Backdoor:Win32/Cycbot.B [Résolu/Fermé]

Signaler
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011
-
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011
-
Bonjour,

Mon PC fixe est infecté par cycbot.b et je ne peux plus me connecter à Internet. Heureusement, j'ai aussi un portable qui m'a permis de chercher des informations sur les forums. J'ai vu qu'il y avait beaucoup de procédures à suivre et n'étant qu'un utilisateur moyen de l'informatique, je viens chercher de l'aide ici pour trouver un guide!!
Merci de vos réponses.

Pour info config de mon fixe: Windows 7 / Firefox 4

34 réponses

Messages postés
11230
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
830
# Quitter tous les programmes en cours
# Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
# lancer RogueKiller.exe
# Lorsque demandé, taper 4 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
# Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
=====================================================
* Télécharge et installe : Malwarebyte's Anti-Malware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 61649 internautes nous ont dit merci ce mois-ci

Messages postés
11230
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
830
Bonjour

Tu télécharge le programme sur ton pc sain et tu le transfert sur le pc" Malade"

* Télécharger sur le bureau RogueKiller
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 1 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

Merci pour ta rapidité!
Voici le rapport:

RogueKiller V4.3.5 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Sylvain [Droits d'admin]
Mode: Recherche -- Date : 31/03/2011 14:33:29

Processus malicieux: 0

Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:65010) -> FOUND
[PROXY FF] fjcig1fo.default\ 127.0.0.1:65010 -> FOUND

Fichier HOSTS:


Termine : << RKreport[1].txt >>
RKreport[1].txt
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

J'ai une erreur pour la mise à jour de MBAM : 12007, 0 , WinhttpSendRequest.
Je ne peux pas aller plus loin!

Le lien pour COMCTL32.OCX est mort mais j'ai pu le récupérer ici : https://www.ocxme.com/
Je dois l'installer ds quel dossier?
Messages postés
11230
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
830
Le lien pour COMCTL32.OCX est mort mais j'ai pu le récupérer ici : https://www.ocxme.com/
Je dois l'installer ds quel dossier?
Pas besoin de faire COMCTL.............

Pour l'erreur citée plus haut tu dois désactiver ton antivirus et ton parefeu si tu en a un...
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

C fait mais ça ne marche pas non plus...
G désactivé tous les agents de avast et le pare feu.
Messages postés
7481
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
22 juin 2020
544
Salut

C'est normal que la MAJ MBAM plante, tu n'as pas supprimé le proxy avec RogueKiller

Relance RogueKiller en mode 4 (Proxy RAZ), et ensuite fait la mise à jour avec Malwarebytes
RIP Jaxryley....
Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

G donc relancé Roguekiller en mode 4, voici le rapport ci besoin mais g toujours le msg d'erreur:

RogueKiller V4.3.5 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Sylvain [Droits d'admin]
Mode: Proxy RAZ -- Date : 31/03/2011 16:23:13

Processus malicieux: 0

Entrees de registre: 0

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Je vais donc essayer de me lancer dans la procédure avec combofix en croisant les doigts.... :S
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

Je n'ai encore rien fait j'attendais encore au cas où :).

Effectivement je n'avais pas posté le rapport 2 le voici : RogueKiller V4.3.5 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Sylvain [Droits d'admin]
Mode: Proxy RAZ -- Date : 31/03/2011 16:22:22

Processus malicieux: 1
[APPDT/TMP/DESKTOP] GoogleCrashHandler.exe -- c:\users\sylvain\appdata\local\google\update\1.2.183.39\googlecrashhandler.exe -> KILLED

Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:65010) -> DELETED
[PROXY FF] fjcig1fo.default\ 127.0.0.1:65010 -> DELETED

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Messages postés
7481
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
22 juin 2020
544
Voilà :))

Plus de proxy.
Rédémarre ton PC et retente la MAJ avec malwarebytes
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

Toujours pas!
C un costaud ce virus...
Messages postés
7481
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
22 juin 2020
544
Je vais laisser nanard reprendre la main ;)
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

Ok merci qd même ;)
Messages postés
11230
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
830
On va faire une analyse de ton systéme.
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe

* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag

***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

Décidément ya rien qui veut...
Impossible d'exécuter le fichier, create process a échoué ; code 740.
Messages postés
7481
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
22 juin 2020
544
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

Attends c bon après redémarrage PC
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

Voila :
http://www.cijoint.fr/cjlink.php?file=cj201103/cijYOoAjVg.txt

Je ne reviens sur internet que dans la soirée, bon courage entre temps et merci.
Messages postés
11230
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
830
Télécharge Ad-Remover sur ton bureau:

http://www.teamxscript.org/adremoverTelechargement.html


/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur
"Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

Re!

Voici le lien pour le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201103/cijoeaG0bo.txt
Messages postés
11230
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
830
Maintenant tu dois etre en mesure de faire la maj de malawarebytes et lancer le scan complet.

Si ca ne marche pas alors fais ce qui suit.
Télécharger Eset Nod32 :
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
* Lancer le fichier
* Accepter les conditions
* Autoriser le programme à accéder à Internet
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
* Téléchargement des signatures


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !

* Le scan débute dés la fin du téléchargement
* Générer le rapport
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt

Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32




Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

Toujours pas!
Et pour Eset Nod, il ne peut pas se connecter. Encore un pb de proxy surement...
JE me demandais dans quel mesure le formatage résoudrait les problèmes?
Ce virus peut-il se propager aux clé USB et DDE?
Messages postés
11230
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
830
Il ne faut pas baisser les bras aussi rapidemment.Avant de formater il faut tenter plusieurs chose.


* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)


Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

"Windows ne trouve pas C:\tdsskiller\tdsskiller.exe"

??
Messages postés
11230
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
830
execute tdsskiller en mode sans echec.
Démarrer Windows en « mode sans échec »


Avec la touche F8
- Au démarrage de l'ordinateur presser successivement (intervalle d'une seconde) la touche F8 jusqu'à arriver au menu de démarrage avancé permettant de sélectionner le Mode sans échec.
- Vous naviguez dans le menu jusqu'à l'option « Mode sans échec » grâce aux flèches de direction.
- Validez avec la touche Entrée.
Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.

--
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
Messages postés
31
Date d'inscription
jeudi 31 mars 2011
Statut
Membre
Dernière intervention
10 septembre 2011

ça ne marche toujours pas, j'ai pourtant tout suivi, et réessayé plusieurs fois.
ça donne du fil à retordre ce truc la.