Virus : "Backdoor.sdbot.gen"

Virus : "Backdoor.sdbot.gen" - Sécurité - Windows & Software

Marsh Posté le 09-01-2004 à 00:38:41    

J'ai sur mon pc les fichiers suivants infectés par le virus "backdoor.sdbot.gen" :
- c:\windows\system32\ixplore.exe
- c:\program files\windows media player\wmplayer.exe
 
J'ai norton antivirus (version 2002 mise à jour), qui a détecté ces 2 fichiers infectés (aucun autre), mais qui n'a pas pu les nettoyer ni les effacer. Du coup, ils sont actuellement en quarantaine.
 
Le truc lourd c'est que Norton m'affiche en boucle le message comme quoi ixplore est infecté... Autant pour wmp je m'en fiche, autant ce message à la con en boucle sur mon bureau...
 
Que puis-je faire pour les virer ?
est-ce dangereux de supprimer ces 2 fichiers, et de lancer par la suite une réparation de windows (avec le cd) ?
 
Bref, si quelqu'un sait comment le déloger sans passer par la case "formater le pc", j'ai besoin de votre aide :)


Message édité par The_Wormer le 02-03-2004 à 13:14:43
Reply

Marsh Posté le 09-01-2004 à 00:38:41   

Reply

Marsh Posté le 09-01-2004 à 00:58:45    

Essayer avec 1 AV en ligne?
http://www.secuser.com/outils/antivirus.htm

Reply

Marsh Posté le 09-01-2004 à 08:22:00    

Reply

Marsh Posté le 09-01-2004 à 09:41:05    

merci bien pour ces liens, mais ils traitent le virus Win32.Slanper.D, pas le blackdoor...

Reply

Marsh Posté le 09-01-2004 à 16:29:00    

:bounce: up :bounce:

Reply

Marsh Posté le 09-01-2004 à 19:22:18    

svp les gens... g besoin d'aide...

Reply

Marsh Posté le 10-01-2004 à 03:53:59    

tu kill les process s'ils sont encore utilisés par windows, tu les ouvres avec notepad, tu les vides, tu enregistres, et tu coches "lecture seule"

Reply

Marsh Posté le 10-01-2004 à 04:52:02    

lol sdbot c un bot irc :P
tu devrai te payer un firewall software ou mettre ton windows a jour aussi, vérifier que tu n'as pas de backdoor en lancant un scan de ton hd (avec un VRAI AV, norton tient plus du céleri en branche bouilli que de l'antivirus)

Reply

Marsh Posté le 10-01-2004 à 05:14:58    

Zera a écrit :

lol sdbot c un bot irc :P
tu devrai te payer un firewall software ou mettre ton windows a jour aussi, vérifier que tu n'as pas de backdoor en lancant un scan de ton hd (avec un VRAI AV, norton tient plus du céleri en branche bouilli que de l'antivirus)


Looooooooooollllll 1 spécialiste AV de plus [:yems93]  :sarcastic:  
 
-------------------------------------
La culture c'est comme la confiture...moins on en a....plus on l'étale

Reply

Marsh Posté le 10-01-2004 à 12:06:25    

Charpentier à la bonne solution, va sur le site qu'il te propose, il va te scanner le disk, tu va voir que les fichiers contaminé par le ver ne sont pas de véritable executable (regarde bien leur orthographe) tu peux les suprimer et si ils veulent pas ça veux dire que windows les utilise alors tu fait control alt supr et dans processus tu les arréte, là tu pourras donc les supprimer, à savoir qu'il faudra aussi allé dans regedit pour supprimé leur lancement au départ de windows, je connais un logiciel sympa de nettoyage de base de registre qui s'appelle regcleaner.
 
voila, je dit tout ça car ça m'est arriver hier, et maintenant, pas de soucis (je touche du bois! )

Reply

Marsh Posté le 10-01-2004 à 12:06:25   

Reply

Marsh Posté le 10-01-2004 à 12:43:11    

ok thx pour votre aide, je vais de ce pas essayer de supprimer les fichier (pour ixplore je m'en doutais, cet "exe" n'existant pas dans le rep system32 de mon second pc). Par contre mon wmplayer est bel et bien infecté, pas de doute (mais m'en tape je l'utilise pas).
 
Concernant le firewall, j'ai celui intégré à mon routeur (zyxel), et je n'ai jamais eu de problème. Un worm irc c'est fréquent d'en attraper, irc utilisant un port très peu protégé :(

Reply

Marsh Posté le 10-01-2004 à 12:47:20    

euh.
mdr :) je viens de rentrer dans mon repertoire System32, ai fait une recherche sur ixplore.exe, introuvable.
J'ai relancé la recherche sur tout mes DD : introuvable.
 
J'ai scanné wmplayer.exe de mon repertoire windows media player : clean. J'ai fait une recherche sur tous mes DD d'un autre exe de ce type : rien.
 
Alors que Norton ne savait pas les nettoyer, je les ai mis en quarantaine, et maintenant disparus ??? mdr -_-

Reply

Marsh Posté le 10-01-2004 à 13:34:40    

cé pas un "worm" c juste un pirate qui a installé ca sur ta machine pour te retrouver facilement, et si tu ne retrouve plus rien, c'est peut etre .. qu'il a modifié tou sa :P

Reply

Marsh Posté le 02-03-2004 à 12:12:19    

J'ai un problème avec ce virus (ou peu importe le nom que vous lui donnez) qui infecte environ 10 fois par jour ce dossier :  
 
C:\System Volume Information\_restore{42DD15EF-5D05-44F7-8399-7D315E65EEF7}\RP106\A0044087.exe Infected  
 
La seule chose qui change, de fois en fois, ce sont les derniers chiffres avant le .exe.  J'ai un antivirus qui tourne, alors il délète les files aussitôt qu'elles apparaissent, mais ce que je ne comprends pas, c'est pourquoi elles n'arrêtent pas de réapparaître...  En plus, elles n'apparaissent pas quand je suis sur mon pc, elles apparaissent uniquement quand mon pc est ouvert, connecté sur internet mais sans aucun programme qui tourne.
 
Je n'y connais rien en pc, alors pour ce qui est d'aller déléter plusieurs fichiers ou de faire un backup de mon système (comme j'ai lu sur d'autres forums), ben faut pas trop y compter... quelqu'un a une solution ?  
 
Merci
 
Tsunamie

Reply

Marsh Posté le 02-03-2004 à 13:08:49    

Pour éradiquer un backdoor ou  trojan ou... : le meilleur utilitaire est PESTPATROL (payant mais période essai de 30j) ou  spybot (gratuit) qui peut aussi travailler dans registre et qui reprend liste hosts pour éviter une récidive. Tjrs télécharger sur site d'origine.  
avec AV, le scan doit se faire après redémarrage en mode sans echec.
Le problème de Tsunamie semble être lié à la fonction "restauration du système" cher à windows. l'AV nettoie, mais le trojan est réinstallé par restauration système.
Les backdoors cela vient aussi (!) par P2P, Emule, ... PEERGUARDIAN en + du scan systématique des fichiers serait sans doute judicieux.
 :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed