PC Infécté par Backdoor.Cycbot.B [Résolu/Fermé]

Signaler
Messages postés
564
Date d'inscription
samedi 13 décembre 2008
Statut
Membre
Dernière intervention
12 mars 2011
-
 Ky -
Bonjour,
depuis quelques jours mon PC, est infecté par un virus Backoor.cycbot que Windows Defender me détecte à chaque démarrage, je fais supprimer mais rien ne se passe... Ca revient, j'ai déjà télécharger Malwarebit, fait des scans, il n'as rien trouvé, pareil pour Avira..., et Avast je vais voir ce que ça donne. J'ai aussi l'impression qu'il me bloque mes MAJ d'Antivirus. Ci quelqu'un aurait la patience de m'aider à désinfecter mon PC, j'en serait très reconnaissant merci d'avance.

20 réponses

Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Salut

--> Télécharge OTL.exe sur ton bureau.

--> Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

--> Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

--> Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

/md5start
winlogon.exe
wininit.exe
explorer.exe
/md5stop


--> Enfin, clique sur le bouton Analyse.

--> Une fois l'analyse terminée, deux fenêtres Bloc-notes vont s'ouvrir : OTL.txt et Extras.txt. Ils se trouvent au même endroit qu'OTL.

--> Héberge les rapports sur ci-joint puis poste les liens de ceux-ci

--> Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

++
2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60315 internautes nous ont dit merci ce mois-ci

Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
Malwarebyte la vire cette infection.
Peut-être que ton Malwarebyte n'est pas à jour....

C'est pour ça que j'ai demandé le rapport.


Faut désactiver le proxy avant de mettre à jour les antivirus car ça peux empécher la mise à jour :

* Sur Internet Explorer : Relancez Internet Explorer
* Cliquez sur le menu Outils puis Options Internet
* Allez dans l'onglet Connexions
* En bas cliquez sur Paramètres Réseaux
* Décochez en bas l'utilisation du proxy s'il est coché.


2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60315 internautes nous ont dit merci ce mois-ci

Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Ah mince j'avais pas vu que tu était passé avant :-) Je te laisse

A+
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
pas de soucis :)
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
ca va mieux non ?
Pour voir si t'as pas 50 barres d'outils etc..

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%Application Data*.
%ALLUSERSPROFILE%Application Data*.exe /s
%APPDATA%*.
%APPDATA%*.exe /s
%SYSTEMDRIVE%*.exe
%systemroot%*. /mp /s
%systemroot%system32*.dll /lockedfiles
%systemroot%Tasks*.job /lockedfiles
%systemroot%system32drivers*.sys /lockedfiles
%systemroot%System32config*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.




Remember when you were young, you shone like the sun.
Shine on you crazy diamond.
Now there's a look in your eyes, like black holes in the sky.
Shine on you crazy diamond.
2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60315 internautes nous ont dit merci ce mois-ci

Messages postés
7487
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2020
551
Salut Mak
RogueKiller prend en charge l'infection, mais j'ai pas pu tester (pas de dropper). La prochaine tu peux faire passer mon tool dessus avant MBAM?
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
Messages postés
7487
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2020
551
wéwéwéwéwéwéwéwé
:))
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
Salut,

Poste le rapport Malwarebyte.
Il est détecté dans quel fichier ton cycbot ?

Remember when you were young, you shone like the sun.
Shine on you crazy diamond.
Now there's a look in your eyes, like black holes in the sky.
Shine on you crazy diamond.
Messages postés
564
Date d'inscription
samedi 13 décembre 2008
Statut
Membre
Dernière intervention
12 mars 2011
166
Voilà le liens de OTL.Txt

http://www.cijoint.fr/cjlink.php?file=cj201012/cijsb7Hbef.txt

Et Extra.txt:

http://www.cijoint.fr/cjlink.php?file=cj201012/cijBvwUXWF.txt

Merci de m'avoir répondu aussi rapidemment ;)
Messages postés
564
Date d'inscription
samedi 13 décembre 2008
Statut
Membre
Dernière intervention
12 mars 2011
166
Je n'utilise que Firefox, et à chaque démmarage du Pc, je suis obliger de retirer le proxy depuis que je suis infecter, bon je vais aussi le faire pour IE.

Qu'il y'a t'il d'autre à faire après ? Je mais juste à Jour Malwarebyte et je refais un scan complet ?
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
Désactive le proxy sur Internet Explorer
Mets à jour Malwarebyte.
Fais un scan rapide.
Supprime tout ce qui est détecté.
Poste le rapport ici.
Messages postés
564
Date d'inscription
samedi 13 décembre 2008
Statut
Membre
Dernière intervention
12 mars 2011
166
Voilà le rapport Malwarebyte

http://www.cijoint.fr/cjlink.php?file=cj201012/cijmcwStkQ.txt
Messages postés
564
Date d'inscription
samedi 13 décembre 2008
Statut
Membre
Dernière intervention
12 mars 2011
166
Voilà le rapport, et encore merci de ton aide, et de prendre du temps bah pour m'aider ;)

http://www.cijoint.fr/cjlink.php?file=cj201012/cijvfxwzf2.txt

Et oui effectivement ça va mieux ^^
Messages postés
10484
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
18 septembre 2020
598
... et Extras.Txt.

?
Al.
Messages postés
564
Date d'inscription
samedi 13 décembre 2008
Statut
Membre
Dernière intervention
12 mars 2011
166
Je n'ai pas eu de rapport "extras.txt" je n'ai eu que l'OTL.txt, je viens de recommencer l'analyse et pareil.
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
T'as Antivir + Avast! et Avast! est pas à jour.
Un seul antivirus par PC, ca sert à rien d'en avoir 50.

Spybot est dépassé, désinstalle le.

Eventuellement, AC-Pro/ AutocompletePro à désinstaller, si tu l'utilises pas.
A voir si Google Toolbar est utilisé (ça bouffe des ressources).

t'as quand mm pas mal de progarmmes au démarrage...
du coup...

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 51,00% Memory free

1G de bouffé.

Sinon point de vue infection, ça doit aller.



Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :

https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14

https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9

Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :

https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen

https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
Messages postés
564
Date d'inscription
samedi 13 décembre 2008
Statut
Membre
Dernière intervention
12 mars 2011
166
Merci beaucoup à tous de m'avoir aider, oui je vais me pencher sur tes liens, ça pourras me faire que du bien si jamais j'ai un problème ;). Pour ce qui est des 2 antivirus, j'ai télécharger Antivir car on me l'as conseiller après mon infection, et je pense le garder et enlever Avast, je le trouve plus efficace. Je fais la mise à jour de mon PC systématiquement dès qu'il y en as une à faire.
Pour la MAJ de Avast, il me dit pourtant que tout est à jour bizzare.

En tout cas merci de votre aide, je vous en suis très reconnaissant.
Bonjour et merci d'avance pour votre aide, votre temps et votre patience.
Mon pc a été infecté par le même virus.
J'ai fait une analyse OTL et ça donne :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijUULbxr4.txt

et

http://www.cijoint.fr/cjlink.php?file=cj201101/cijCaIwKFr.txt

Merci
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
Salut !

Envoie C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe
sur http://upload.malekal.com


Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
PRC - [2011/01/29 13:44:37 | 004,644,352 | ---- | M] () -- C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe
PRC - [2011/01/29 13:44:37 | 004,644,352 | ---- | M] () -- C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe
PRC - [2011/01/29 13:44:37 | 004,644,352 | ---- | M] () -- C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe
O4 - HKCU..\Run: [conhost] C:\Users\vero\AppData\Roaming\Microsoft\conhost.exe ()
F3:[b]64bit:/b - HKCU WinNT: Load - (C:\Users\vero\AppData\Local\Temp\csrss.exe) - C:\Users\vero\AppData\Local\Temp\csrss.exe ()
F3 - HKCU WinNT: Load - (C:\Users\vero\AppData\Local\Temp\csrss.exe) - C:\Users\vero\AppData\Local\Temp\csrss.exe ()
O20 - HKCU Winlogon: Shell - (C:\Users\vero\AppData\Roaming\dwm.exe) - C:\Users\vero\AppData\Roaming\dwm.exe ()
[2011/01/29 23:25:36 | 000,184,320 | ---- | C] () -- C:\Users\vero\AppData\Roaming\dwm.exe
[2011/01/29 22:25:28 | 000,005,073 | ---- | C] () -- C:\Users\vero\AppData\Roaming\8CE8.130
:files
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\


* redemarre le pc sous windows et poste le rapport ici


~~


* Sur Internet Explorer : Relancez Internet Explorer
* Cliquez sur le menu Outils puis Options Internet
* Allez dans l'onglet Connexions
* En bas cliquez sur Paramètres Réseaux
* Décochez en bas l'utilisation du proxy s'il est coché.


~~


Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan, supprime tout et poste le rapport ici.


Refais un scan OTL et donne les rapports ;
Etape 1 c'est fait !
Etape 2 c'est fait sauf que j'ai malencontreusement fermé le rapport avant de pouvoir le transferer sur une clé
Etape 3 ok
Ma question est pour le 2eme scan OTL faut que je mette quelque chose dans le cadre personnalisation ?
Merci
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
heu les liens stp.
J'ai pas eu de rapport extras. txt sinon ça donne ça :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijZ7KEipV.txt

et pour malware :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5639

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30/01/2011 14:48:59
mbam-log-2011-01-30 (14-48-59).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 340112
Temps écoulé: 50 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
c:\Users\vero\AppData\Local\Temp\csrss.exe (Trojan.Downloader) -> 1912 -> Unloaded process successfully.
c:\Users\vero\AppData\Roaming\dwm.exe (Trojan.Downloader) -> 2704 -> Unloaded process successfully.
c:\Users\vero\AppData\Roaming\microsoft\conhost.exe (Trojan.Downloader) -> 3080 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Downloader) -> Bad: (C:\Users\vero\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\vero\AppData\Local\Temp\csrss.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\vero\AppData\Roaming\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\vero\AppData\Roaming\microsoft\conhost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Merci !
Là j'ai plus d'alertes liés à ce virus, mais bon je suis pas assez calée pour être sûre de m'en être débarassé !
Faut-il que je recoche l'utilisation du proxy ?
Merci !
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
Faut-il que je recoche l'utilisation du proxy ?

ben oui.

Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.


Merci pour tout tes renseignements, d'habitude je suis prudente mais là je faisais plusieurs trucs en même temps et je me suis faite avoir !!!

Mais apparement j'ai dû me planter quelque part parce que quand je recoche l'utilisation du proxy j'ai plus acces à rien.
Messages postés
180023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 septembre 2020
22 081
non j'avais pas lu ta question, j'avais lu décocher.
Faut pas le recocher pardon.
En tout cas, un très grand merci pour ton aide et pour ta rapidité.
Bonne soirée !