Virus Backdoor: Win32/Cycbot.B [Résolu/Fermé]

Signaler
-
 Optimiste -
Bonjour,
Windows defender détecte en permanence ce virus ainsi qu'Avira !!
Je n'y comprends pas grand chose (désolée) et je ne sais pas comment m'en débarrasser..
Est ce que quelqu'un pourrait m'aider ?
Merci beaucoup

10 réponses


bonsoir,
* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou
https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
http://www.cijoint.fr/cjlink.php?file=cj201104/cijXzopOAi.txt
voici mon rapport que doisje faire
Bonjour, j'ai aussi un virus cycbot accroché à une application dwm.exe que je n'arrive pas à éliminer. J'ai suivi vos premiers conseils. Voici le lien vers le fichier ZHp créé.: http://www.cijoint.fr/cjlink.php?file=cj201105/cij8WkVN9Y.txt
Merci de m'aider!
Bonjour
J'ai bien essayé de télécharger mais une fois terminé j'ai un message d'erreur indiquant :
Impossible d'executer le ficihier C:Program files\ZHPDiag\ZHPDiag.exe
Create process a échoué ; code 740
L'opération demandée necessite une élévation

HELPPPP : Quelqu'un peut m'aider ?

Merci
Messages postés
29059
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 215
bonjour

Clique droit -> Executer en tant qu'admin
Utilisateur anonyme
salut, juste pour avancer; code 740 ==> tu as oublier le clic droit "exécuter en tant qu'administrateur" ;)

bonsoir,
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Merci beaucoup electricien 69

alors voilà le rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 29/01/11 à 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:49:53 le 31/01/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
Jérôme@PC-DE-JÉRÔME (Hewlett-Packard HP Pavilion dv9000 (GG553EA#ABF))

============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\searchplugins\SearchquWebSearch.xml
Dossier supprimé: C:\Program Files\Windows Searchqu Toolbar
Fichier supprimé: C:\Windows\system32\nvs2.inf
Fichier supprimé: C:\Users\Jérôme\AppData\Roaming\Mozilla\FireFox\Profiles\295dn600.default\searchplugins\SearchquWebSearch.xml
Dossier supprimé: C:\Users\Jérôme\AppData\LocalLow\SearchquTB
Dossier supprimé: C:\Users\Jérôme\AppData\LocalLow\ShoppingReport
Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Jérôme\AppData\Roaming\Mozilla\FireFox\Profiles\295dn600.default\Prefs.js --
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://www.searchqu.com/403");
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&systemid=403&q=");
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé supprimée: HKLM\Software\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7FF99715-3016-4381-84CE-E4E4C9673020}
Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé supprimée: HKLM\Software\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}
Clé supprimée: HKLM\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé supprimée: HKLM\Software\Classes\TypeLib\{CDCA70D8-C6A6-49EE-9BED-7429D6C477A2}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D136987F-E1C4-4CCC-A220-893DF03EC5DF}
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé supprimée: HKLM\Software\Classes\ShoppingReport.HbAx
Clé supprimée: HKLM\Software\Classes\ShoppingReport.HbAx.1
Clé supprimée: HKLM\Software\Classes\ShoppingReport.HbInfoBand
Clé supprimée: HKLM\Software\Classes\ShoppingReport.HbInfoBand.1
Clé supprimée: HKLM\Software\Classes\ShoppingReport.IEButton
Clé supprimée: HKLM\Software\Classes\ShoppingReport.IEButton.1
Clé supprimée: HKLM\Software\Classes\ShoppingReport.IEButtonA
Clé supprimée: HKLM\Software\Classes\ShoppingReport.IEButtonA.1
Clé supprimée: HKLM\Software\Classes\ShoppingReport.RprtCtrl
Clé supprimée: HKLM\Software\Classes\ShoppingReport.RprtCtrl.1
Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé supprimée: HKLM\Software\SearchquMediabarTb
Clé supprimée: HKLM\Software\bandoo
Clé supprimée: HKLM\Software\DataMngr
Clé supprimée: HKLM\Software\ShoppingReport
Clé supprimée: HKLM\Software\WebMediaPlayer
Clé supprimée: HKCU\Software\DataMngr
Clé supprimée: HKCU\Software\epk_extr
Clé supprimée: HKCU\Software\Lanconfig
Clé supprimée: HKCU\Software\ShoppingReport
Clé supprimée: HKCU\Software\WebMediaPlayer
Clé supprimée: HKCU\Software\AppDataLow\Software\searchqutb
Clé supprimée: HKCU\Software\AppDataLow\Software\ShoppingReport
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu MediaBar
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}

Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|tshzsg
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Extensions\CmdMapping|{c5428486-50a0-4a02-9d20-520b59a9f9b2}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Extensions\CmdMapping|{c5428486-50a0-4a02-9d20-520b59a9f9b3}
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|DataMngr
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{7FF99715-3016-4381-84CE-E4E4C9673020}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [2.0.0.2 (fr)] **

-- C:\Users\Jérôme\AppData\Roaming\Mozilla\FireFox\Profiles\295dn600.default\Prefs.js --
browser.search.defaultenginename, Web Search
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.search.selectedEngine, Web Search
browser.startup.homepage_override.mstone, rv:1.8.1.2

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 493 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 31/01/2011 (8257 Octet(s))

Fin à: 20:52:36, 31/01/2011

============== E.O.F ==============

bonjour,
relance ADR, clique sur désinstaller.


repasse un nautre zhpdiag, aide toi de ce poste :

https://forums.commentcamarche.net/forum/affich-20707028-virus-backdoor-win32-cycbot-b#1
Messages postés
10482
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
23 avril 2020
596
Salut,
Chez moi, je n'obtiens que la page d'accueil de "toofiles.com" (pas de fichier à ouvrir).
Faudrait-il s'y inscrire pour pouvoir lire l'hébergement ?
Merci.

bonsoir,
il y a du monde par ici :P

Sarah, ton fichier n'est pas accessaible, réessaie avec un autre lien d'hébregaur :-)

Hello

Merci beaucoup, c'était vraiment sympa de votre part.
J'ai viré AVIRA et ai installé MSE qui a fait une analyse durant 7h30, au final, il a supprimé le virus ainsi qu'un TROJAN;

Mon PC re fonctionne :-) :-)

bonjour,
problème résolu !!!