[La chance]

Bonjour à tous!

Voilà, j'ai un PC portable qui ne se connecte jamais à internet, donc il n'y a ni antivirus ni antimerdes comme Spybot ou Ccleaner ou HiJackThis.

Malheureusement, je reviens de vacances, et quelqu'un a branché dessus un cable pour le relier au modem (ou routeur je ne m'y connais pas très bien. La boite speedtouch quoi). Il m'a dit s'être connecté à internet tous les jours depuis que je suis parti.

Je ne m'inquiete pas trop... Mais quelques jours plus tard, j'y branche une clé USB. L'explorateur était ouvert à G:, qui est le nom de clef sur le pc portable, et j'ai vu apparaitre, puis disparaitre aussitot un fichier exe dont le nom contenait "toy". Depuis, lorsque je branche ma clé USB sur un autre pc, cet autre pc détecte un virus. Même chose avec l'ipod.

-D'autre part, mon pc portable s'éteint parfois sans raison
-Il s'éteint toujours lors d'un test spybot, qui ne peut donc jamais aller jusqu'à la fin
-Il me détecte un "win32.SdBot.aad"
-Il interrompt parfois le processus avec un écran "warning" qui dit "There were problems in the include file C:\Program Files\Spybot - Search _Destroy\Includes\Malware.sbi (puis à la ligne) See 'Include errors.log' for details.
-Quand je vais poster mon log après avoir lancé HiJackThis, et que je reviens sur la page où je l'avais posé, he bien ça a disparu (ça je pense que ça n'a rien à voir avec le virus, mais à moi qui ne comprend pas ce site en allemand...)
-J'ai des fenêtres qui se lancent avec des adresses styles "double click"

Mmmh... Pouvez-vous donc m'aider? Me dire quels programmes télécharger/acheter?

J'ai bien entendu fait une recherche sur le labo avant de poster, sans succès. De plus, personne n'est jamais d'accord quant au meilleur antivirus. Un ami informaticien m'a conseillé Nod32, qu'en pensez vous? De plus, il semble y avoir des tendances temporaires par rapport à l'actualisation en temps réel des antivirus.

Voici le log hijackthis

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:40:35, on 29/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\program files\uninstall information\ibhgi.exe
C:\windows\inf\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [asibhg] c:\program files\uninstall information\ibhgi.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [systems] c:\windows\inf\svchost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.deezer.com
016 - DPF: Dexia BusinessClick - http://businessclick.dexia.be/PC/Dyn...t//DexiaBC.cab
016 - DPF :
016 - DPF :
016 - DPF :
016 - DPF :
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 5141 bytes

Quelques précisions sur le log:
-J'ai eu Norton Antivirus il y a des années sur ce PC. Il semble y avoir des restes dans ce log. Devrais-je les effacer? Ccleaner est-il bon pour ça?
-A la ligne 016, après la ligne sur DEXIA, j'ai vu des lignes de chiffres. Je les ai effacées exprès, pensant que c'était peut-être des codes confidentiels... Ai-je eu raison? Que représentent ces codes?


Voilà, j'ai tout dit. Pourriez vous m'aider, s'il vous plait? Je m'en remets à vous, j'ai peur pour mon pc ^^.



La chance


PS: j'ai un disque dur externe auquel je tiens plus qu'à la vie ^^, est-il aussi contaminé? Une contamination comme celle de mon pc peut-elle détruire les données du lecteur externe ou seulement lui faire colporter le virus?

OK...j'ai eu un problème similaire récemment. La première chose à faire c'est d'aller dans les options d'affichage des dossiers, montrer tous les fichiers cachés et système car certains antivirus se plantent là dessus.

Ensuite personnellement j'ai corrigé le problème à coup de MalwareBytes et d'Avast, Bitdefender m'ayant laissé sur le carreau, Antivir peut aider par contre.

La méthode c'est soit le scan de virus au reboot, soit en mode sans échecs, jamais en mode normal.

[Magnak]

Citation :

Une contamination comme celle de mon pc peut-elle détruire les données du lecteur externe ou seulement lui faire colporter le virus?

Non, les virus ne se résument plus à te supprimer des fichiers de nos jours, donc t'inquiète pas.


De toute façon, maintenant que tes disques amovibles sont infectés, des que tu vas les rebrancher tu vas être infectés, je te conseille d'aller sur http://forum.malekal.com/viewforum.php?f=3

Bonne chance.

[Sinju khai Nobutsu]

Démarres en mode sans échec avec prise en charge du réseau, Lances un scan avec ton anti-virus ... puis par sécurité, fais un scan en ligne chez Kaspersky ou via Secuser.com ...
Et pour achever le tout, lances un coup d'anti-spyware toujours en mode sans échec.
Enfin bon ... à moins qu'un des Exe soit un factice infecté, le seul que je ne connais pas et qui peut être bizarre, c'est le C:\program files\uninstall information\ibhgi.exe.

[Hipparchia]

Je commencerais aussi par un scan spybot en mode sans échec.
Très efficace.
Ensuite je remettrais un antivirus, même pas à jour, ça bloque les merdes connus avant qu'elles ne s'installent.

[S!ng Mary]

Pour ce qui est de Norton vaut mieux passer par eux, c'est le genre d'AV qui depuis des lustres refuse de se désinstaller proprement...

Pour le reste, essaye avec Malwarebyte, en général il est plutot performant. Une fois que c'est en ordre (après un coup d'AV comme expliqué ci-dessus), Ccleaner, regseeker et tout le toutim pour faire le ménage ; -)

[Magnak]

Mais tout ce que vous lui dites de faire n'est qu'une perte de temps si c'est disques amovibles sont infectés...

[Hipparchia]

Euh... non.
Il y a un fichier (généralement un exe et un bat) à virer.
Au pire tu formates les clés. C'est pas un drame.
A partir du moment ou le PC est clean...

[minitroll]

Citation :

Publié par Magnak

Non, les virus ne se résument plus à te supprimer des fichiers de nos jours, donc t'inquiète pas.




Bonne chance.

bien au contraire on a toutes les raisons de s'inquiéter.

maintenant ce n'est plus du bousillage de fichier et autre effet plus ou moins loufoque cet époque est révolue.
ils s'intéresse a votre porte monnaies et information personnel

c'est bien plus insidieux .back door keylogger ect.

[Zettai]

Si t'es verolée, installer un antivirus te servira a rien, le virus va le neutraliser. Donc un bon gros format et une réinstallation bien propre, c'est le mieux.

[Krogoth]

Citation :

Publié par Kodha

Si t'es verolée, installer un antivirus te servira a rien, le virus va le neutraliser. Donc un bon gros format et une réinstallation bien propre, c'est le mieux.

Et un bazooka pour tuer une mouche c'est tres efficace aussi.

[Antipika]

Citation :

Publié par Kodha

Si t'es verolée, installer un antivirus te servira a rien, le virus va le neutraliser. Donc un bon gros format et une réinstallation bien propre, c'est le mieux.

La plupart des antivirus font justement un scan avant l'installation pour s'assurer que le système est sain. Dans le cas de l'OP le virus ne semble pas bien méchant, alors je doute qu'il aille "désactiver" un antivirus.

Sinon pour le formatage c'est stupide :/ Pour si peu non... Si a chaque problème on formate on n'en finit pas.

[La chance]

ok, je vais faire ça.

Juste une autre question.

J'ai entendu que certains antimerdes comme Ccleaner ou hijackthis étaient parfois à utiliser avec précaution, dans la mesure où ils proposent parfois des supprimmer des trucs qui ne sont pas vraiment une menace.

Quels sont les logiciels pour lesquels il faut être spécialement attentif?

[S!ng Mary]

Tu peux y aller sans risque avec Ccleaner pour ses fonctionnalités, juste faire attention -mais c'est valable pour tous les logiciels- quand tu utilises le nettoyeur de la base de registre, bien que celui de Ccleaner est peu agressif, quoi qu'il en soit, à chaque nettoyage de ta BR, prends la précaution de faire un backup de celle-ci. Ce backup est généralement demandé par le logiciel lui même.

Ceci dit, autant avec CCleaner qu'avec Regseeker, pour le nombre de fois où je les ai utilisés, je n'ai jamais eu aucun soucis.

[Magnak]

Citation :

Publié par minitroll

bien au contraire on a toutes les raisons de s'inquiéter.

maintenant ce n'est plus du bousillage de fichier et autre effet plus ou moins loufoque cet époque est révolue.
ils s'intéresse a votre porte monnaies et information personnel

c'est bien plus insidieux .back door keylogger ect.

Oui je sais, mais il n'a pas à s'inquiéter sur la destruction de ses fichiers.

[La chance]

Je vous conseille à tous NOD32 qui a détecté et supprimmé la menace en 2 temps 3 mouvements!