| Sécurité - Backdoor Graybird | |
|
|
Auteur | Message |
---|
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Sécurité - Backdoor Graybird Dim 10 Juil - 22:36 | |
| Depuis passé deux ans que j'ai Internet, c'est la première fois que je n'arrive pas à éliminer un dangereux Trojan.
A savoir un backdoor Graybird (bd, je crois, parce qu'il y a toutes sortes de variantes de ce truc).
Antivir le détecte et permet normalement de le mettre en quarantaine ou d'en dénier l'accès mais il se représente à chaque fois que je redémarre l'ordinateur.
Je connais le nom du dossier dans lequel il est mais avec Windows Explorer, je n'arrive pas à le faire afficher, même en cherchant dans les fichiers cachés.
C'est un truc du style C:\DOCUME~1\JOSIANE\LOCALS~1\MC....TMP.
En vain, j'ai essayé de trouver un lgogiciel de désinfecction.
Toute suggestion serait la bienvenue sauf celle de formater le DD.
Si j'arrivais à faire afficher le répertoire, je pourrais le supprimer.
Dernière édition par le Mar 12 Juil - 5:09, édité 6 fois | |
|
| |
Polichinelle V.I.P.
Nombre de messages : 626 Localisation : Indre, France Date d'inscription : 15/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Dim 10 Juil - 23:36 | |
| Si tu arrives à travailler sous MSDOS, tu peux afficher le repertoire de ton disque et supprimer le fichier ... mais attention plus d'avertissements si tu detruis un fichier important pour Windows... çà ça marche , mais je ne suis plus aussi bon qu'avant pour les commandes de MSDOS | |
|
| |
Polichinelle V.I.P.
Nombre de messages : 626 Localisation : Indre, France Date d'inscription : 15/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Dim 10 Juil - 23:53 | |
| J'ai été voir , dans la rubrique "centre d'aide et supports, tu faits chercher: commandes sous MS DOS et il te sort toutes les commandes accessibles ; pour avoir la liste des fichiers d'un espace disque ... et aussi la liste des commandes accessibles sous DOS | |
|
| |
KiWin Parrain
Nombre de messages : 384 Localisation : Isère - France Date d'inscription : 17/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Dim 10 Juil - 23:59 | |
| Comme le dit Polichinelle supprime les fichiers du virus sous DOS, afin que le trojan soit inactif. Ensuite connection fermée supprime le clé du registre concerné.
Voilà pour chaque version les données à éliminer :
http://www.google.fr/search?as_q=Graybird&num=10&hl=fr&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=lang_fr&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=symantec.fr | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Lun 11 Juil - 1:28 | |
| Merci, j'ai vu, mais je ne suis pas sûre du tout de la version du Graybird.
En plus je ne suis pas à mon aise avec le registre.
Mais une chose dont je suis à peu près sûre, c'est que c'est ce truc qui m'envoie des tas de malwares. Je n'en avais jamais autant auparavant.
Je vais donc essayer en espérant ne pas me tromper. | |
|
| |
KiWin Parrain
Nombre de messages : 384 Localisation : Isère - France Date d'inscription : 17/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Lun 11 Juil - 19:06 | |
| Intéresse toi d'abord à repérer le fichier cités,ce que tu aura trouvé de permettrons d'en déduire la version du trojan et ains tu saura exactement quelles entrées de la BDR supprimer (après avoir effacé sous DOS les dits fichiers, bien sur) | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mar 12 Juil - 0:18 | |
| C'est bien ce que j'essaie de faire. Mais ce n'est pas facile à identifier. | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mar 12 Juil - 8:20 | |
| Rien à faire : j'ai essayé un tas de trucs que j'ai trouvé de différents côtés.
Je supprime le trojan après l'avoir mis en quarantaine mais il refait surface chaque fois que je redémarre le PC.
Pour moi, ça devrait vouloir dire qu'il s'est intégré dans une clé de registre qui concerne un des logiciels qui se lancent automatiquemeht au démarrage. | |
|
| |
Polichinelle V.I.P.
Nombre de messages : 626 Localisation : Indre, France Date d'inscription : 15/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mar 12 Juil - 13:39 | |
| J'ai bien peur que tu ne sois amenée à formater...Helas, et je dirais à ce salopard qui envoie des virus , et s'ils sont plusieurs , tant mieux , que si je le chope , je lui arrange le portrait de telle façon que la door , refermée sur sa G... ne lui fera plus aucun mal... c'est promis... et j'ai aussi Merlin l'enchanteur pour finir le boulot... | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mar 12 Juil - 13:52 | |
| Je vais pas formater.
Cela ne servirait à rien. | |
|
| |
KiWin Parrain
Nombre de messages : 384 Localisation : Isère - France Date d'inscription : 17/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mar 12 Juil - 20:23 | |
| Ramsès, sert-toi de mon prog et copie moi le résultat :
http://kiwin.free.fr/temp/MyRun.exe | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mar 12 Juil - 22:33 | |
| Je viens de l'essayer mais apparemment, ça ne donne rien du tout.
Le programme ouvre une fenêtre DOS et puis la fenêtre disparait en un éclair sans que j'aie pu lire quoi que ce soit.
En fait, ce qui doit se passer, c'est que le trojan est caché dans un programme qui se lance automatiquement au démarrage mais je n'arrive pas à trouver lequel.
En plus, mes différentes manipulations m'ont fait découvrri des fichiers BackWeb que je n'ai pas sollicités. Je les ai effacés mais je crois que je n'ai pas supprimé la clé de registre faute de la trouver. | |
|
| |
KiWin Parrain
Nombre de messages : 384 Localisation : Isère - France Date d'inscription : 17/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mer 13 Juil - 5:02 | |
| Tu dois être sous WXP non ?
Les clés de démarrage sont :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mer 13 Juil - 5:45 | |
| Oui mais à part RUN, rien ne s'affiche quand je teste avec a² hijack free.
Faut trouver la clé ! Pas facile. | |
|
| |
KiWin Parrain
Nombre de messages : 384 Localisation : Isère - France Date d'inscription : 17/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mer 13 Juil - 6:46 | |
| Donne la liste ici qu'on voit | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Lun 18 Juil - 0:44 | |
| KiWin, je te remercie pour tout le travail de recherche que tu as fait pour moi et les heures que ça a pris sur ton temps libre.
En désespoir de cause, vu que je pense qu'Antivir pourrait être lui-même à l'origine de ce truc que je n'arrive pas à effacer (j'ai bien noté tout ce que tu m'as dit de faire), je me suis inscrite sur le forum d'Antivir.
Pas évident pour tout le monde vu que le formulaire d'inscription est en allemand. Mais bon, j'ai quand même pu m'inscrire et poser ma question en anglais.
Maintenant, j'attends une réponse.
Si j'en reçois une, je l'indiquerai ici parce que ça pourrait être utile à d'autres. | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Lun 18 Juil - 1:09 | |
| J'ai reçu une réponse comme quoi ce serait PestPatrol qui donnerait des perturbatiions.
Arf, je vais essayer en le désactivant.
Le feuilleton pas comique continue ! | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mer 27 Juil - 5:09 | |
| D'après ce que je constate, ce devait bien être PestPatrol qui me provoquait ce phénomène.
Je ne vais donc plus le réactiver. D'ailleurs, je ne vais pas renouveler l'abonnement. | |
|
| |
KiWin Parrain
Nombre de messages : 384 Localisation : Isère - France Date d'inscription : 17/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mer 27 Juil - 6:10 | |
| - Ramsès II a écrit:
- D'après ce que je constate, ce devait bien être PestPatrol qui me provoquait ce phénomène.
Je ne vais donc plus le réactiver. D'ailleurs, je ne vais pas renouveler l'abonnement. PestPastrol est une peste... Content que ton pb soit résolu. | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mer 27 Juil - 7:44 | |
| Merci.
Quand je pense au temps que toi et moi avons passé là-dessus ! | |
|
| |
KiWin Parrain
Nombre de messages : 384 Localisation : Isère - France Date d'inscription : 17/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Mer 27 Juil - 19:14 | |
| Oh pas temps que ça... | |
|
| |
Ramsès II Co-administrateur
Nombre de messages : 1771 Localisation : Bruxelles Date d'inscription : 10/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Lun 1 Aoû - 1:35 | |
| Dernière nouvelle : il semblerait que ce malfaisaisant ou un autre ait fait quelques dégâts dans mes logiciels.
Pour le moment, je n'ai encore détecté de problème que pour mon logiciel de sauvegarde de mes mails : Outlook Express Backup Genie.
Qui ne fonctionne plus et que je ne peux même plus réinstaller avec le setup téléchargé.
Il a fallu plusieurs jours pour que j'aie une réponse du support et ce après avoir retrouvé le mail de confirmation de commande indiquant le numéro de la commande et la clé de produit.
Je vais donc essayer de le retélécharger en utilisant la nouvelle clé qui m'a été fournie. | |
|
| |
KiWin Parrain
Nombre de messages : 384 Localisation : Isère - France Date d'inscription : 17/06/2005
| Sujet: Re: Sécurité - Backdoor Graybird Lun 1 Aoû - 20:49 | |
| Etant donné que Graybird circule via e-mail, on peut raisonnablement supposer qu'un antivirus ait modifié ton fichier de sauvegarde et donc celà aurait pu poser pb à Outlook Express Backup Genie.
D'ailleurs il sert à qui ce Outlook Express Backup Genie ? | |
|
| |
Contenu sponsorisé
| Sujet: Re: Sécurité - Backdoor Graybird | |
| |
|
| |
| Sécurité - Backdoor Graybird | |
|