> Tous les forums > Forum Sécurité
 PC infecté virus "Backdoor:Win32/Cycbot.B."Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
alea_titi
  Posté le 01/01/2011 @ 03:06 
Aller en bas de la page 
Petite astucienne

Bonsoir,

Je suis apparement infectée par le virus Backdoor:Win32/Cycbot.B. détecté par AVG et Windows Defender... Evidemment impossible de le supprimer, de plus il neutralise mes antivirus et pare-feu et j'ai plein de dysfonctionnements de partout. Comment venir à bout de ce virus qui a l'air très mauvais?

Je vous remercie d'avance!!

Publicité
daniellapin
 Posté le 01/01/2011 à 07:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,et bonnes fêtes. (si on peut dire) voila la marche a suivre.

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

Cordialement

Anonyme
 Posté le 01/01/2011 à 08:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

tu commences mal la nouvelle annee

A propos de cette detection

le virus Backdoor:Win32/Cycbot.B. permet aux pirates de contrôler à distance ton ordinateur, de dérober des informations , de télécharger et d'exécuter des fichiers.

Si tu as un autre pc sain,je te conseille de débrancher cet ordinateur d'Internet immédiatement. Si tu as effectue des opérations financières ou toute autres informations sensibles, change tous les mots de passe et il serait sage de communiquer avec ces mêmes institutions financières afin de les informer de ta situation.

Bien que le cheval de Troie a été identifié et peut être tué, en raison de ses fonctionnalités de porte dérobée ton PC est très probablement compromis.

il faut donc l'intervention d'un membre du groupe Securite qui va t'assister pour une desinfection.

Si possible, telecharges les logiciels de recherche et desinfection a partir d'un pc sain et transfere les dit logiciels sur le pc corrompu via une cle usb dediee seulement a cette operation, c'est a dire qu'il faut qu'elle soit vide....il faudra faire attention a la reinsertion de cette cle usb sur le pc sain en l'analysant avec l'antivirus en place et se limiter a transferer les rapports des outils utilises.

daniellapin donne la procedure a effectue (si possible, car il se peux que le virus bloque les outils)

poste ensuite les rapports demandees a l'attention du Groupe Securite

bonne continuation



Modifié par Anonyme le 01/01/2011 08:22
alea_titi
 Posté le 01/01/2011 à 18:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci je vais essayer de faire tout ça... Un peu flippant quand même ce virus!{#}



Modifié par alea_titi le 01/01/2011 18:17
alea_titi
 Posté le 01/01/2011 à 23:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

C'est vraiment la pagaille totale, je peux plus accéder à Internet, je peux plus désactiver ma connexion, rien, donc je peux pas mettre à jour MBAM... Mais j'ai quand même réussi à faire un rapport avec ZHPDiag...

alea_titi
 Posté le 01/01/2011 à 23:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

alea_titi
 Posté le 01/01/2011 à 23:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport MBAM même si je n'ai pas pu le mettre à jour (j'ai pourtant essayé de le mettre à jour en l'installant sur la clé USB depuis un PC sain, j'espère d'ailleurs que celui-ci l'est encore): est-ce bien dans ce topic que je devais le poster? Sinon comment le poster à l'attention du groupe Sécurité?

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5363

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01/01/2011 23:47:06
mbam-log-2011-01-01 (23-46-41).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 140483
Temps écoulé: 8 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOCUME~1\Foliance\LOCALS~1\Temp\csrss.exe) Good: () -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Foliance\application data\dwm.exe (Trojan.FakeAV) -> No action taken.
c:\documents and settings\Foliance\local settings\Temp\csrss.exe (Trojan.Agent) -> No action taken.

Anonyme
 Posté le 02/01/2011 à 00:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir,

C'est vraiment la pagaille totale, je peux plus accéder à Internet, je peux plus désactiver ma connexion, rien, donc je peux pas mettre à jour MBAM

les bestioles te bloque la connexion avec un proxi malveillant, visible dans ton rapport ZHPDiag

dans l'urgence suit ce lien http://www.commentcamarche.net/faq/28268-desactiver-son-proxy pour desactiver manuellement le proxi pourri,

ensuite.....

-> No action taken.

  • relance Malwarebytes
  • va dans l'onglet "mise à jour", cliques sur le bouton "Recherche de mise à jour" si tu peux mettre a jour
  • si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte !
  • Dés que la mise à jour est terminée , rend-toi dans l'onglet "Recherche"
  • Sélectionne "Exécuter un examen complet" et clique sur "Rechercher"
  • Le scan démarre.
  • A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement.
  • Clique sur "Afficher les résultats" pour afficher tous les objets trouvés.
  • Clique sur "Ok" pour poursuivre.
  • Si des malwares ont été détectés, clique sur "Afficher les résultats"
  • Sélectionne tout (ou laisses cochés) et clique sur "Supprimer la sélection"
  • Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, accepte ce redémarrage
  • Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.(il se trouve aussi dans l'onglet rapport/log)
  • Poste ce rapport
  • Aide en image

.

Apres......

.

Désactiver TeaTimer de spybot qui peut faire échouer une désinfection !

  • Affiche d'abord le Mode Avancé dans Spybot
  • Options Avancées > menu Mode
  • Mode Avancé:
  • Une colonne de menus apparaît dans la partie gauche, clique sur Outils ensuite sur Resident
  • Dans Résident : décoche Résident "TeaTimer" pour le désactiver.
  • Aide en image (merci Morgane)

.

.

Télécharge AD-R (de C_XX) sur ton Bureau.

  • /!\ Déconnecte-toi et ferme toutes applications en cours /!\
  • Double-Clique sur l'icône AD-R.exe située sur ton Bureau (Windows Vista/7 fais un clic droit >Exécuter en tant qu'administrateur.)
  • Au menu principal....choisis l'option Scanner.
  • Poste le rapport qui apparaît à la fin de l'analyse.
    (Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)
  • Aide en image

.

je ne suis pas habilité a desinfecter, on va essayer de limiter la casse avant la venue du Groupe Securité

Mais "apparemment" et sauf erreur de ma part, le GS est deja au courant....frederi(c)x ????

http://www.infos-du-net.com/forum/296699-11-virus-comporte-bizarrement-aide-analyse-hijackthis

@+



Modifié par Anonyme le 02/01/2011 12:57
Anonyme
 Posté le 02/01/2011 à 00:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

re

tu as des infections specifiques aux craks et keyggen supprimes ceux que tu as s'il te plait

et desinstalle tes logiciels de P2P aussi, qui ont surement ete un autre vecteur d'infection

Merci



Modifié par Anonyme le 02/01/2011 00:15
Publicité
Fill
 Posté le 02/01/2011 à 15:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

  • Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-notes),
  • Sélectionne et copie les lignes demandées par la personne qui te prend en charge. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dufpy.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:49939
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1
F3 - REG:win.ini: load=C:\DOCUME~1\Foliance\LOCALS~1\Temp\csrss.exe
O51 - MPSK:{493cd639-8c11-11de-9736-00224389395d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\wdsync.exe (.not file.)
O51 - MPSK:{5fed8739-67f1-11de-96a3-002243d04a77}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\LaunchU3.exe (.not file.)
O51 - MPSK:{7fbc21b8-b46d-11df-8170-c58343acfd9b}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\AutoRun.exe (.not file.)
O51 - MPSK:{81c0da90-f576-11df-b114-00224389395d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\APPInst.exe (.not file.)
O51 - MPSK:{83ac2f36-6054-11de-968c-002243d04a77}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\wdsync.exe (.not file.)
O51 - MPSK:{8763a03e-6e45-11df-811b-c7bcdc37b51d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\AutoRun.exe (.not file.)
O51 - MPSK:{95a98403-f876-11de-8aeb-00224389395d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\WD SmartWare.exe (.not file.)
O51 - MPSK:{eaf8c2a0-b6a3-11df-9078-bb8b6ef1e9dd}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\AutoRun.exe (.not file.)

  • Enregistre le fichier dans le dossier C:\Program Files\ZHPDiag en choisisissant Fichiers>Enregistrer sous.... En nom de fichier, tu indiques ZHPDiag.txt. Une demande de confirmation est demandée car tu vas écraser l'ancien rapport. Tu acceptes.
  • Lance ZHPFix de Nicolas Coolman qui se trouve lui aussi dans le dossier ZHPDiag. Pour XP, double-clique sur ZHPFix ; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
  • Le logiciel s'ouvre. Il doit contenir dans la fenêtre de rapport uniquement les lignes que tu as sélectionnées au-dessus. Si ça ne correspond pas, tu interromps la procédure et tu me préviens.
  • Clique sur OK comme indiqué ci-dessous :

  • Les lignes du rapport apparaissent alors avec des cases à cocher.
  • Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Nettoyer" comme ceci :

  • Ceci va avoir pour effet de réaliser un correctif.
  • Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
  • Si un redémarrage est demandé, effectue-le.
  • Copie-colle le contenu du rapport situé dans le dossier ZHPDiag (ou sur le Bureau) et qui se nomme ZHPFixreport.txt

2/ Tu as uneconfiguration de connexion particulière ? C'est toi qui a réglé ceci ?

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6601829-1C44-48A0-97D2-A0B097DFF637}: DhcpDomain = Kos
O17 - HKLM\System\CS1\Services\Tcpip\..\{A6601829-1C44-48A0-97D2-A0B097DFF637}: DhcpDomain = Kos
O17 - HKLM\System\CS3\Services\Tcpip\..\{A6601829-1C44-48A0-97D2-A0B097DFF637}: DhcpDomain = Kos

3/

  • Peux-tu tester ceci : C:\WINDOWS\system32\srvany.exe
  • Clique sur ce lien.
  • Clique sur parcourir et indique le chemin du fichier que j’ai désigné.
  • Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.
  • Tu peux t'aider de ce tuto pour cela.
alea_titi
 Posté le 02/01/2011 à 17:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Fill et merci pour ta réponse. Il y a juste quelques trucs que je ne comprends pas, je suis un peu confuse:

- Quand tu dis "Sélectionne et copie les lignes demandées par la personne qui te prend en charge", s'agit-il des lignes que tu as collées juste en dessous?

- Deuxième chose, j'ai bien enregistré le fichier ZHPDiag.txt (avec les lignes que tu me donnes, car je suppose qu'il s'agit de celles-ci) dans Program Files/ZHPDiag mais quand j'ouvre ZHP Fix, il n'y a rien écrit dans le cadre blanc, et quand j'appuie sur le bouton "H" il ne se passe rien non plus. Par contre en faisant "Importer un rapport ZHPDiag" ça me colle tout de suite les lignes que j'ai enregistrées dans le fichier texte... Y a-t-il quelque chose que j'ai mal fait?

alea_titi
 Posté le 02/01/2011 à 17:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bon je pense que c'est OK pour l'étape ZHPFix, voici le rapport...

alea_titi
 Posté le 02/01/2011 à 17:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPFixReport.txt

alea_titi
 Posté le 02/01/2011 à 17:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici également le rapport de la procédure MBAM recommandée par Australien...

alea_titi
 Posté le 02/01/2011 à 17:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
alea_titi
 Posté le 02/01/2011 à 17:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci Fill pour ton aide, j'espère que je vais en venir à bout. Le problème c'est que je ne peux plus du tout me connecter à Internet depuis mon PC infecté, je travaille actuellement depuis un PC sain. Donc pour l'étape 3/ sur Virus Total c'est un peu problématique...

Concernant le point 2/

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6601829-1C44-48A0-97D2-A0B097DFF637}: DhcpDomain = Kos
O17 - HKLM\System\CS1\Services\Tcpip\..\{A6601829-1C44-48A0-97D2-A0B097DFF637}: DhcpDomain = Kos
O17 - HKLM\System\CS3\Services\Tcpip\..\{A6601829-1C44-48A0-97D2-A0B097DFF637}: DhcpDomain = Kos

J'ai une clé 3G Grecque que j'utilise là bas pour le boulot donc c'est normal, Kos c'est la ville d'où j'accède à Internet...

Comment faire pour me reconnecter à Internet?

Fill
 Posté le 02/01/2011 à 19:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Tu n'as toujours pas accès au net après passage de ZHPfix ?

Fill

Publicité
alea_titi
 Posté le 02/01/2011 à 20:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

En fait j'ai plein de dysfonctionnements depuis cette infection :

- je ne peux plus activer mon pare-feu windows

- je ne peux plus gérer ma connexion wifi et mon pc ne détecte plus aucun réseau sans-fil

-quand je vais dans "propriétés de connexion réseau sans fil"/Paramètres avancés, le message suivant s'affiche: "Windows ne peut pas afficher les propriétés de cette connexion. Les informations de l'infrastructure de gestion Windows (WMI) pourraient être endommagées. Pour corriger ce problème, utilisez la restauration système," blablabla...

- windows affiche sans arrêt un alerte comme quoi je n'ai plus d'antivirus alors que AVG est toujours en état de fonctionnement

- Je ne peux plus faire de restauration système et tous les points de restauration antérieurs au 24 décembre ont disparu.

Est-ce que je vais être obligée de formater mon PC (c'est un Asus je peux le faire facilement avec la touche F9)? Si oui, est-ce que ce n'est pas risqué de tout sauver sur un DD externe qui risque de se faire infecter?

Comment être sûre que le virus a disparu?

Fill
 Posté le 02/01/2011 à 20:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Formatter ? Il est quand même rarement nécessaire d'en arriver là, heureusement.

  • Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici).
  • Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
  • Clique sur l'onglet "rootkit", puis vérifie que toutes les cases sont bien cochées,
  • Clique sur scan.
  • A la fin du scan, clique sur le bouton copy.
  • Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
  • Edite ce rapport dans ta prochaine réponse.

Fill

alea_titi
 Posté le 02/01/2011 à 22:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ah ben du coup j'ai un autre problème: quand je fais le scan rootkit avec gmer le PC reboote en affichant brièvement un écran bleu où il est écrit un truc qui commence par "Windows a détecté un problème...". Quand le PC a redémarré j'ai un message comme quoi le système a récupéré d'une erreur sérieuse...

Dois-je essayer d'utiliser gmer en mode sans échec?

Fill
 Posté le 02/01/2011 à 22:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

alea_titi a écrit :

Ah ben du coup j'ai un autre problème: quand je fais le scan rootkit avec gmer le PC reboote en affichant brièvement un écran bleu où il est écrit un truc qui commence par "Windows a détecté un problème...". Quand le PC a redémarré j'ai un message comme quoi le système a récupéré d'une erreur sérieuse...

Dois-je essayer d'utiliser gmer en mode sans échec?

Re,

Non, c'est inutile.

Peux-tu suivre la procédure indiquée ici ?

Fill

alea_titi
 Posté le 03/01/2011 à 00:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
Fill
 Posté le 03/01/2011 à 14:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Les crashes ont été provoqués par un driver de Dr Web et par une intraction entre gmer et Comodo.

1/

  • Télécharge UsbFix de Chiquitine29 sur ton Bureau,
  • L'outil peut faire réagir l'antivirus. Dans ce cas, tu ignores les alertes ou tu désactives temporairement ton antivirus.
  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  • Double-clique sur UsbFix sur ton Bureau (Pour Vista, le programme doit être lancé via un clic droit, et il faut choisir d'exécuter en tant qu'administrateur). Choisis la langue (Français) puis l'option Recherche.
  • Poste le rapport UsbFix.txt
  • Tu as un tuto ici.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

2/ Peux-tu suivre ce tuto et joindre le lien du rapport ?

Fill

alea_titi
 Posté le 03/01/2011 à 15:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Fill, voici les rapports demandés... Par contre, impossible de démarrer USBFix sur mon PC infecté, j'ai du faire la recherche sur mon PC sain avec la clé USB branchée dessus... Je sais pas si ça sera trop utile du coup...

alea_titi
 Posté le 03/01/2011 à 15:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : UsbFix.txt

alea_titi
 Posté le 03/01/2011 à 15:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : SysProtLog.txt

Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Ami infecté par virus police....
Infecté de la tête au pied ... Virus/spyware/RAT
Virus toolbar pc infecté
PC infecté par le virus Win32/Small.CA
pc infecté par virus office central de lutte
PC infecté par virus police gendarmerie
Pc infecté par virus gendarmerie
PC infecté par virus Gendarmerie Nationale V2
Pc bloque, infecte avec le virus do logo Suisa
PC infecté, virus....
Plus de sujets relatifs à PC infecté virus "Backdoor:Win32/Cycbot.B."
 > Tous les forums > Forum Sécurité