Sécurité - Backdoor Graybird

Ramsès II

Depuis passé deux ans que j'ai Internet, c'est la première fois que je n'arrive pas à éliminer un dangereux Trojan.

A savoir un backdoor Graybird (bd, je crois, parce qu'il y a toutes sortes de variantes de ce truc).

Antivir le détecte et permet normalement de le mettre en quarantaine ou d'en dénier l'accès mais il se représente à chaque fois que je redémarre l'ordinateur.

Je connais le nom du dossier dans lequel il est mais avec Windows Explorer, je n'arrive pas à le faire afficher, même en cherchant dans les fichiers cachés.

C'est un truc du style C:\DOCUME~1\JOSIANE\LOCALS~1\MC....TMP.

En vain, j'ai essayé de trouver un lgogiciel de désinfecction.

Toute suggestion serait la bienvenue sauf celle de formater le DD.

Si j'arrivais à faire afficher le répertoire, je pourrais le supprimer.

_________________
Compte 01 - Co-admin du Village
Villa n°1 - Au bonheur des deux Ramsès
http://users.skynet.be/pharaon.ramses/sitedesdeuxramses/index.html
http://forumsoireesympa.forumactif.com/index.forum

Polichinelle

Si tu arrives à travailler sous MSDOS, tu peux afficher le repertoire de ton disque et supprimer le fichier ... mais attention plus d'avertissements si tu detruis un fichier important pour Windows... çà ça marche , mais je ne suis plus aussi bon qu'avant pour les commandes de MSDOS

_________________
Polichinelle

Polichinelle

J'ai été voir , dans la rubrique "centre d'aide et supports, tu faits chercher: commandes sous MS DOS et il te sort toutes les commandes accessibles ; pour avoir la liste des fichiers d'un espace disque ... et aussi la liste des commandes accessibles sous DOS

_________________
Polichinelle

KiWin

Comme le dit Polichinelle supprime les fichiers du virus sous DOS, afin que le trojan soit inactif. Ensuite connection fermée supprime le clé du registre concerné.

Voilà pour chaque version les données à éliminer :

http://www.google.fr/search?as_q=Graybird&num=10&hl=fr&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=lang_fr&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=symantec.fr

_________________
Compte n° 5 - Policier / "Chez KiWin" n°3 - "Mon petit chez moi" n° 4
A LOUER : Belle petite maison avec un beau petit jardin NEUVE : 150 rams/mois

Ramsès II

Merci, j'ai vu, mais je ne suis pas sûre du tout de la version du Graybird.

En plus je ne suis pas à mon aise avec le registre.

Mais une chose dont je suis à peu près sûre, c'est que c'est ce truc qui m'envoie des tas de malwares. Je n'en avais jamais autant auparavant.

Je vais donc essayer en espérant ne pas me tromper.

KiWin

Intéresse toi d'abord à repérer le fichier cités,ce que tu aura trouvé de permettrons d'en déduire la version du trojan et ains tu saura exactement quelles entrées de la BDR supprimer (après avoir effacé sous DOS les dits fichiers, bien sur)

_________________
Compte n° 5 - Policier / "Chez KiWin" n°3 - "Mon petit chez moi" n° 4
A LOUER : Belle petite maison avec un beau petit jardin NEUVE : 150 rams/mois

Ramsès II

C'est bien ce que j'essaie de faire. Mais ce n'est pas facile à identifier.

Ramsès II

Rien à faire : j'ai essayé un tas de trucs que j'ai trouvé de différents côtés.

Je supprime le trojan après l'avoir mis en quarantaine mais il refait surface chaque fois que je redémarre le PC.

Pour moi, ça devrait vouloir dire qu'il s'est intégré dans une clé de registre qui concerne un des logiciels qui se lancent automatiquemeht au démarrage.

Polichinelle

J'ai bien peur que tu ne sois amenée à formater...Helas, et je dirais à ce salopard qui envoie des virus , et s'ils sont plusieurs , tant mieux , que si je le chope , je lui arrange le portrait de telle façon que la door , refermée sur sa G... ne lui fera plus aucun mal... c'est promis... et j'ai aussi Merlin l'enchanteur pour finir le boulot...

_________________
Polichinelle

Ramsès II

Je vais pas formater.

Cela ne servirait à rien.

KiWin

Ramsès, sert-toi de mon prog et copie moi le résultat :

http://kiwin.free.fr/temp/MyRun.exe

_________________
Compte n° 5 - Policier / "Chez KiWin" n°3 - "Mon petit chez moi" n° 4
A LOUER : Belle petite maison avec un beau petit jardin NEUVE : 150 rams/mois

Ramsès II

Je viens de l'essayer mais apparemment, ça ne donne rien du tout.

Le programme ouvre une fenêtre DOS et puis la fenêtre disparait en un éclair sans que j'aie pu lire quoi que ce soit.

En fait, ce qui doit se passer, c'est que le trojan est caché dans un programme qui se lance automatiquement au démarrage mais je n'arrive pas à trouver lequel.

En plus, mes différentes manipulations m'ont fait découvrri des fichiers BackWeb que je n'ai pas sollicités. Je les ai effacés mais je crois que je n'ai pas supprimé la clé de registre faute de la trouver.

KiWin

Tu dois être sous WXP non ?

Les clés de démarrage sont :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

_________________
Compte n° 5 - Policier / "Chez KiWin" n°3 - "Mon petit chez moi" n° 4
A LOUER : Belle petite maison avec un beau petit jardin NEUVE : 150 rams/mois

Ramsès II

Oui mais à part RUN, rien ne s'affiche quand je teste avec a² hijack free.

Faut trouver la clé ! Pas facile.

KiWin

Donne la liste ici qu'on voit Smile

_________________
Compte n° 5 - Policier / "Chez KiWin" n°3 - "Mon petit chez moi" n° 4
A LOUER : Belle petite maison avec un beau petit jardin NEUVE : 150 rams/mois