Backdoor:Win32/Cycbot.B sur un DD externe ? [Résolu/Fermé]

Signaler
-
Messages postés
179053
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
-
Bonjour,

Hier matin, j'ai découvert avec stupeur, comme visiblement beaucoup de personnes, que je me suis pris le trojan Backdoor:Win32/Cycbot.B ... Ni une ni deux, j'ai appliqué la méthode barbare : Le formatage.

Du coup, je n'ai plus rien sur mon PC, logique.

Cela dit, ayant au préalable (avant l'apparition du virus) stocké des fichiers et dossiers sur mon disque dur externe (C'est aussi pour cette raison que je n'ai pas hésité à reformater le PC), j'ai maintenant peur de le rebrancher de peur de retrouver des restes du virus sur le DDE.

N'ayant qu'un seul PC fonctionnel, je me demandais si le dit-virus pouvait effectivement se nicher sur le DDE et, si oui, comment le supprimer sans prendre le risque qu'il réapparaisse sur le PC (car j'ai lu tout et son contraire à ce sujet.. Certaines sources indiquent que le virus n'est pas activé tant que l'on ne double-clique pas sur l'icone du DDE, alors que d'autres affirment que le virus se repointera dès la connexion du DDE au PC, si virus il y a, bien évidemment...)

Merci pour votre aide.

Sowa

8 réponses

Messages postés
179053
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
Salut,

Je pense pas qu'il va sur les DDE :)

Pour le fonctionnement des infections amovibles : https://forum.malekal.com/viewtopic.php?t=5544&start=

Pour scanner ton disque, utilise USBFix : https://www.malekal.com/usbfix-supprimer-virus-usb/

Proverbe Chinois : "Si tu sais mettre un bonnet sur la tete, tu sais mettre une capote"
Hello,

Ce qui me gène dans ta réponse, c'est le "je ne pense pas" xD
Messages postés
179053
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
Cycbot, c'est ça : https://www.malekal.com/svchost-exe-shell-exe-dwm-exe-redirections-google-gomeo-etc/
(tu peux confirmer) et ça, c'est certains que ça va pas par disques amovibles.

Maintenant, c'est la détection de ton antivirus, y avait peut-être autre chose avec etc qui met ça et qui va par médias amovibles.
Si t'as utilisé ton disque dur externe, il peut-être infecté.

Pour être certains, faut utiliser USBFix.
D'accord, je vais utiliser USBFix...

Mais cela dit, tu n'as pas répondu à ma petite interrogation (ma faute, je ne l'ai pas posée explicitement sous forme de question ^^')...

Est ce vrai oui ou non que lorsque l'on branche un périphérique potentiellement infecté (dans mon cas, le DDE) sans double-cliquer dessus, l'infection peut déjà se propager ?
Sinon je confirme, c'est effectivement ce virus que j'ai eu sur le coin du nez
Messages postés
179053
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
Bha si j'ai répondu indirectement ;)
La réponse est dans le lien sur le fonctionnement des infections par disques amovibles.
(et en partie aussi sur le tuto USBFix).

La réponse est oui et non, tout dépend si l'autoplay est activé ou pas.
Par défaut, il est actif sur XP (sur Vista et Seven, ça ouvre une popup et tu choisis l'action, si tu fais ouvrir la clef USB oui ça lance le malware - ça change dans le panneau de conf ça).

Sachant sur XP, il y a un correctif qui le désactive, donc si XP est à jour, non.

Par contre dans tous les cas, si tu vas dans le poste de travail et que tu doubles clics (ou potentiellement en faisant aussi un clic droit / ouvrir), tu lances le malware.

Tout ceci est régit par la présence d'un autorun.inf (fichier caché) sur le disque.
Re


############################## | UsbFix 7.035 | [Recherche]

Utilisateur: Sowa (Administrateur) # SOWA-75CED593F1 [ ]
Mis à jour le 05/12/10 par El Desaparecido / C_XX
Lancé à 13:37:35 | 10/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.52 [Enabled | Updated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 293 Go (278 Go libre(s) - 95%) [] # NTFS
H:\ -> CD-ROM
I:\ -> Disque fixe # 1863 Go (1709 Go libre(s) - 92%) [Elements] # NTFS

################## | Éléments infectieux |


Présent! I:\autorun.inf

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

I:\Autorun.inf -> Dossier créé par Panda USB Vaccine

################## | E.O.F |
Up... Je flippe vraiment là =(
Messages postés
179053
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
bha c'est bon.

I:\Autorun.inf -> Dossier créé par Panda USB Vaccine
Je ne répare rien ?... Le problème est réglé, c'est sur ? ^^
Messages postés
179053
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
yep c'est bon.

et pour pas que tu te fasses réinfecter, qq conseils.

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
Avira me dit "Pour votre sécurité, l'accès au fichier "I:\autorun.inf" a été bloqué."

Que dois-je faire ? Le supprimer ?
Messages postés
179053
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
Avira c'est un bourrain, il détecte tous les autorun en néfaste.
Ton autorun a été créé par Panda "vaccination".

Soit tu le supprimes.
Soit tu le mets en exception.
Soit tu désactives les détections autorun d'Antivir : https://forum.malekal.com/viewtopic.php?t=29566&start=
Hé beh... Que de liens... Je ne vais plus m'en sortir si je dois lire tout ça.
Y a un truc que j'ai relevé parmi tout ça, tu dis que les antispywares ne servent à rien ? Ah bon ? Donc Adaware et Malwarebytes sont useless ?

Etant un noob avéré, de façon simplifiée... Que dois-je faire pour avoir une bonne protection fiable à l'avenir en termes de logiciels ?
Messages postés
179053
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
oui enfin les liens que t'as là, ça tourne tous autour de la même notion.
Les infections amovibles, une fois que t'as compris comment ça marche, c'est bon....

En plus j'ai répondu, t'as 3 solutions.

Pour le reste, les antispywares servent à rien, à part Malwarebyte (qui lui est un antimalware).
Au final, les AV font pas tout et y a d'autres "trucs" à faire pour sécuriser son PC (comme par exemple maintenir ses logiciels à jour).
Je pense que t'as dû le voir puisque t'as formaté pour cause d'infection!

Alors t'es peut-être un noob, mais si tu fais pas l'effort de te documenter un petit peu (j'imagine que t'as pas que ça à faire aussi), ben tu vas le rester et les infections tirent parti des méconnaisses et mauvais habitudes.
Ca risque de revenir tôt ou tard.