm.html
En 2sc trouvé sur Google.
Marsh Posté le 20-08-2006 à 22:35:50
J'ai quand même fait des recherches sur le net et j'ai déjà testé cette solution qui n'a rien donnée :
1-Ds le regedit et sur toutes les clés proposées pas de valeur se rapportant au nom de fichier détecté comme infecté par W32.Spybot.Worm.
2- Pas de fichier dont la taille est de zéro octet, et qui se trouvent dans tout dossier dont le nom finit par "Démarrage
Je continue à chercher mais je pense avoir besoin d'un peu d'aide sur le sujet.
Merci qd même.
Marsh Posté le 21-08-2006 à 12:00:57
Bonjour suite,
telecharge la version original de hijackthis http://www.merijn.org/files/hijackthis.zip
déconnecte toi du net et installe le.
lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.
Marsh Posté le 21-08-2006 à 20:22:59
Merci The bruce lee,
Ci-dessous le copier coller de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 20:07:14, on 21/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\config.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\svahost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Jacques\LOCALS~1\Temp\Rar$EX00.477\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Ins3DT] E:\INSTALL4\INS3DT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.encyclo.wanadoo.fr/JS/tdserver.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: windows config service (config) - Unknown owner - C:\WINDOWS\config.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: svahost - Unknown owner - C:\WINDOWS\svahost.exe
Marsh Posté le 21-08-2006 à 20:44:05
re,
1/affiche tout les fichiers:
| Citation : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : |
2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser INS3DT.EXE qui se trouve
ici:
E:\INSTALL4\INS3DT.EXE
et post le resultat.
@+
Marsh Posté le 21-08-2006 à 22:30:37
Merci pour ta réactivité Bruce lee,
Je le ferai demain car le problème n'est pas sur mon ordi mais sur celui d'un copain.
Encore merci pour ton aide.
Marsh Posté le 22-08-2006 à 14:22:40
Bonjour,
Suite aux conseils de Bruce Lee, je suis allé sur le site virusscan.jotti.org et j'ai scanné le fichier à pb : c:windows/svahost.exe et non le fichier E:\INSTALL4\INS3DT.EXE qui est un fichier sur un cd qui était par hasard ds mon lecteur.
Ci dessous le rapport :
Service load: 0% 100%
File: svahost.exe
Status: INFECTED/MALWARE
MD5 d2d80e6be5b9c62af52fb9458bb87e57
Packers detected: EXPRESSOR
Scanner results
AntiVir Found Packer/Expressor packer
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found IRC/BackDoor.SdBot2.FDP
BitDefender Found Backdoor.SDBot.7D5A658F
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Backdoor.Win32.SdBot.aad
NOD32 Found a variant of IRC/SdBot
Norman Virus Control Found Sandbox: W32/Malware; [ General information ]
* Anti debug/emulation code present.
* **Locates window "NULL [class mIRC]" on desktop.
* **Locates window "NULL [class AIM_CSignOnWnd]" on desktop.
* File length: 78172 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\svahost.exe.
* Deletes file c:\sample.exe.
* Creates file C:\Windows\services.exe.
[ Changes to registry ]
* Creates key "HKLM\Software\\Microsoft\\Windows".
* Sets value "DCPT"="c:\sample.exe" in key "HKLM\Software\\Microsoft\\Windows".
* Creates key "HKLM\System\CurrentControlSet\Services\svahost".
* Sets value "ImagePath"=""C:\WINDOWS\svahost.exe"" in key "HKLM\System\CurrentControlSet\Services\svahost".
* Sets value "DisplayName"="svahost" in key "HKLM\System\CurrentControlSet\Services\svahost".
* Deletes value "DCPT" in key "HKLM\Software\\Microsoft\\Windows".
* Sets value "oiDCPT"="3/6/2006, 1:20 PM" in key "HKLM\Software\\Microsoft\\Windows".
* Sets value "WaitToKillServiceTimeout"="7000" in key "HKLM\System\CurrentControlSet\Control".
[ Network services ]
* Looks for an Internet connection.
* Connects to "codeshit.clicky.info" on port 1863 (TCP).
* Connects to IRC Server.
* IRC: Uses nickname [0, , 697359].
* IRC: Uses username XP-9424.
[ Process/window information ]
* Creates service "svahost (svahost)" as ""C:\WINDOWS\svahost.exe"".
* Attempts to access service "svahost".
* Creates a mutex babezanal.
UNA Found nothing
VirusBuster Found nothing
VBA32 Found Backdoor.Win32.SdBot.aad
Merci de votre aide.
Marsh Posté le 22-08-2006 à 15:33:12
re,
Un dernier fichier a analyser steplait (config.exe):
C:\WINDOWS\config.exe
post le resultat une fois l'analyse faite.
Sujets relatifs:
- Spybot S&D + Firefox
- Worm Bagle gen-2
- pb infection de Svchost.exe par memscan.win32.worm.P2P.Puce.B
- virus "w32.licum" help!!
- des spy bizar (spybot)
- pb de worm et trojan
- Infecté: P2P-Worm.Win32.SpyBot.gen
- Fonction 'Tea Timer' de Spybot Search and Destroy v1.4 utile ?
- W32.Spybot.Worm dans C:\Windows\mspath.exe + demande de conseils
- Au secours d'un newbie: W32.SPYBOT.WORM
Marsh Posté le 18-08-2006 à 17:12:13
Bonjour,
Norton a detecté ce virus dans windows/svahost.exe et ne peut pas le détruire.
Par contre norton ouvre une fenêtre qui m'empêche de travailler....
J'ai déjà fait des recherches sur le net mais aucunes des solutions proposées n'a fonctionné.
SVP aidez moi.