PC Infécté par Backdoor.Cycbot.B

Résolu
Arthman78 Messages postés 749 Statut Membre -  
 Ky -
Bonjour,
depuis quelques jours mon PC, est infecté par un virus Backoor.cycbot que Windows Defender me détecte à chaque démarrage, je fais supprimer mais rien ne se passe... Ca revient, j'ai déjà télécharger Malwarebit, fait des scans, il n'as rien trouvé, pareil pour Avira..., et Avast je vais voir ce que ça donne. J'ai aussi l'impression qu'il me bloque mes MAJ d'Antivirus. Ci quelqu'un aurait la patience de m'aider à désinfecter mon PC, j'en serait très reconnaissant merci d'avance.

20 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ca va mieux non ?
    Pour voir si t'as pas 50 barres d'outils etc..

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.exe /s
    %SYSTEMDRIVE%*.exe
    %systemroot%*. /mp /s
    %systemroot%system32*.dll /lockedfiles
    %systemroot%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%System32config*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

    Remember when you were young, you shone like the sun.
    Shine on you crazy diamond.
    Now there's a look in your eyes, like black holes in the sky.
    Shine on you crazy diamond.
    2
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut Mak
      RogueKiller prend en charge l'infection, mais j'ai pas pu tester (pas de dropper). La prochaine tu peux faire passer mon tool dessus avant MBAM?
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      wéwéwéwéwéwéwéwé
      :))
      0
  2. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    --> Télécharge OTL.exe sur ton bureau.

    --> Fait un double-clic sur l'icône d'OTL pour le lancer
    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    --> Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

    --> Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

    /md5start
    winlogon.exe
    wininit.exe
    explorer.exe
    /md5stop


    --> Enfin, clique sur le bouton Analyse.

    --> Une fois l'analyse terminée, deux fenêtres Bloc-notes vont s'ouvrir : OTL.txt et Extras.txt. Ils se trouvent au même endroit qu'OTL.

    --> Héberge les rapports sur ci-joint puis poste les liens de ceux-ci

    --> Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

    ++
    2
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Malwarebyte la vire cette infection.
    Peut-être que ton Malwarebyte n'est pas à jour....

    C'est pour ça que j'ai demandé le rapport.

    Faut désactiver le proxy avant de mettre à jour les antivirus car ça peux empécher la mise à jour :

    * Sur Internet Explorer : Relancez Internet Explorer
    * Cliquez sur le menu Outils puis Options Internet
    * Allez dans l'onglet Connexions
    * En bas cliquez sur Paramètres Réseaux
    * Décochez en bas l'utilisation du proxy s'il est coché.

    2
    1. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Ah mince j'avais pas vu que tu était passé avant :-) Je te laisse

      A+
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      pas de soucis :)
      0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Poste le rapport Malwarebyte.
    Il est détecté dans quel fichier ton cycbot ?

    Remember when you were young, you shone like the sun.
    Shine on you crazy diamond.
    Now there's a look in your eyes, like black holes in the sky.
    Shine on you crazy diamond.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Arthman78 Messages postés 749 Statut Membre 172
     
    Voilà le liens de OTL.Txt

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijsb7Hbef.txt

    Et Extra.txt:

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijBvwUXWF.txt

    Merci de m'avoir répondu aussi rapidemment ;)
    0
  7. Arthman78 Messages postés 749 Statut Membre 172
     
    Je n'utilise que Firefox, et à chaque démmarage du Pc, je suis obliger de retirer le proxy depuis que je suis infecter, bon je vais aussi le faire pour IE.

    Qu'il y'a t'il d'autre à faire après ? Je mais juste à Jour Malwarebyte et je refais un scan complet ?
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Désactive le proxy sur Internet Explorer
    Mets à jour Malwarebyte.
    Fais un scan rapide.
    Supprime tout ce qui est détecté.
    Poste le rapport ici.
    0
  9. Arthman78 Messages postés 749 Statut Membre 172
     
    Voilà le rapport Malwarebyte

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijmcwStkQ.txt
    0
  10. Arthman78 Messages postés 749 Statut Membre 172
     
    Voilà le rapport, et encore merci de ton aide, et de prendre du temps bah pour m'aider ;)

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijvfxwzf2.txt

    Et oui effectivement ça va mieux ^^
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      ... et Extras.Txt.

      ?
      Al.
      0
  11. Arthman78 Messages postés 749 Statut Membre 172
     
    Je n'ai pas eu de rapport "extras.txt" je n'ai eu que l'OTL.txt, je viens de recommencer l'analyse et pareil.
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    T'as Antivir + Avast! et Avast! est pas à jour.
    Un seul antivirus par PC, ca sert à rien d'en avoir 50.

    Spybot est dépassé, désinstalle le.

    Eventuellement, AC-Pro/ AutocompletePro à désinstaller, si tu l'utilises pas.
    A voir si Google Toolbar est utilisé (ça bouffe des ressources).

    t'as quand mm pas mal de progarmmes au démarrage...
    du coup...

    3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 51,00% Memory free

    1G de bouffé.

    Sinon point de vue infection, ça doit aller.

    Fais plus attention à l'avenir....

    Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte :

    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14

    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9

    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :

    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen

    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.
    0
  13. Arthman78 Messages postés 749 Statut Membre 172
     
    Merci beaucoup à tous de m'avoir aider, oui je vais me pencher sur tes liens, ça pourras me faire que du bien si jamais j'ai un problème ;). Pour ce qui est des 2 antivirus, j'ai télécharger Antivir car on me l'as conseiller après mon infection, et je pense le garder et enlever Avast, je le trouve plus efficace. Je fais la mise à jour de mon PC systématiquement dès qu'il y en as une à faire.
    Pour la MAJ de Avast, il me dit pourtant que tout est à jour bizzare.

    En tout cas merci de votre aide, je vous en suis très reconnaissant.
    0
  14. Ky
     
    Bonjour et merci d'avance pour votre aide, votre temps et votre patience.
    Mon pc a été infecté par le même virus.
    J'ai fait une analyse OTL et ça donne :

    http://www.cijoint.fr/cjlink.php?file=cj201101/cijUULbxr4.txt

    et

    http://www.cijoint.fr/cjlink.php?file=cj201101/cijCaIwKFr.txt

    Merci
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut !

    Envoie C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe
    sur http://upload.malekal.com

    Relance OTL.
    o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

    :OTL
    PRC - [2011/01/29 13:44:37 | 004,644,352 | ---- | M] () -- C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe
    PRC - [2011/01/29 13:44:37 | 004,644,352 | ---- | M] () -- C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe
    PRC - [2011/01/29 13:44:37 | 004,644,352 | ---- | M] () -- C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe
    O4 - HKCU..\Run: [conhost] C:\Users\vero\AppData\Roaming\Microsoft\conhost.exe ()
    F3:[b]64bit:/b - HKCU WinNT: Load - (C:\Users\vero\AppData\Local\Temp\csrss.exe) - C:\Users\vero\AppData\Local\Temp\csrss.exe ()
    F3 - HKCU WinNT: Load - (C:\Users\vero\AppData\Local\Temp\csrss.exe) - C:\Users\vero\AppData\Local\Temp\csrss.exe ()
    O20 - HKCU Winlogon: Shell - (C:\Users\vero\AppData\Roaming\dwm.exe) - C:\Users\vero\AppData\Roaming\dwm.exe ()
    [2011/01/29 23:25:36 | 000,184,320 | ---- | C] () -- C:\Users\vero\AppData\Roaming\dwm.exe
    [2011/01/29 22:25:28 | 000,005,073 | ---- | C] () -- C:\Users\vero\AppData\Roaming\8CE8.130
    :files
    C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Application Policy Service\


    * redemarre le pc sous windows et poste le rapport ici

    ~~

    * Sur Internet Explorer : Relancez Internet Explorer
    * Cliquez sur le menu Outils puis Options Internet
    * Allez dans l'onglet Connexions
    * En bas cliquez sur Paramètres Réseaux
    * Décochez en bas l'utilisation du proxy s'il est coché.

    ~~

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan, supprime tout et poste le rapport ici.

    Refais un scan OTL et donne les rapports ;
    0
  16. Ky
     
    Etape 1 c'est fait !
    Etape 2 c'est fait sauf que j'ai malencontreusement fermé le rapport avant de pouvoir le transferer sur une clé
    Etape 3 ok
    Ma question est pour le 2eme scan OTL faut que je mette quelque chose dans le cadre personnalisation ?
    Merci
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      heu les liens stp.
      0
    2. Ky
       
      J'ai pas eu de rapport extras. txt sinon ça donne ça :
      http://www.cijoint.fr/cjlink.php?file=cj201101/cijZ7KEipV.txt

      et pour malware :

      Malwarebytes' Anti-Malware 1.50.1.1100
      www.malwarebytes.org

      Version de la base de données: 5639

      Windows 6.1.7600
      Internet Explorer 8.0.7600.16385

      30/01/2011 14:48:59
      mbam-log-2011-01-30 (14-48-59).txt

      Type d'examen: Examen complet (C:\|)
      Elément(s) analysé(s): 340112
      Temps écoulé: 50 minute(s), 36 seconde(s)

      Processus mémoire infecté(s): 3
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 3
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 3

      Processus mémoire infecté(s):
      c:\Users\vero\AppData\Local\Temp\csrss.exe (Trojan.Downloader) -> 1912 -> Unloaded process successfully.
      c:\Users\vero\AppData\Roaming\dwm.exe (Trojan.Downloader) -> 2704 -> Unloaded process successfully.
      c:\Users\vero\AppData\Roaming\microsoft\conhost.exe (Trojan.Downloader) -> 3080 -> Unloaded process successfully.

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Downloader) -> Bad: (C:\Users\vero\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      c:\Users\vero\AppData\Local\Temp\csrss.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      c:\Users\vero\AppData\Roaming\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      c:\Users\vero\AppData\Roaming\microsoft\conhost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

      Merci !
      0
  17. Ky
     
    Là j'ai plus d'alertes liés à ce virus, mais bon je suis pas assez calée pour être sûre de m'en être débarassé !
    Faut-il que je recoche l'utilisation du proxy ?
    Merci !
    0
  18. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faut-il que je recoche l'utilisation du proxy ?

    ben oui.

    Fais plus attention à l'avenir....

    Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.

    0
  19. Ky
     
    Merci pour tout tes renseignements, d'habitude je suis prudente mais là je faisais plusieurs trucs en même temps et je me suis faite avoir !!!

    Mais apparement j'ai dû me planter quelque part parce que quand je recoche l'utilisation du proxy j'ai plus acces à rien.
    0
  20. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    non j'avais pas lu ta question, j'avais lu décocher.
    Faut pas le recocher pardon.
    0
  21. Ky
     
    En tout cas, un très grand merci pour ton aide et pour ta rapidité.
    Bonne soirée !
    0