bonjour
 j'ai un grand probleme avec un virus qui veut pas partir
 
vous allez me dire essayes norton , kaspersky ,ad ware...
 
j'ai essayé tout ca en mode normal et sans echec,et j'ai meme formaté le disque dur.
 
kaspersky m'annonce toujours l'existance d'une backdoor.rbot.gen
 
et comme j'ai pas un lecteur disquette sur mon pc, j'ai essayé de repparer toutca en mode fdisk avec windows xp
 
mais quand j'ai voulu effectuer cette operation windows m'a avertit qu en effectuant cette operatin  je risque d'avoir plus acces à mes partitions parceque le mbr est endommagé ou standard.
 
j'attends vos conseils  
 
et merci

le rapport entre la backdoor et le boot/mbr ???

puisque ,meme le formatage du disque dur j'ai le souci d'avoir un virus dans le bios ou mbr ,et en lisant cet article vous aurrez une idée sur le virus et mbr
 
 
 
Format et Fdisk jouissent d'une réputation de remèdes miracles contre tous les virus. Malheureusement ce n'est pas le cas. Ils peuvent effectivement servir à supprimer certains virus, mais dans le pire des cas leur usage peut entraîner des conséquences catastrophiques.  
 
Le MBR  
Le MBR (Master Boot Record) est une structure au tout début du disque dur qui contient des informations sur les partitions, ainsi qu'un programme qui lance le secteur d'amorce de la partition active (partition contenant le système d'exploitation), qui à son tour lance le système d'exploitation.
 
Le formatage  
Le formatage efface toutes les données du disque dur (ou d'une partition au cas où il y en aurait plus d'une). On pourrait croire qu'un virus présent sur le disque dur sera supprimé par la même occasion. Or le formatage ne touche pas au MBR (et par conséquent au virus qui pourrait s'y trouver) et détruit également toutes les données légitimes. Après un formatage vous vous retrouvez donc obligatoirement à la case départ: le virus ne sera pas forcément parti, et même s'il l'est, vous aurez à tout réinstaller. Cela est d'autant plus insensé que la plupart des virus peuvent être supprimés assez facilement.  
 
Fdisk /mbr  
/mbr est un paramètre non documenté du programme Fdisk. Il ordonne à Fdisk de réécrire le code du MBR. Si le MBR contient un virus, celui-ci sera donc supprimé. Malheureusement ce n'est pas aussi simple que ça: le MBR contient également la table des partitions, et il est possible que le virus l'ait chiffrée d'une certaine manière. Le code "standard" par lequel Fdisk remplace le virus ne saura pas forcément déchiffrer la table des partitions. Le résultat net de l'opération sera que vous n'aurez plus accès aux partitions, et cela n'est qu'un scénario possible parmi d'autres.  
 
En résumé:  
Ne formatez qu'en dernier recours (sachant que cela entraînera la perte de toutes vos données) et n'utilisez jamais Fdisk /mbr à moins que votre éditeur antivirus ne vous l'ait conseillé. Dans tous les autres cas, servez-vous d'un logiciel antivirus pour supprimer le virus.  
 

aqw852 ->      (Virus dans le BIOS ??? Bizare)
 
C'est surement un virus dans la zone de boot.
Mais bon exploite quand même la piste du BIOS on ne sais jamais.
 
- Flash BIOS
 
- Formatage niveau bas (utilitaire constructeur)
 
- Réinstalle OS
 
Bonne chance.

Il a pas l air si mechant que ca ce virus : http://www.commentcamarche.net/for [...] r-rbot-gen

lisez plutot cet article:
 
Les virus boot (fonctionnement et infection)
Les virus boot peuvent infecter soit le MBR soit le secteur d'amorce d'une partition, de préférence bien sûr celui de la partition active (un virus n'a pas intérêt à infecter du code qui n'est jamais exécuté). Nous couvrirons uniquement l'infection du MBR.  
 
Un virus est un programme dont le but principal (et souvent unique) est la reproduction. Pour ce faire, il ajoute son propre code à du code sain ou remplace le code sain par soi-même. Comme le code d'origine du MBR est extrêmement important, le virus ne le supprime pas froidement mais le modifie tout en préservant sa fonctionnalité ou le copie vers un autre endroit pour le retrouver plus tard.
Lors du démarrage de l'ordinateur, le virus sera lancé en premier et pourra agir librement:  
 
il pourra se reproduire en infectant une éventuelle disquette dans le lecteur  
il pourra effectuer des préparatifs pour assurer le bon déroulement du reste de la séquence démarrage  
il pourra s'installer de façon durable en mémoire  
Il se chargera ensuite de faire reprendre son cours normal à la séquence de démarrage en exécutant le "vieil" MBR ou en simulant son comportement.  
 
La furtivité
Le but primordial d'un virus est la reproduction. Une fois découvert, le virus ne pourra plus se reproduire car des mesures seront prises par l'utilisateur pour l'éradiquer. Le virus a donc intérêt à rester caché le plus longtemps possible. Un tel virus qui cherche à activement cacher sa présence est appelé "furtif" ("stealth" en anglais).  
 
La furtivité consiste donc à présenter à l'utilisateur l'environnement habituel et de berner les antivirus. Une fois actif, un virus demeurera ainsi en mémoire et interceptera toute tentative de lecture du MBR par l'intermédiaire du BIOS et renverra une copie propre du MBR. Tout programme usant du BIOS (plus précisément de l'interruption 13h) pour accéder au MBR, ce qui est pratiquement toujours le cas, recevra donc de la part du virus un MBR semblant légitime. Cela est très important non seulement parce que les antivirus examinant le MBR ne constateront rien d'anormal, mais aussi car le virus pourra modifier ou déplacer le vrai MBR à sa guise sans que cela ne trouble le bon fonctionnement du système.  
 
En fait, le virus peut manipuler n'importe quel secteur de quelle manière que ce soit à condition que ces modifications restent totalement transparentes aux yeux de l'utilisateur et des antivirus!  
 
Notez qu'il existe un moyen d'accéder au disque dur sans le BIOS (et donc sans le virus). Dans le même ordre d'idées, il est possible d'appeler l'interruption 13h du BIOS en contournant le virus.
Cependant ces techniques ne sont intéressantes que dans le cadre du développement d'un antivirus; nous ne les évoquerons donc pas.  

Tu fais une fixation la dessus
Les virus de bios, ca fait longtemps que ca ne se propage plus  et virus de boot, ca n a pas l air d etre le cas ,d apres ce que j ai lu sur le forum de comment ca marche

mais ou as tu vu qu'il s'agissait d'un virus de boot ?????

Karoli
 
c'est cool quelqu'un qui soit disant pose une question, qui n'accepte aucune des réponses car il est sûr de lui et qui balance des cours sur les virus (intéressant à lire par ailleurs)
 
c'est clair sinon que ce backdoor n'est pas méchant et s'enlève normalement il me semble

 
minipouss

j'ai pas dit que c'est un virus boot mais une supposition,parceque j'arrive pas à expliquer l'existance de virus apres le formatage de disque sauf si le logiciel windows xp est infecté mais c'est une version originale.

 
Il se propage comment ce backdoor deja
T as un firewall branché sur ta machine pour ne pas attraper de virus ?

tu n'as qu'une seule partition? Il te le trouve dans quel fichier le trojan?

j'avais pas de firwall avant, je viens de placer armor2net,
 
j'ai 3 partitions dont deux vierges
 
le backdoor a ete decouvert par kaspersky 5 personnel dans le fichier : cwindows/system32/rundll.exe

c'est clair que c'est pas un process normal sur un XP ça
 
peux-tu récupérer HijackThis (cherche sur Google) et scanner ton pc avec? ensuite tu fais "save log" et tu copies/colles le résultat ici. Pour voir ce qui se passe dans ton windows XP

 
pas de firewall, ne cherche pas plus loin la cause de ton infection

tiens, je connaissais pas : http://www.armor2net.com/ , il est comment?

Logfile of HijackThis v1.98.2
Scan saved at 15:43:36, on 27/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\WINDOWS\System32\winupdate.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\WINDOWS\System32\zukdbi.exe
C:\Program Files\BullsEye Network\bin\bargains.exe
C:\docume~1\propri~1\locals~1\temp\msbb.exe
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\Propriétaire\Application Data\crts.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Rar$EX00.328\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {33AC6D7A-E46A-23B6-D375-645578DB2812} - C:\WINDOWS\System32\kobcw.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Norton] D:\easyinstall 1\NorExec.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Local Service] rundll.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [blah service] winupdate.exe
O4 - HKLM\..\Run: [Msn Messengers] msnmsgr.exe
O4 - HKLM\..\Run: [System Security Updates] zukdbi.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [pcunxykqcnej] C:\WINDOWS\System32\twsujb.exe
O4 - HKLM\..\Run: [msbb] c:\docume~1\propri~1\locals~1\temp\msbb.exe
O4 - HKLM\..\Run: [yhoj] C:\WINDOWS\yhoj.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [Local Service] rundll.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [blah service] winupdate.exe
O4 - HKLM\..\RunServices: [Msn Messengers] msnmsgr.exe
O4 - HKLM\..\RunServices: [System Security Updates] zukdbi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Local Service] rundll.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Msn Messengers] msnmsgr.exe
O4 - HKCU\..\Run: [System Security Updates] zukdbi.exe
O4 - HKCU\..\Run: [Aaar] C:\Documents and Settings\Propriétaire\Application Data\crts.exe
O4 - HKCU\..\Run: [Ccp] C:\WINDOWS\System32\ltrhcfbh.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunServices: [Msn Messengers] msnmsgr.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.co [...] /lotto.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3203400953
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2 [...] bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
 

Bon on y va : (quand je précise un nom de prog c'est que le site http://www.sysinfo.org/startuplist.php me donne ça comme réponse
 
C:\WINDOWS\SOUNDMAN.EXE connais pas mais je pense que c'est bon si tu as un chipset son ac97 de realtek sur ta carte mère
 
C:\WINDOWS\System32\carpserv.exe ok si tu as un modem Zoltrix
 
C:\WINDOWS\System32\winupdate.exe pas cool
 
C:\WINDOWS\System32\msnmsgr.exe je sais pas car tu en as un autre qui se trouve dans program files, alors lequel est le bon je ne sais pas car je n'ai pas XP mais win2000. Mais un des deux est un virus
 
C:\WINDOWS\System32\zukdbi.exe ça c'est très très louche
 
C:\Program Files\BullsEyeNetwork\bin\bargains.exe semble être un spyware de pub http://www.safersite.com/PestInfo/B/BargainBuddy.asp
 
C:\docume~1\propri~1\locals~1\temp\msbb.exe pub aussi il me semble
 
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe mise à jour de msn? je sais pas
 
C:\Documents and Settings\Propriétaire\Application Data\crts.exe je connais pas mais toi tu dois savoir
 
C:\Program Files\MSN Messenger\MsnMsgr.Exe lequel est le bon msn messenger?
 
tout ce quisuit me semble bizare mais je suis pas sûr de moi pour certains c'est quoi le urlcatcher? tu connais ou pas?
 
O2 - BHO: (no name) - {33AC6D7A-E46A-23B6-D375-645578DB2812} - C:\WINDOWS\System32\kobcw.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
 
O4 - HKLM\..\Run: [Norton] D:\easyinstall 1\NorExec.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Local Service] rundll.exe
O4 - HKLM\..\Run: [Print Spooler] spools.exe
O4 - HKLM\..\Run: [blah service] winupdate.exe
O4 - HKLM\..\Run: [Msn Messengers] msnmsgr.exe
O4 - HKLM\..\Run: [System Security Updates] zukdbi.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [pcunxykqcnej] C:\WINDOWS\System32\twsujb.exe
O4 - HKLM\..\Run: [msbb] c:\docume~1\propri~1\locals~1\temp\msbb.exe
O4 - HKLM\..\Run: [yhoj] C:\WINDOWS\yhoj.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\RunServices: [Local Service] rundll.exe
O4 - HKLM\..\RunServices: [Print Spooler] spools.exe
O4 - HKLM\..\RunServices: [blah service] winupdate.exe
O4 - HKLM\..\RunServices: [Msn Messengers] msnmsgr.exe
O4 - HKLM\..\RunServices: [System Security Updates] zukdbi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Local Service] rundll.exe
O4 - HKCU\..\Run: [Print Spooler] spools.exe
O4 - HKCU\..\Run: [Msn Messengers] msnmsgr.exe
O4 - HKCU\..\Run: [System Security Updates] zukdbi.exe
O4 - HKCU\..\Run: [Aaar] C:\Documents and Settings\Propriétaire\Application Data\crts.exe
O4 - HKCU\..\Run: [Ccp] C:\WINDOWS\System32\ltrhcfbh.exe
O4 - HKCU\..\RunServices: [Msn Messengers] msnmsgr.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2 [...] bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
 
 
 
je ne peux pas croire que ce log vient d'une machine juste réinstallée vu le nombre de merdes qui s'y trouve, c'est énorme

ca fait " semaines que ca dure ce probleme
 
que ce que vous pensez de ce bazar

c'est monstrueux je trouve
 
toutes les merdes que tu as c'est pas mal Mais je vois pas comment un format peut laisser ça quand même, c'est impossible