Virus détectés - Kaspersky Online [+log HJT] -résolu-

Bonjour,
je viens de faire une analyse online avec Kaspersky et ce dernier a trouvé 3 infections:

Ci-dessous le rapport:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
mardi 14 mars 2006 19:34:14
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 14/03/2006
Enregistrements dans la base antivirus Kaspersky : 182398
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\

Statistiques de l'analyse:
Total d'objets analysés :: 26456
Nombre de virus trouvés: 2
Nombre d'objets infectés: 3
Nombre d'objets suspects: 0
Durée de l'analyse: 00:38:22

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\system32\drivers\etc\hosts Infecté: Email-Worm.Win32.Anker.n ignoré
C:\WINDOWS\system32\mswinsdl.exe Infecté: Backdoor.Win32.Rbot.gen ignoré
C:\WINDOWS\system32\mswinsddl.exe Infecté: Backdoor.Win32.Rbot.gen ignoré

Analyse terminée.


Puisque je n'ai pas pu les supprimer avec Kaspersky, comment dois-je procéder afin d'éliminer ces menaces?
Note: J'ai Panda Antivirus Titanium

Merci

J'ai essayé de scanner avec Panda Antivirus Titanium et Ewido, les virus que Kaspersky a detecté n'ont pas été trouvés par ces derniers.

Voici mon log Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:32:27, on 15.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pavsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\AVENGINE.EXE
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
c:\warcraft iii\war3.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schachbund.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [DAEMON Tools] "C:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS\WATCH.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0637841465
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25AD33E8-6EE4-4B27-9F26-0444DFB3DF64}: NameServer = 195.186.1.108 195.186.4.108
O17 - HKLM\System\CS1\Services\Tcpip\..\{25AD33E8-6EE4-4B27-9F26-0444DFB3DF64}: NameServer = 195.186.1.108 195.186.4.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{25AD33E8-6EE4-4B27-9F26-0444DFB3DF64}: NameServer = 195.186.1.108 195.186.4.108
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ewido security suite control - ewido networks - C:\ewido anti-malware\ewidoctrl.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

La pub est interdite !
Tu peux pas lui repondre ici.

Je vois pas les fichiers infectés dans ton log hijack this:
Regarde si tu les truve manuellement:

Et tu peux toujours supprimer manuellement.

Je ne sais pas si ca peut marcher, on on peut simplement restaurer les Hosts de depart.

Telecharge Hoster
http://www.funkytoad.com/download/hoster.zip
Mets le sur ton bureau.
Lance Hoster
Clique sur "Restore original Hosts"

Salut,

Voici le contenu de hosts:
















127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com


J'ai supprimé C:\WINDOWS\system32\mswinsddl.exe mais je n'ai pas trouvé C:\WINDOWS\system32\mswinsdl.exe ; bizarre que Kaspersky le détecte.

Enfin, il vient de détecter de nouveaux objets, qui n'apparraissent pas non plus dans le log Hijackthis (j'ai fais le scan avant d'avoir vu vos posts, on peut donc passer mswinsddl et hosts):
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
vendredi 17 mars 2006 22:03:14
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 17/03/2006
Enregistrements dans la base antivirus Kaspersky : 183019
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\

Statistiques de l'analyse:
Total d'objets analysés :: 28993
Nombre de virus trouvés: 3
Nombre d'objets infectés: 5
Nombre d'objets suspects: 0
Durée de l'analyse: 00:52:53

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\system32\drivers\etc\hosts Infecté: Email-Worm.Win32.Anker.n ignoré
C:\WINDOWS\system32\drivers\etc\hosts.msn Infecté: Email-Worm.Win32.Anker.n ignoré
C:\WINDOWS\system32\mswinsdl.exe Infecté: Backdoor.Win32.Rbot.gen ignoré
C:\WINDOWS\system32\mswinsddl.exe Infecté: Backdoor.Win32.Rbot.gen ignoré
C:\System Volume Information\_restore{00316CE6-C0FC-451D-B637-E21AB6711C45}\RP36\A0047767.exe Infecté: Trojan-Downloader.Win32.VB.ys ignoré

Analyse terminée.

En effet le fichier Host est infecte

1/ Fais ce que j'ai dit avec Hoster puis colle a nouveau le contenu du fichier.

2/ Assure toi d'avoir acces au dossier/fichiers caches
->Panneau de configuration
->Options dossiers
->Coche Afficher les dossiers caches
Decoche Masquer les extensions...
Decoche Masquer les fichiers proteges...

3/ Supprime si existe

C:\WINDOWS\system32\mswinsdl.exe
C:\WINDOWS\system32\mswinsddl.exe

4/ Desactive puis reactive la resaturation du systeme
Regarde ici

EDIT: encore trop tard :-D