virus backdoor.sdbot

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar pichpich » 04 Avr 2003 09:34

Bonjour à tous <BR>je suis un néophyte en matiere d'informatique et j'ai un petit souci car j'ai un virus nommé backdoor.sdbot sur ma machine. <BR>j'ai fait une analyse anti-virus mais il n'a pas pu ni le mettre en quarantaine ni le supprimer. j'ai pouratnat fait toutes les mises à jour disponibles. <BR>comment puis je faire ? <BR>(j'ai norton anti virus) <BR>je n'ose plus utiliser mon ordinateur !!! <BR>le fichier qui a le virus est :C:WINNTsystem32ecplore.exe <BR>merci à tous ceux qui prendront le temps de me repondre (de maniere tres tres simple si possible!!!) <BR>merci beaucoup d'avance <BR>pichpich
Avatar de l’utilisateur
pichpich
Matelot
Matelot
 
Messages: 1
Inscrit le: 04 Avr 2003 00:00

Messagepar cain » 07 Juin 2003 13:18

Désolé que tu n'ais pas eu de réponse plus tôt. <BR> <BR> Si ton problème est toujours d'actualité, (vu la date de post je pense que tu as du faire quelques manipulations depuis), nous allons essayer de lui montrer qu'on l'apprécie <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> Ne sachant pas quelle variante tu as eu de ce cheval de troie, j'ai jeté un oeil chez trend micro afin de voir laquelle s'amuse avec EXPLORER.EXE. <BR> <BR> Apparemment, le cheval de troie connu pour causer ce type d'infection s'appelle TROJ_DROPPERFL.A <BR> <BR> Je suppose également que tu disposes comme système d'exploitation soit de windows XP, soit 2000, soit NT, vu ton répertoire WINNT que tu mentionnes. <BR> <BR><!-- BBCode Start --><B>INSTRUCTIONS DE DESINFECTION</B><!-- BBCode End --> <BR> <BR><!-- BBCode Start --><I><!-- BBCode Start --><B>PREMIERE ETAPE :</B><!-- BBCode End --></I><!-- BBCode End --> <BR> <BR> 1 - Etant donné que ce troyen dispose de la capacité à se cacher du Gestionnaire des tâches de windows, tu vas d'abord devoir télécharger un programme (dont la finalité est la même) te permettant de voir TOUS les processus lancé, ceci afin de pouvoir terminer celui qui pose problème. <BR> <BR> 2 - Le lien ci-dessous t'amènera sur le site de Trend Micro et te permettra de télécharger le programme adéquat : <BR> <BR><!-- BBCode u2 Start --><A HREF="http://fr.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=54893&VName=BKDR_SDBOT.05.AX" TARGET="_blank">Trend Micro</A><!-- BBCode u2 End --> <BR> <BR> 3 - Dans cette page tu cliques sur le lien "Process Explorer" en dessous du titre : MANUAL REMOVAL INSTRUCTIONS <BR> <BR> 4 - Sur la page qui s'ouvre, tu cliques sur le lien "Process Explorer v6.03", présent sous le titre CURRENT FEATURES. <BR> <BR> 5 - Puis tout en bas de la nouvelle page sur : <BR> Download Process Explorer (x86 - 100 KB) - you plan on using Process Explorer <BR> on WinNT/2K/XP <BR> <BR> 6 - Une fois ce fichier téléchargé, tu le décompresses (il s'appelle "procexpnt.zip), et tu l'installes (comme n'importe quel logiciel et tu l'exécutes). <BR> <BR> 7 - Il t'affiche l'ensemble des processus lancé sur ta machine. Tu cherches le process EXPLORER .EXE (fais bien attention à l'espace situé juste entre EXPLORER et le .) Tu fais un clic droit dessus et tu choisis de terminer le processus. <BR> <BR><!-- BBCode Start --><I><!-- BBCode Start --><B>DEUXIEME ETAPE :</B><!-- BBCode End --></I><!-- BBCode End --> <BR> <BR> 8 - Maintenant, il te faut supprimer les instructions de démarrage automatique de ce programme à chaque lancement de windows. Ces instructions sont présentes dans la base de registres. <BR> <BR><!-- BBCode Start --><B>ATTENTION A BIEN SUIVRE LES INSTRUCTIONS, CAR LA BASE DE REGISTRES EST LE POINT LE PLUS NEVRALGIQUE DU SYSTEME (enfin à part windows lui-même)</B><!-- BBCode End --> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR> 9 - Tu cliques sur "Démarrer" / "Exécuter" / <BR> <BR>10 - Dans la boîte de dialogue qui s'ouvre, tu tapes : <BR> REGEDIT <BR> Puis tu cliques sur OK <BR> <BR>11 - Dans l'arborescence de gauche de la fenêtre qui vient de s'ouvrir, tu te positionnes dans : <BR> <BR>HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / WINDOWS / CURRENTVERSION / RUN <BR> <BR>12 - Dans la fenêtre de droite tu cliques sur : <BR> <BR>WINDOWS EXPLORER = "EXPLORER .EXE" <BR> <BR> et tu appuies sur la touche SUPPR de ton clavier afin de supprimer cette valeur. Ne t'inquiètes pas, il y a toujours un message te demandant confirmation avant que la suppression soit effective. <BR> <BR>13 - Ensuite tu te positionnes dans : <BR> <BR>HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / WINDOWS / CURRENTVERSION / RUNSERVICES <BR> <BR>14 - Dans la fenêtre de droite tu cliques sur : <BR> <BR>WINDOWS EXPLORER = "EXPLORER .EXE" <BR> <BR> et tu appuies sur la touche SUPPR de ton clavier afin de supprimer cette valeur, comme précédemment. <BR> <BR>15 - Dans la barre de menus en haut, tu cliques sur : <BR> <BR>FICHIER / QUITTER <BR> <BR>16 - Une fois ceci fait, tu procèdes à un passage à l'antivirus (mis à jour encore une fois) de la TOTALITE DES FICHIERS présents sur ton (tes) disque(s) dur(s). <BR> <BR> Par ailleurs, tu peux également télécharger le logiciel TROJAN REMOVER (version d'évaluation limitée à 30 jours) sur le site de son auteur à l'adresse suivante : <BR> <BR><!-- BBCode u2 Start --><A HREF="http://www.simplysup.com/tremover/" TARGET="_blank">SimplySup</A><!-- BBCode u2 End --> <BR> <BR>ou alors THE CLEANER (aussi limité à 30 jours) sur : <BR> <BR><!-- BBCode u2 Start --><A HREF="http://www.moosoft.com/thecleaner/" TARGET="_blank">Moosoft</A><!-- BBCode u2 End --> <BR> <BR>et scanner ton système afin de virer tout cheval de troie encore présent dans ton système. <BR> <BR>Voilà ta souffrance est finie, ...enfin normalement <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> <BR>Si tu as un problème, on attend ton post. <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR> <BR><!-- BBCode Start --><B>INFOS COMPLEMENTAIRES</B><!-- BBCode End --> <BR> <BR><!-- BBCode Start --><I><!-- BBCode Start --><B>DESCRIPTION DU TROYEN</B><!-- BBCode End --></I><!-- BBCode End --> <BR> <BR> A son exécution, il dépose une copie de lui-même dans le répertoire système de windows (dans ton cas SYSTEM32), en tant que EXPLORER .EXE (note l'espace). <BR> Après quoi, il lance son l'exécution de ce fichier et termine en s'assurant que le programme qui tourne est bien son fichier qu'il vient de mettre dans SYSTEM32. <BR> Une fois ceci fait, il crée des entrées dans la base de registres afin que son prog soit lancé automatiquement à chaque démarrage de windows, dans les clés suivantes : <BR> <BR>HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / WINDOWS / CURRENTVERSION / RUN <BR> <BR>HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / WINDOWS / CURRENTVERSION / RUNSERVICES <BR> <BR>en ajoutant la valeur suivante : <BR> <BR>WINDOWS EXPLORER = "EXPLORER .EXE" <BR> <BR>P.S. : Je précise que tout le détail de désinfection ci-dessus est issu du site de Trend Micro, facile à deviner <IMG SRC="images/smiles/icon_wink.gif"> <BR><BR><font size=-2></font>
Vous avez dit Linux ? Welcome to the real world ;)
Avatar de l’utilisateur
cain
Amiral
Amiral
 
Messages: 1608
Inscrit le: 19 Avr 2002 00:00
Localisation: val-de-marne

Messagepar le_feneck » 03 Oct 2003 21:06

Salut a tous , j ai choper aussi se troyen , mais il se trouvait dans <BR> <BR>C:WINDOWSSystem32System32.exe <BR> <BR>et j aimerai savoir ou il faut aller pour le virer lorsque qu on va dans regedit <BR> <BR> <BR>je remercie ce qui pourront m aider
Avatar de l’utilisateur
le_feneck
Matelot
Matelot
 
Messages: 1
Inscrit le: 03 Oct 2003 00:00
Localisation: en france

Messagepar cain » 09 Oct 2003 23:38

Je suis allé faire un tour sur le site de Trend Micro (<!-- BBCode u2 Start --><A HREF="http://fr.trendmicro-europe.com/index.php" TARGET="_blank">Trend Micro</A><!-- BBCode u2 End -->) et apparemment il s'agit d'une variante de BKDR_SDBOT.GEN qui transite par l'IRC. <BR> <BR>La méthode de désinfection est disponible a cette adresse : <BR> <BR><!-- BBCode u2 Start --><A HREF="http://fr.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=55028&VName=BKDR_SDBOT.14176&VSect=O" TARGET="_blank">Trend Micro</A><!-- BBCode u2 End --> <BR> <BR>Bonne désinfection <IMG SRC="images/smiles/icon_wink.gif"><BR><BR><font size=-2></font>
Vous avez dit Linux ? Welcome to the real world ;)
Avatar de l’utilisateur
cain
Amiral
Amiral
 
Messages: 1608
Inscrit le: 19 Avr 2002 00:00
Localisation: val-de-marne


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron