W32/Sdbot.worm.gen.j variant de W32/S
lonte
Messages postés
40
Statut
Membre
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour,
Ce matin mcafee viruscan m'a détecté: [b]W32/Sdbot.worm.gen.j variant de W32/Sdbot.worm[/b]
J'ai donc fait supprimer le fichier et çà l'a supprimé. Slmt,1 nvelle fenêtre est apparue avec le même virus, ms là impossible de le nettoyer, supprimer ou mettre en quarantaine(çà me fait svt çà d'ailleurs).
Le problème est que lorsque je vais sur un site où les champs pseudo+mots de passe sont remplis automatiquement, les données ont disparues, quel que soit le site(et y'en a un paquet !).Je suppose qu'elles étaient stockées ds des cookies qui ont été effacés, ms pourquoi ?
Je ne comprends rien à la page d'info sur mcafee qui est en anglais. J'ai dc tapé le nom du virus sur google et la seule entrée trouvée est chez Sophos, qui le reconnaît comme alias pour je ne sais combien de virus :W32/Rbot-BR ; W32/Rbot-IE ; W32/Sdbot-Jt; etc.
Je ne m'en sors pas. D'autant plus que qd je regarde les clés de registre censées être modifiées, une fois c'est RAS, l'autre çà correspond apparemment au virus spécifié; par exemple:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
Je n'ose plus aller sur les sites où la connexion est automatique, le fait que les données aient été effacées= risque de récupération par un tiers ? Y'a-t-il un lien avec le virus ?
Comment être sûr d'être désinfecté correctement ?
Merci de vos réponses.
Ce matin mcafee viruscan m'a détecté: [b]W32/Sdbot.worm.gen.j variant de W32/Sdbot.worm[/b]
J'ai donc fait supprimer le fichier et çà l'a supprimé. Slmt,1 nvelle fenêtre est apparue avec le même virus, ms là impossible de le nettoyer, supprimer ou mettre en quarantaine(çà me fait svt çà d'ailleurs).
Le problème est que lorsque je vais sur un site où les champs pseudo+mots de passe sont remplis automatiquement, les données ont disparues, quel que soit le site(et y'en a un paquet !).Je suppose qu'elles étaient stockées ds des cookies qui ont été effacés, ms pourquoi ?
Je ne comprends rien à la page d'info sur mcafee qui est en anglais. J'ai dc tapé le nom du virus sur google et la seule entrée trouvée est chez Sophos, qui le reconnaît comme alias pour je ne sais combien de virus :W32/Rbot-BR ; W32/Rbot-IE ; W32/Sdbot-Jt; etc.
Je ne m'en sors pas. D'autant plus que qd je regarde les clés de registre censées être modifiées, une fois c'est RAS, l'autre çà correspond apparemment au virus spécifié; par exemple:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
Je n'ose plus aller sur les sites où la connexion est automatique, le fait que les données aient été effacées= risque de récupération par un tiers ? Y'a-t-il un lien avec le virus ?
Comment être sûr d'être désinfecté correctement ?
Merci de vos réponses.
A voir également:
- W32/Sdbot.worm.gen.j variant de W32/S
- W32.malware.gen ✓ - Forum Virus
- Alerte Win32:MalwareX-gen [Trj] à chaque démarrage de l'ordinateur - Forum Virus
- Win32 malware-gen ✓ - Forum Virus
- Win32:malware-gen > pire que la superglu! - Forum Virus
- W32.trojan.gen - Forum Virus
11 réponses
Bonsoir
Fait un scan en ligne
http://www.ravantivirus.com/scan/
Pour utiliser RAV:
Clique sur To continue without..... here attendre quelques minutes lorsque ready est affiché,dans status coches autoclean puis sur scan my PC
A la fin soit tu relèves la ou les lignes où se trouve ton trojan
soit tu colles le rapport sur le post
Bonne soirée
Fait un scan en ligne
http://www.ravantivirus.com/scan/
Pour utiliser RAV:
Clique sur To continue without..... here attendre quelques minutes lorsque ready est affiché,dans status coches autoclean puis sur scan my PC
A la fin soit tu relèves la ou les lignes où se trouve ton trojan
soit tu colles le rapport sur le post
Bonne soirée
bon, j'ai fait comme tu m'as dit, apparemment il a repéré un fichier infecté en secteur boot + ds des mails, je me suis absenté et qd je suis revenu l'ordinateur avait redémarré tt seul > panneau de choix de session, donc ttes les données st perdues et il faut que je recommence le scan !!!
Voici les résultats du scan RAV :
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\gpb2.exe - TrojanProxy:Win32/Ranky.BF -> Infected
C:\Documents and Settings\laurent.LAURENT-Z5SPXWV\Local Settings\Application Data\Identities\{0BEC439D-BED6-40DC-A382-95DD2D883B97}\Microsoft\Outlook Express\SPAM.dbx->Message.6: (rickysorus-1100703260@videotron.ca [Mail Delivery (failure eltece@free.fr)])... - HTML/IFrame_Exploit* -> Infected
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[1].cab->istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[2].cab->istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
C:\WINDOWS\system32\TFTP5028 -Backdoor:Win32/Rbot.dam#2 -> Infected
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CTIVW52J\0006_regular[1].cab->istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
C:\WINDOWS\Temp\ICD1.tmp\istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
Scanned
============================
Objects: 99635
Directories: 6575
Archives: 2783
Size(Kb): -1076353
Infected files: 246
Found
============================
Viruses found: 16
Suspicious files: 0
Disinfected files: 0
Mail files: 6277
La 2e fichier infecté correspond à un mail (y'en a plein d'autres mais je n'en ai mis qu'un sinon le post serait trop long!)J'en reçois des paquets comme çà par jour et il n'ont jms été détectés (spybot/ad-aware/mcafee viruscan 7).
Voilà, sinon, j'avais coché la case "autoclean", ms apparemment, çà n'a pas nettoyé.
Que dois-je faire maintenant ?
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\gpb2.exe - TrojanProxy:Win32/Ranky.BF -> Infected
C:\Documents and Settings\laurent.LAURENT-Z5SPXWV\Local Settings\Application Data\Identities\{0BEC439D-BED6-40DC-A382-95DD2D883B97}\Microsoft\Outlook Express\SPAM.dbx->Message.6: (rickysorus-1100703260@videotron.ca [Mail Delivery (failure eltece@free.fr)])... - HTML/IFrame_Exploit* -> Infected
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[1].cab->istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[2].cab->istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
C:\WINDOWS\system32\TFTP5028 -Backdoor:Win32/Rbot.dam#2 -> Infected
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CTIVW52J\0006_regular[1].cab->istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
C:\WINDOWS\Temp\ICD1.tmp\istactivex.dll - TrojanDownloader:Win32/Istbar.GH.dll -> Infected
Scanned
============================
Objects: 99635
Directories: 6575
Archives: 2783
Size(Kb): -1076353
Infected files: 246
Found
============================
Viruses found: 16
Suspicious files: 0
Disinfected files: 0
Mail files: 6277
La 2e fichier infecté correspond à un mail (y'en a plein d'autres mais je n'en ai mis qu'un sinon le post serait trop long!)J'en reçois des paquets comme çà par jour et il n'ont jms été détectés (spybot/ad-aware/mcafee viruscan 7).
Voilà, sinon, j'avais coché la case "autoclean", ms apparemment, çà n'a pas nettoyé.
Que dois-je faire maintenant ?
Bonjour
1) Commence par supprimer tes mail (Tous)
2)Avec l'explorateur tu vas dans windowstu recherches le fichier temp et tu vires tout ce qu'il y a dedans
3)Panneau de config-> Proriétés Internet
-Supprimer les fichiers->OK
-Dans la petie fenetre coches supprimer le contenu hors connexion->OK
-Profites aussi pour supprimer les cookies
4) Pour le premier à l'aide de ctrl alt suppr -> onglet processus recherche gpb2.exe clic dessus et terminer process
-Ensuite panneau de config-> Option des dossiers ->Affichage
-Cocher les fichiers cachés
-Décocher la case masquer les protégés du système d'exploitation( Recommandé)
Puis tu faits OKpour valider les changements
-Décoche masquer les extensios dont le type est connu
RechercheC\Windows\gpb2.exe supprime uniquement gpb2.exe
Recherche dans C:\windows \ systeme32\le ficherTFTP5028 et supprime le
Refait un scan antivirus
Bonne journée @+
1) Commence par supprimer tes mail (Tous)
2)Avec l'explorateur tu vas dans windowstu recherches le fichier temp et tu vires tout ce qu'il y a dedans
3)Panneau de config-> Proriétés Internet
-Supprimer les fichiers->OK
-Dans la petie fenetre coches supprimer le contenu hors connexion->OK
-Profites aussi pour supprimer les cookies
4) Pour le premier à l'aide de ctrl alt suppr -> onglet processus recherche gpb2.exe clic dessus et terminer process
-Ensuite panneau de config-> Option des dossiers ->Affichage
-Cocher les fichiers cachés
-Décocher la case masquer les protégés du système d'exploitation( Recommandé)
Puis tu faits OKpour valider les changements
-Décoche masquer les extensios dont le type est connu
RechercheC\Windows\gpb2.exe supprime uniquement gpb2.exe
Recherche dans C:\windows \ systeme32\le ficherTFTP5028 et supprime le
Refait un scan antivirus
Bonne journée @+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Pour le dossier Temp de windows, y a plein de ss dossiers, je les vire aussi ? Quelles st les csqces ? Est-ce qu'il y a des données "utiles" qui pourraient être supprimées ?
Pour les propriétés internet, tu veux dire options internet/ fichiers internet temporaires ?
Pour "gpb2.exe" (et le ficherTFTP5028) je l'ai supprimé et apparemment, il n'apparaît pas (ou plus) ds les processus > OK
Pour le dossier Temp de windows, y a plein de ss dossiers, je les vire aussi ? Quelles st les csqces ? Est-ce qu'il y a des données "utiles" qui pourraient être supprimées ?
Pour les propriétés internet, tu veux dire options internet/ fichiers internet temporaires ?
Pour "gpb2.exe" (et le ficherTFTP5028) je l'ai supprimé et apparemment, il n'apparaît pas (ou plus) ds les processus > OK
Re
tout ce qui est dans le dossier temp tu vires il n'ya pas de données utiles là dedans
Pour internet supprimer les fichiers puis OK dans le panneau supprimer les fichiers
apres tu coche la case supprimer le contenu hors connexion
Refait un scan en ligne pour voir s'il y a quelques choses
Si tu ne veut pas voir ta boite mail infester de pub vas sur télécharger .com et charge un antispam gratuit
@+
tout ce qui est dans le dossier temp tu vires il n'ya pas de données utiles là dedans
Pour internet supprimer les fichiers puis OK dans le panneau supprimer les fichiers
apres tu coche la case supprimer le contenu hors connexion
Refait un scan en ligne pour voir s'il y a quelques choses
Si tu ne veut pas voir ta boite mail infester de pub vas sur télécharger .com et charge un antispam gratuit
@+
J'ai réussi à vider :
C:\Documents and Settings\laurent\Local Settings\Temp
C:\Documents and Settings\ghislaine\Local Settings\Temp
C:\temp
Par contre, ds C:\Documents and Settings\laurent.LAURENT-Z5WVDZV\Local Settings\Temp , il reste plusieurs fichiers "insupprimables":
>Perflib_Perfdata_f60.dat: cette ressource est utilisée par une autre personne ou un autre programme" > pourtant, je n'ai qu'une session d'ouverte (administrateur) et aucun programme d'ouvert
> ds C:\Documents and Settings\laurent.LAURENT-Z5SPXWV\Local Settings\Temp\Temporary Internet Files\Content.IE5 , j'ai 2 dossiers qui contiennent chacun un fichier ".css" : clic droit dessus=pas poss de choix suppression; si j'essaie de supprimer le dossier parent, il m'est dit que le fichier "X.css" est introuvable"
De même pour: C:\WINDOWS\Temp
- fichier qui utilisent une ressource ouverte
- fichiers systèmes
- programmes
C:\Documents and Settings\laurent\Local Settings\Temp
C:\Documents and Settings\ghislaine\Local Settings\Temp
C:\temp
Par contre, ds C:\Documents and Settings\laurent.LAURENT-Z5WVDZV\Local Settings\Temp , il reste plusieurs fichiers "insupprimables":
>Perflib_Perfdata_f60.dat: cette ressource est utilisée par une autre personne ou un autre programme" > pourtant, je n'ai qu'une session d'ouverte (administrateur) et aucun programme d'ouvert
> ds C:\Documents and Settings\laurent.LAURENT-Z5SPXWV\Local Settings\Temp\Temporary Internet Files\Content.IE5 , j'ai 2 dossiers qui contiennent chacun un fichier ".css" : clic droit dessus=pas poss de choix suppression; si j'essaie de supprimer le dossier parent, il m'est dit que le fichier "X.css" est introuvable"
De même pour: C:\WINDOWS\Temp
- fichier qui utilisent une ressource ouverte
- fichiers systèmes
- programmes
Démarre en mode sans échec tu eteinds puis tu rallume le PC pendant le chargement tu tapotes la touche F8 tu arrives sur un ecran noir a l aide des flèches tu choisis démarrage sans échec puis entrée tu vas te retrouver sur un ecran ou tu n'as pas toutes les couleurs recommence la suppression
Quand tu auras fini fait ceci
Démarrer -> tous les programmes -> accessoires -> outils systeme -> nettoyage de disque OK coches toutes les cases puis OK fait un scan en ligne et colle le rapport sur le post
Démarrer -> tous les programmes -> accessoires -> outils systeme -> nettoyage de disque OK coches toutes les cases puis OK fait un scan en ligne et colle le rapport sur le post
Bonjour,
J'ai vidé ts les fichiers temp sf 2 ".CSS" dt je parle + haut (impossible à supprimer), vidé corbeille, désactivé restauration système, démarré en mode ss échec : de là, scan mcafee, spybot, ad-aware > aucun fichier suspicieux détecté. Ok, je redémarre et lance nettoyage de disque, le pbe est que çà bloque au début défragmentation (çà ne progresse pas). J'ai donc abandonné.
J'ai refait un scan RAV, et surprise, il me reste des m... !?
Found viruses
File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[1].cab->istactivex.dll
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected
File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[2].cab->istactivex.dll
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected
File: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CTIVW52J\0006_regular[1].cab->istactivex.dll
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected
J'ai vidé ts les fichiers temp sf 2 ".CSS" dt je parle + haut (impossible à supprimer), vidé corbeille, désactivé restauration système, démarré en mode ss échec : de là, scan mcafee, spybot, ad-aware > aucun fichier suspicieux détecté. Ok, je redémarre et lance nettoyage de disque, le pbe est que çà bloque au début défragmentation (çà ne progresse pas). J'ai donc abandonné.
J'ai refait un scan RAV, et surprise, il me reste des m... !?
Found viruses
File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[1].cab->istactivex.dll
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected
File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I1234N67\0006_regular[2].cab->istactivex.dll
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected
File: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CTIVW52J\0006_regular[1].cab->istactivex.dll
Virus: TrojanDownloader:Win32/Istbar.GH.dll Status: Infected
salut
assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer
-------
ensuite suit se chemin en passent par l explorateur et suppr tous se qu il y a dedans cela peut etre un peut long
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5
assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer
-------
ensuite suit se chemin en passent par l explorateur et suppr tous se qu il y a dedans cela peut etre un peut long
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5
