Virus bds backdoor gen 3

Virus bds backdoor gen 3 - Virus/Spywares - Windows & Software

Marsh Posté le 14-01-2011 à 01:04:00    

Bonjour à tous,  
 
Suite à une analyse intégrale de mon antivirus Avira, il se trouve que je suis infecté par bds/backdoor.gen3 (actuellement en quarantaine). Mon PC rame considérablement et je ne sais pas m'en débarasser. Quelqu'un pourrait-il m'aider?  
 
D'avance merci.

Reply

Marsh Posté le 14-01-2011 à 01:04:00   

Reply

Marsh Posté le 14-01-2011 à 15:12:58    

Bonjour,
Ce malware est connu par Avira. S'il est en quarantaine il n'est plus actif et vous pouvez le supprimer sans problème. Si le PC rame, c'est qu'il est peut-être infecté par autre chose ou qu'il y a un autre problème (RAM défectueuse, dd plein, etc.).
Télécharger Malwarebytes' antimalware (un antispyware efficace et léger) et analyser le poste.
Cela suffira peut-être?
A+
Lionet

Reply

Marsh Posté le 14-01-2011 à 15:34:14    

Salut,
 
 
Peux tu me donner le chemin d'accès de l'infection repérée par avira stp ?
 
Je peux t'aider à y voir plus clair, mais pour cela j'ai besoin d'un rapport de diagnostic :
 
Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe
 http://www.memoclic.com/medias/var_forum/23/5780.jpg (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette http://www.memoclic.com/medias/var_forum/23/5781.jpg
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
Attention, le site de ci-joint n'accepte pas les fichiers trop volumineux. Si le fichier de ZHPDiag est trop lourd tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr
 
Comment héberger un rapport sur ci-joint :
 
 
 • Clique sur ce lien : http://www.cijoint.fr/
 • Clique sur "Parcourir"... et cherche le fichier du rapport que tu souhaites me transmettre.
 • Clique sur "Ouvrir".
 • Clique sur "Cliquez ici pour déposer le fichier".
 • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
 • Copie-colle ce lien dans ta réponse.

Reply

Marsh Posté le 17-01-2011 à 00:09:09    

Bonsoir, merci de vos réponses rapides.  
Ci-aprés le lien:
http://www.cijoint.fr/cjlink.php?f [...] rv0p9l.txt
 

Reply

Marsh Posté le 17-01-2011 à 15:53:59    

Salut,
 
Tu ne m'as pas donné le chemin d'accès de l'infection détectée par ton antivirus.  
 
Il y a quelques lignes néfastes sur ton rapport ZHPDiag.
 
Tu vas faire ceci stp :
 
 
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis vas dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin de l'analyse, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le lien ci-joint du rapport qui va apparaître à la fin de  la suppression stp
 
 

Reply

Marsh Posté le 23-01-2011 à 19:14:05    

Bonsoir,
 
Veuilez m'excuser pour cette réponse tardive, je n'avais pas accès à internet:(
Voilà le rapport de malwarebytes:
http://www.cijoint.fr/cjlink.php?f [...] vKeYYK.txt  
 
et ci-après le chemin d'acces sur avira:
C:\users\etudiant\AppData\Local\Temp\msindex_fr.exe

Reply

Marsh Posté le 23-01-2011 à 20:55:01    

Salut,
 
L'infection se trouvait dans les fichiers Temp, relativement facile à supprimer. Tu peux vider la quarantaine de ton antivirus.
 
Questions :
 
Connais tu ces programmes qui sont installés sur ton pc :
 
EXPORTACIONPLAN => packedgrupo.exe  
 
LaboralesBusquedas
 
 
Je n'ai pas ou peu d'infos sur eux et ils sont considérés néfastes par ZHP ??
 
En as tu l'utilité ou pas ?

Reply

Marsh Posté le 24-01-2011 à 23:07:15    

Bonsoir,
 
Non j'en a pas l'utilité mais j'arrive pas à les trouver en suivant le chemin d'accès indiqué par ZHP!

Reply

Marsh Posté le 25-01-2011 à 15:50:13    

Salut,
 
Okay pour les programmes.
 
Fais ceci stp :
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    • Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    • Copie/colle les lignes suivantes et place les dans ZHPFix :
 
    ----------------------------------------------------------
 
O4 - HKCU\..\RunServices: [0.7651248609706975] C:\Users\etudiant\AppData\Local\Temp\0.7651248609706975.exe (.not file.)  
O4 - HKCU\..\RunServices: [EXPORTACIONPLAN] c:\users\etudiant\appdata\local\temp\ytzt1ctz.tmp\packedgrupo.exe (.not file.)  
O4 - HKCU\..\RunServices: [LaboralesBusquedas] c:\users\etudiant\appdata\local\temp\5af8cpp1.tmp\laboralesbusquedas.exe (.not file.)  
O4 - HKCU\..\RunServices: [BusquedasLaborales] C:\Users\etudiant\AppData\Local\Temp\9p02hc3n.tmp\BusquedasLaborales.exe (.not file.)  
O4 - HKCU\..\RunServices: [BusquedasLaborales23281] c:\users\etudiant\appdata\local\temp\5xe5os77.tmp\busquedaslaborales20998.exe (.not file.)  
O4 - HKCU\..\RunServices: [BusquedasLaborales16827] c:\users\etudiant\appdata\local\temp\q13vpw8r.tmp\laboralesbusquedas.exe (.not file.)  
O15 - Trusted Zone: [HKCU\...\Domains] *.grenoble-em.com  
O15 - Trusted Zone: [HKCU\...\Domains\www] http.grenoble-em.com  
O16 - DPF: Microsoft XML Parser for Java (Microsoft XML Parser for Java) - (.not file.) - C:\Windows\Java\classes\xmldso.cab      
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/g [...] tor/sw.cab      
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/control [...] ader55.cab  
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/g [...] rashim.cab      
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab      
O23 - Service:  (pdfcDispatcher) - Clé orpheline  
O23 - Service:  (Planificateur LiveUpdate automatique) - Clé orpheline  
 
 
    ----------------------------------------------------------
 
    • Clique sur « Tous », puis sur « Nettoyer »
    • Copie/colle la totalité du rapport dans ta prochaine réponse
 
 
Ensuite fais un nouveau rapport avec ZHPdiag et envoie le lien ci-joint du rapport.
 
++

Reply

Marsh Posté le 29-01-2011 à 14:14:06    

Rapport ZHP fix:
Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-29-01-2011-14-07-13.txt
Run by etudiant at 29/01/2011 14:07:13
Windows Vista Business Edition, 32-bit  (Build 6000)
Web site : http://www.premiumorange.com/zeb-h [...] hpfix.html
Contact : nicolascoolman@yahoo.fr
 
========== Clé(s) du Registre ==========
O16 - DPF: Microsoft XML Parser for Java (Microsoft XML Parser for Java) - (.not file.) - C:\Windows\Java\classes\xmldso.cab  => Clé supprimée avec succès
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/g [...] tor/sw.cab  => Clé absente
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/control [...] ader55.cab  => Clé absente
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/g [...] rashim.cab  => Clé absente
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab  => Clé absente
O23 - Service:  (pdfcDispatcher) - Clé orpheline  => Clé supprimée avec succès
O23 - Service:  (Planificateur LiveUpdate automatique) - Clé orpheline  => Clé supprimée avec succès
 
========== Valeur(s) du Registre ==========
O4 - HKCU\..\RunServices: [0.7651248609706975] C:\Users\etudiant\AppData\Local\Temp\0.7651248609706975.exe (.not file.)  => Valeur supprimée avec succès
O4 - HKCU\..\RunServices: [EXPORTACIONPLAN] c:\users\etudiant\appdata\local\temp\ytzt1ctz.tmp\packedgrupo.exe (.not file.)  => Valeur supprimée avec succès
O4 - HKCU\..\RunServices: [LaboralesBusquedas] c:\users\etudiant\appdata\local\temp\5af8cpp1.tmp\laboralesbusquedas.exe (.not file.)  => Valeur supprimée avec succès
O4 - HKCU\..\RunServices: [BusquedasLaborales] C:\Users\etudiant\AppData\Local\Temp\9p02hc3n.tmp\BusquedasLaborales.exe (.not file.)  => Valeur supprimée avec succès
O4 - HKCU\..\RunServices: [BusquedasLaborales23281] c:\users\etudiant\appdata\local\temp\5xe5os77.tmp\busquedaslaborales20998.exe (.not file.)  => Valeur supprimée avec succès
O4 - HKCU\..\RunServices: [BusquedasLaborales16827] c:\users\etudiant\appdata\local\temp\q13vpw8r.tmp\laboralesbusquedas.exe (.not file.)  => Valeur supprimée avec succès
 
========== Elément(s) de donnée du Registre ==========
O15 - Trusted Zone: [HKCU\...\Domains] *.grenoble-em.com  => Donnée supprimée avec succès
O15 - Trusted Zone: [HKCU\...\Domains\www] http.grenoble-em.com  => Donnée supprimée avec succès
 
========== Fichier(s) ==========
c:\users\etudiant\appdata\local\temp\0.7651248609706975.exe  => Fichier absent
c:\users\etudiant\appdata\local\temp\ytzt1ctz.tmp\packedgrupo.exe  => Supprimé et mis en quarantaine
c:\users\etudiant\appdata\local\temp\5af8cpp1.tmp\laboralesbusquedas.exe  => Supprimé et mis en quarantaine
c:\users\etudiant\appdata\local\temp\9p02hc3n.tmp\busquedaslaborales.exe  => Supprimé et mis en quarantaine
c:\users\etudiant\appdata\local\temp\5xe5os77.tmp\busquedaslaborales20998.exe  => Supprimé et mis en quarantaine
c:\users\etudiant\appdata\local\temp\q13vpw8r.tmp\laboralesbusquedas.exe  => Supprimé et mis en quarantaine
 
 
========== Récapitulatif ==========
7 : Clé(s) du Registre
6 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
6 : Fichier(s)
 
 
End of the scan

Reply

Marsh Posté le 29-01-2011 à 14:14:06   

Reply

Marsh Posté le 29-01-2011 à 14:27:10    

Reply

Marsh Posté le 29-01-2011 à 14:27:47    


Merci!

Reply

Marsh Posté le 31-01-2011 à 16:16:30    

Salut oldboy3,
 
Désolé pour le délai, mais j'ai eu quelques problèmes avec mon FAI.... :(  
 
Voici la phase finale de la désinfection de ton ordinateur. c'est une phase très importante qui permet de faire du nettoyage, des mises à jour de sécurité pour pallier les failles de sécurité et de donner des conseils pour sécuriser au mieux ton ordinateur.
Il ne faut pas perdre de vue qu'aucun programme de sécurité ne te protégera à 100 %. C'est ton comportement vis à vis d'internet qui fera toujours la différence. Cette fois ci on a pu désinfecter ton ordinateur, ce n'est pas toujours le cas.
 
 
 
 
1-Mises à jour de sécurité :
 
1.1 - Adobe reader :
 
La version installée sur ton ordinateur est obsolète, c'est un faille de sécurité. Désinstalles cette version en passant par le panneau de configuration désinstaller un programme. Ensuite connectes toi sur le site le site officiel d'adobe reader. Télécharges la dernière version de ce programme (X = 10.0). Installes la nouvelle version.
 
 
1.2- Adobe flash player :
 
Rends toi dans le panneau de configuration désinstaller un programme et désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin
 
Ensuite télécharges ces 2 fichiers :
 
Active X : cliques sur ce lien ==> http://fpdownload.adobe.com/get/fl [...] yer_ax.exe
plugin ==> http://fpdownload.adobe.com/get/fl [...] player.exe
 
Une fois téléchargé ces 2 fichiers, installes les par double-clique, tu peux ensuite supprimer les fichiers d'installation et vider ta corbeille.
 
1.3- java :
 
La version de java qui est installée sur ton ordinateur n'est pas du tout à jour, c'est encore une faille de sécurité importante. Rends toi sur le site de  Java, cliques sur "vérifier la version de java" et laisses toi guider par le programme. Une fois que tu auras installé la nouvelle version, désinstalles toutes les anciennes versions qui sont présentes sur ton pc sauf la 1.6.23.
 
 
 
2-Sécurisation de ton ordinateur :
 
2.1- Pour sécuriser ta navigation :
 
Tu utilises couramment Firefox, je te conseille d'installer ces deux modules complémentaires afin de sécuriser ta navigation :
 
- AdBlockPlus pour bloquer les publicités ;
- WOT, pour t'avertir des sites web dangereux.  
 
WOT existe aussi pour internet explorer ==> C'est par ici
 
2.2- Vaccination de tes supports amovibles :
 
Beaucoup d'infections de nos jours se propagent par les supports amovibles (clé usb, disque externe, carté mémoire, lecteur mp3/mp4,...).
Je te conseil donc vivement de les vacciner avec cet outil spécifique.  
 

  • Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir
  • Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
  • Choisis Vacciner
  • Laisse travailler l'outil, tes supports amovibles, disques durs et partitions sont maintenant vaccinés.


2.3- Sauvegardes de tes données :
 
Je t'encourage à faire des sauvegardes régulières de tes données sur des supports externes (CD/DVD, disque externe,....). Certaines infections virulentes ne permettent pas de les sauver et parfois elles sont cryptées et une rançon t'es demandée pour pouvoir les récupérer. Ai toujours une sauvegarde de tes fichiers importants en cas de problème.
 
 
3-Nettoyage de ton ordinateur :
 
3.1- Suppression des outils spécifiques :  
 
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :
 
• Télécharge DelFix de Xplode sur ton bureau.
• Lance DelFix, clique sur Suppression.
• Patiente pendant la suppression jusqu'à l'ouverture du rapport.
• Poste le lien ci-joint du contenu du rapport dans ta prochaine réponse sur le forum.
• Note : Le rapport se trouve sous C:\DelFixSearch.
 
3.2- Nettoyage de ton ordinateur :
 
Utilise ce programme pour optimiser ton ordinateur :
 
    • Télécharge CCleaner slim.
    • Installe le puis lance le.
    • Clique sur Nettoyeur ? Analyse ? Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
    • Enfin, clique sur Registre ? corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.
 
    Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).
 
 
4-Restauration système :
 
Cette étape est indispensable pour finaliser la désinfection, elle permet de supprimer les points de restauration et du même coup les éventuels malwares qui s'y seraient logés.
 
/!\ Très Important / !\
 
Il faut désactiver et réactiver la restauration système puis créer un nouveau point de restauration,suis ce tutoriel pour t'aider
 
5-Information :
 
Depuis 2006 le nombre de malwares et les technologies ont évolué de manière sensible toujours pour servir l'économie souterraine lucrative qui sert les auteurs de malwares.
A ce jour, il n'existe pas de technologies capables de protéger efficacement votre ordinateur si l'internaute n'est pas instruit sur les risques encourus sur la toile. Ce transfert de connaissances est indispensable pour construire l'Internet.
 
C'est pour cela que je t'invite à lire ce fichier PDF qui traite de la sécurité informatique. Ce fichier est issu du forum de malekal_morte, qui a mis en place un Projet Antimalware pour sensibiliser l'opinion publique sur les dangers des malwares. J'adhère à 100% sur ce projet. N'hésites pas à le diffuser autour de toi pour que le maximum de personnes soient prévenues.
 
 
J'attends les rapports demandés.

Reply

Marsh Posté le 08-02-2011 à 19:36:16    

Bonsoir,
 
Excusez-moi pour mon manque de réactivité.  
Voici le rapport delfix.
 
# DelFix v7.3 - Rapport créé le 08/02/2011 à 19:34
# Mis à jour le 06/02/11 à 10h00 par Xplode
# Système d'exploitation : Windows Vista (TM) Business (32 bits) [version 6.0.6000]  
# Nom d'utilisateur : etudiant - HP8510P (Administrateur)
# Exécuté depuis : C:\Users\etudiant\Desktop\DelFix.exe
# Option [Suppression]
 
 
~~~~~~ Dossier(s) ~~~~~~
 
Supprimé : C:\USBFix
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\trend micro\Hijackthis
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis
 
~~~~~~ Fichier(s) ~~~~~~
 
Supprimé : C:\UsbFix.txt
Supprimé : C:\rkill.log
Supprimé : C:\ZHPExportRegistry-29-01-2011-14-07-13.txt
Supprimé : C:\Users\etudiant\Desktop\UsbFix.exe
Supprimé : C:\Users\etudiant\Desktop\HijackThis.lnk
Supprimé : C:\Users\etudiant\Desktop\ZHPDiag.txt
Supprimé : C:\Users\etudiant\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\etudiant\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\etudiant\Downloads\rkill.com
Supprimé : C:\Users\etudiant\Downloads\HJTInstall.exe
Supprimé : C:\Users\etudiant\Downloads\HiJackThis(2).exe
Supprimé : C:\Users\etudiant\Downloads\HiJackThis.exe
Supprimé : C:\Users\etudiant\Downloads\hijackthis.log
Supprimé : C:\Users\etudiant\Downloads\ZHPDiag.exe
 
~~~~~~ Registre ~~~~~~
 
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
 
~~~~~~ Autre ~~~~~~
 
-> Prefetch vidé
 
########## EOF - "C:\DelFixSuppr.txt" - [2092 octets] ##########

Reply

Marsh Posté le 08-02-2011 à 21:22:58    

Salut oldboy3,
 
Tu peux lancer à nouveau Delfix et choisir l'option désinstaller.
 
Pour moi tout est ok.
 
Tu peux éditer ton tout premier poste et indiquer [RESOLU] devant le titre de ton sujet.
 
 
Bonne semaine.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed