Sujet Précédent Sujet Suivant

Virus backdoor BDS/Sdbot.A.165

Résolu/Fermé
Eastwood35 Messages postés 74 Date d'inscription jeudi 27 janvier 2011 Statut Membre Dernière intervention 21 juillet 2012 - 11 août 2011 à 12:56
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 14 août 2011 à 01:12
Bonjour,

salut
Hier j'ai branché une clé USB infectée et Avira a bloqué avec le message suivant :

Le fichier 'H:\RECYCLER\e621ca05.exe'
contenait un virus ou un programme indésirable 'BDS/Sdbot.A.165' [backdoor].
Action(s) exécutée(s) :
Fichier ignoré.

Est ce que ce Backdoor est entré, le scan Avira n'a rien trouvé ni avec malwarbites ni avec sypware.

Avira maj ok

J'ai peur que ce machin est caché quelque part ? comment être certain


A voir également:

8 réponses

Réponse 1 / 8
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
11 août 2011 à 13:12
Bonjour et Bienvenue sur CCM

Nous allons utiliser cet outil de diagnostic :

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

netsvcs 
msconfig 
SAVEMBR:0 
/md5start
volsnap.*
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivant :
https://www.cjoint.com/
http://www.cijoint.fr/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

A +
0
Réponse 2 / 8
Eastwood35 Messages postés 74 Date d'inscription jeudi 27 janvier 2011 Statut Membre Dernière intervention 21 juillet 2012
Modifié par Eastwood35 le 13/08/2011 à 03:43
salut
sur forum avira, on m'a confirmé que tout est clean aucun problème mais on ne sait jamais, voici les deux liens

File Extra : https://www.cjoint.com/?AHndMaOdxus 7
File OTL : https://www.cjoint.com/?AHndNc32l7b


Merci et bonne soirée

Clint Eastwood.
0
Réponse 3 / 8
Utilisateur anonyme
13 août 2011 à 05:52
ni avec sypware.

ni avec spyware quoi ?
0
Réponse 4 / 8
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 août 2011 à 10:53
Salut gen :) 

Spyware Terminator
== == == == == == == == == == ==

@Eastwood35

Sur le forum d'AVIRA, il n'ont fait aucun diagnostic du système.
Mais, effectivement pas grand chose.

Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

:OTL
FF - prefs.js..browser.search.defaultenginename: "iMesh Web Search" 
FF - prefs.js..browser.search.order.1: "iMesh Web Search" 
FF - prefs.js..keyword.URL: "http://www1.search-results.com/web?l=dis&q=&o=APN10653&apn_dtid=%5EIME001%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG1&d=1-0&lang=en&atb=sysid%3D1%3Auid%3D797caeceedd47f71%3Asrc%3Dffb%3Ao%3DAPN10653%3Ab%3DiMesh%3Atg%3D&p2=%5EAG1%5EIME001%5EYY%5EFR" 
[2007/07/26 13:05:16 | 000,001,329 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml     
[2010/09/02 08:09:28 | 000,002,486 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml   
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.     
O3 - HKLM\..\Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.     
O33 - MountPoints2\G\Shell - "" = AutoRun 
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\AutoRun.exe     
  
:Commands 
[emptyflash]
[emptytemp]

● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
● Copie/colle le dans ton prochain message.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

== == == == == == == == ==

Pourquoi avoir désactivé l'UAC ?

Tu veux désinfecter cette fameuse clé ?

A +
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Eastwood35 Messages postés 74 Date d'inscription jeudi 27 janvier 2011 Statut Membre Dernière intervention 21 juillet 2012
Modifié par Eastwood35 le 13/08/2011 à 12:24
salut
J'utilise spyware terminator et Malwares Bites.CCleaner, Avira, Firewall windows, tout est à jour, sous un Laptop professionnel avec navigation clean strict minimum.



Clint Eastwood.
0
Réponse 6 / 8
Eastwood35 Messages postés 74 Date d'inscription jeudi 27 janvier 2011 Statut Membre Dernière intervention 21 juillet 2012
13 août 2011 à 12:23
All processes killed
========== OTL ==========
Prefs.js: "iMesh Web Search" removed from browser.search.defaultenginename
Prefs.js: "iMesh Web Search" removed from browser.search.order.1
Prefs.js: "http://www1.search-results.com/web?l=dis&q=&o=APN10653&apn_dtid=%5EIME001%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG1&d=1-0&lang=en&atb=sysid%3D1%3Auid%3D7df072a8fec0069e%3Asrc%3Dffb%3Ao%3DAPN10653%3Ab%3DiMesh%3Atg%3D&p2=%5EAG1%5EIME001%5EYY%5EFR" removed from keyword.URL
C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml moved successfully.
C:\Program Files\Mozilla Firefox\searchplugins\iMeshWebSearch.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{28387537-e3f9-4ed7-860c-11e69af4a8a0} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28387537-e3f9-4ed7-860c-11e69af4a8a0}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4B3803EA-5230-4DC3-A7FC-33638F3D3542} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found.
File G:\AutoRun.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: Eastwood
->Flash cache emptied: 1166 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Eastwood
->Temp folder emptied: 68080852 bytes
->Temporary Internet Files folder emptied: 36641491 bytes
->FireFox cache emptied: 57342874 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 608 bytes
RecycleBin emptied: 93342 bytes

Total Files Cleaned = 155,00 mb


OTL by OldTimer - Version 3.2.26.1 log created on 08132011_100858

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 7 / 8
Eastwood35 Messages postés 74 Date d'inscription jeudi 27 janvier 2011 Statut Membre Dernière intervention 21 juillet 2012
Modifié par Eastwood35 le 13/08/2011 à 12:29
salut
Je vois bien que ce machin OTL a supprimé des résidents genre Imesh que j'ai installé une fois pour tester download de MP3, chose que Ccleaner n'a pas fait

Pourqoui désactiver UAC,Tu veux désinfecter cette fameuse clé ?

Non je n'aime pas ce UAC puisque je suis le seul usager de mon laptop avec parfois petit frère et je ne voulais pas désinfecter la clé usb juste mon frère qui l'a branché et a fouté la..... !

Clint Eastwood.
0
Réponse 8 / 8
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 août 2011 à 23:08
Bonsoir,

1. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie du bas "Personnalisation", copie/colle: 

clearallrestorepoints
● Clique sur le bouton Correction.

2. Relance OTL en tant qu'administrateur
● Clique sur le bouton Purge outils
● Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.

3. UAC : Pourquoi ne pas le désactiver

Bonne continuation
0
Eastwood35 Messages postés 74 Date d'inscription jeudi 27 janvier 2011 Statut Membre Dernière intervention 21 juillet 2012
14 août 2011 à 01:08
salut
Merci bcp,
Je viens de réactiver UAC même si cela gène à chaque fois vu mon laptop est semi professionnel mais c'est mieux d'être protégé

Je viens d'exécuter OTL et faire la consigne reboot du PC mais ce soft oTL a disparu de son emplacement D:/ je suppose que c'est normal

Merci et bonne soirée
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 août 2011 à 01:12
oui, c'est normal ;)

Bonne continuation
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses