Virus Backdoor.Nibu, comment le supprimer ?

Virus Backdoor.Nibu, comment le supprimer ? - Sécurité - Windows & Software

Marsh Posté le 09-07-2005 à 15:32:47    

Bonjour a tous,
 
Le PC de mon père a été infecté par le virus suivant: Backdoor.Nibu
 
J'ai cherché sur google pour pouvoir désinfecter le PC mais je n'ai pas trouver de solution valable
 
Savez-vous comment faire pour le suppimer ?
 
Merci d'avance
 
Urikain
 
PS: Je ne pourrai pas répondre avant ce soir...

Reply

Marsh Posté le 09-07-2005 à 15:32:47   

Reply

Marsh Posté le 09-07-2005 à 15:40:10    

Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip

Important
: Installer Hijackthis correctement  
L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp)
 
Scan/save log (rapport)/copier&coller le contenu du rapport ici
 
Tutorial pour l’installation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm

Reply

Marsh Posté le 10-07-2005 à 10:12:13    

Stonangel: j'ai fait ce que tu m'as demandé.
 
Voici la rapport:
-------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 10:10:43, on 10/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\winldra.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\qiumapu.exe
C:\Program Files\Fichiers communs\CMEII\CMESys.exe
C:\Program Files\Weatherscope\Weatherscope.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\GMT\GMT.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =  
 
http://if.searchcentrix.com/sideca [...] 0819216802
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =  
 
http://red.clientapps.yahoo.com/cu [...] .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  
 
http://www.boursorama.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
 
http://if.searchcentrix.com/sideca [...] 0819216802
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =  
 
http://red.clientapps.yahoo.com/cu [...] .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet  
 
Explorer fourni par modulo Net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =  
 
localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program  
 
Files\MyWay\SearchAt\3.bin\MWSSRCAS.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} -  
 
C:\WINDOWS\BTGrab.dll
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} -  
 
C:\Program Files\MyWay\SearchAt\3.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program  
 
Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program  
 
Files\MyWay\bar\3.bin\MWSBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program  
 
Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: GSIM - {4E7BD74F-2B8D-469E-DFF7-EC6BF4D5FA7D} - C:\WINDOWS\gsim.dll
O2 - BHO: BRedObj Class - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program  
 
Files\Reg2\Reg2.dll
O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - (no file)
O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program  
 
Files\Xmod\xm320.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} -  
 
C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -  
 
C:\WINDOWS\System32\bridge.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program  
 
files\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} -  
 
C:\WINDOWS\System32\nvms.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program  
 
Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program  
 
Files\webHancer\programs\whiehlpr.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} -  
 
C:\WINDOWS\System32\mscb.dll
O2 - BHO: UrlCatcher Class - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} -  
 
C:\WINDOWS\System32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} -  
 
C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -  
 
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program  
 
files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec  
 
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SymNetDrv\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [New.net Startup] rundll32  
 
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [wgpilbte] C:\WINDOWS\System32\qiumapu.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"
O4 - Global Startup: Weatherscope.lnk = C:\Program Files\Weatherscope\Weatherscope.exe
O8 - Extra context menu item: &Google Search - res://c:\program  
 
files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search -  
 
http://bar.mywebsearch.com/menusea [...] xdm344YYFR
O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic  
 
Agent\Web\SearchExt.htm
O8 - Extra context menu item: Pages liées - res://c:\program  
 
files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program  
 
files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth  
 
Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google  
 
- res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program  
 
Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}  
 
- C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} -  
 
C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent -  
 
{193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} -  
 
C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -  
 
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a}  
 
- C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program  
 
Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -  
 
C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} -  
 
http://www.lyricsdomain.com/download.mp3.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -  
 
http://ak.imgfarm.com/images/nocac [...] etup1.0.0.
 
8-2.cab
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program  
 
Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program  
 
Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation -  
 
C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation -  
 
C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation -  
 
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -  
 
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -  
 
C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation -  
 
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers  
 
communs\Symantec Shared\Security Center\SymWSC.exe
----------------------------------------------------------
 
Merci de votre aide

Reply

Marsh Posté le 10-07-2005 à 12:54:58    

Bonjour, Il y a le parasite NewDotNet: O10 - Hijacked Internet access by New.Net
Télécharge cet outil de désinfection LSPFix de Cexx.org
http://www.cexx.org/lspfix.htm
 
Ce programme tente de corriger les problèmes de connexion à Internet résultant de programmes Layered Service Provider (LSP) buggués ou improprement éliminées. Ce problème survient souvent par les adwares New.net (NewdotNet) et WebHancer, en bundle avec des freewares.
Quand vous lancez LSP-Fix, il lit la liste des modules LSP à partir de la base de registres de Windows et vérifie que chaque module existe. Si un module manque, il est placé dans la liste "Remove" pour être éliminé, explications assiste.com.
 
Voici comment procéder:
 
1 Démarrer> Paramètres> Panneau de configuration> Ajout/suppression des programmes
S’il y a le programme NewDoNet ou NewNet le désinstaller. De même pour Webhancer
(le désinstaller en mode sans échec si l’application est récalcitrante)
 
2Explorateur Windows suivre ce chemin :
C:\Program Files\NewDotNet\ ou C:\windows\
Rechercher le fichier de désinstallation ressemblant a NDNuninstallX_XX.exe(x est la version)
Cliquer dessus,une fois la désinstallation terminée  supprime le dossier C:\Program Files\NewDotNet\
 
3 Télécharge ceci uninstallNewdonet  http://www.new.net/support/uninstall6_38.exe
et tu le copies sur une disquette ou CD.  
Insère la disquette ou CD.  
Clique sur Démarrer.  
Clique sur Exécuter.  
Tape: X:\uninstall6_38.exe. (où X représente le lecteur Disquette A ou ton lecteur CD D, E, F,..)
Clique sur OK.  
Une fois la désinstallation terminée, redémarre.
 
 
Si après la manip ci-dessous tu perds l’accès à internet :  
Démarre LSPFix  
Coche 'I know what I'm doing'  
Clique sur 'Finish'.  
Redémarre ton PC.

Reply

Marsh Posté le 11-07-2005 à 21:52:17    

Bon, j'ai fait ce que tu m'as indiquer mais j'ai toujours mon Virus Backdoor.Nibu !!
 
Aidez moi pour le supprimer, merci

Reply

Marsh Posté le 11-07-2005 à 22:02:08    

Poste un nouveau rapport Hijackthis

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed