Sécurité - Backdoor Graybird

Depuis passé deux ans que j'ai Internet, c'est la première fois que je n'arrive pas à éliminer un dangereux Trojan.

A savoir un backdoor Graybird (bd, je crois, parce qu'il y a toutes sortes de variantes de ce truc).

Antivir le détecte et permet normalement de le mettre en quarantaine ou d'en dénier l'accès mais il se représente à chaque fois que je redémarre l'ordinateur.

Je connais le nom du dossier dans lequel il est mais avec Windows Explorer, je n'arrive pas à le faire afficher, même en cherchant dans les fichiers cachés.

C'est un truc du style C:\DOCUME~1\JOSIANE\LOCALS~1\MC....TMP.

En vain, j'ai essayé de trouver un lgogiciel de désinfecction.

Toute suggestion serait la bienvenue sauf celle de formater le DD.

Si j'arrivais à faire afficher le répertoire, je pourrais le supprimer.

Si tu arrives à travailler sous MSDOS, tu peux afficher le repertoire de ton disque et supprimer le fichier ... mais attention plus d'avertissements si tu detruis un fichier important pour Windows... çà ça marche , mais je ne suis plus aussi bon qu'avant pour les commandes de MSDOS

J'ai été voir , dans la rubrique "centre d'aide et supports, tu faits chercher: commandes sous MS DOS et il te sort toutes les commandes accessibles ; pour avoir la liste des fichiers d'un espace disque ... et aussi la liste des commandes accessibles sous DOS

Comme le dit Polichinelle supprime les fichiers du virus sous DOS, afin que le trojan soit inactif. Ensuite connection fermée supprime le clé du registre concerné.

Voilà pour chaque version les données à éliminer :

http://www.google.fr/search?as_q=Graybird&num=10&hl=fr&btnG=Recherche+Google&as_epq=&as_oq=&as_eq=&lr=lang_fr&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=symantec.fr

Merci, j'ai vu, mais je ne suis pas sûre du tout de la version du Graybird.

En plus je ne suis pas à mon aise avec le registre.

Mais une chose dont je suis à peu près sûre, c'est que c'est ce truc qui m'envoie des tas de malwares. Je n'en avais jamais autant auparavant.

Je vais donc essayer en espérant ne pas me tromper.

Intéresse toi d'abord à repérer le fichier cités,ce que tu aura trouvé de permettrons d'en déduire la version du trojan et ains tu saura exactement quelles entrées de la BDR supprimer (après avoir effacé sous DOS les dits fichiers, bien sur)

C'est bien ce que j'essaie de faire. Mais ce n'est pas facile à identifier.

Rien à faire : j'ai essayé un tas de trucs que j'ai trouvé de différents côtés.

Je supprime le trojan après l'avoir mis en quarantaine mais il refait surface chaque fois que je redémarre le PC.

Pour moi, ça devrait vouloir dire qu'il s'est intégré dans une clé de registre qui concerne un des logiciels qui se lancent automatiquemeht au démarrage.

J'ai bien peur que tu ne sois amenée à formater...Helas, et je dirais à ce salopard qui envoie des virus , et s'ils sont plusieurs , tant mieux , que si je le chope , je lui arrange le portrait de telle façon que la door , refermée sur sa G... ne lui fera plus aucun mal... c'est promis... et j'ai aussi Merlin l'enchanteur pour finir le boulot...

Je vais pas formater.

Cela ne servirait à rien.

Ramsès, sert-toi de mon prog et copie moi le résultat :

http://kiwin.free.fr/temp/MyRun.exe

Je viens de l'essayer mais apparemment, ça ne donne rien du tout.

Le programme ouvre une fenêtre DOS et puis la fenêtre disparait en un éclair sans que j'aie pu lire quoi que ce soit.

En fait, ce qui doit se passer, c'est que le trojan est caché dans un programme qui se lance automatiquement au démarrage mais je n'arrive pas à trouver lequel.

En plus, mes différentes manipulations m'ont fait découvrri des fichiers BackWeb que je n'ai pas sollicités. Je les ai effacés mais je crois que je n'ai pas supprimé la clé de registre faute de la trouver.

Tu dois être sous WXP non ?

Les clés de démarrage sont :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Oui mais à part RUN, rien ne s'affiche quand je teste avec a² hijack free.

Faut trouver la clé ! Pas facile.

Donne la liste ici qu'on voit

KiWin, je te remercie pour tout le travail de recherche que tu as fait pour moi et les heures que ça a pris sur ton temps libre.

En désespoir de cause, vu que je pense qu'Antivir pourrait être lui-même à l'origine de ce truc que je n'arrive pas à effacer (j'ai bien noté tout ce que tu m'as dit de faire), je me suis inscrite sur le forum d'Antivir.

Pas évident pour tout le monde vu que le formulaire d'inscription est en allemand. Mais bon, j'ai quand même pu m'inscrire et poser ma question en anglais.

Maintenant, j'attends une réponse.

Si j'en reçois une, je l'indiquerai ici parce que ça pourrait être utile à d'autres.

J'ai reçu une réponse comme quoi ce serait PestPatrol qui donnerait des perturbatiions.

Arf, je vais essayer en le désactivant.

Le feuilleton pas comique continue !

D'après ce que je constate, ce devait bien être PestPatrol qui me provoquait ce phénomène.

Je ne vais donc plus le réactiver. D'ailleurs, je ne vais pas renouveler l'abonnement.

Ramsès II a écrit:

D'après ce que je constate, ce devait bien être PestPatrol qui me provoquait ce phénomène.

Je ne vais donc plus le réactiver. D'ailleurs, je ne vais pas renouveler l'abonnement.

PestPastrol est une peste...

Content que ton pb soit résolu.

Merci.

Quand je pense au temps que toi et moi avons passé là-dessus !

Oh pas temps que ça...

Dernière nouvelle : il semblerait que ce malfaisaisant ou un autre ait fait quelques dégâts dans mes logiciels.

Pour le moment, je n'ai encore détecté de problème que pour mon logiciel de sauvegarde de mes mails : Outlook Express Backup Genie.

Qui ne fonctionne plus et que je ne peux même plus réinstaller avec le setup téléchargé.

Il a fallu plusieurs jours pour que j'aie une réponse du support et ce après avoir retrouvé le mail de confirmation de commande indiquant le numéro de la commande et la clé de produit.

Je vais donc essayer de le retélécharger en utilisant la nouvelle clé qui m'a été fournie.

Etant donné que Graybird circule via e-mail, on peut raisonnablement supposer qu'un antivirus ait modifié ton fichier de sauvegarde et donc celà aurait pu poser pb à Outlook Express Backup Genie.

D'ailleurs il sert à qui ce Outlook Express Backup Genie ?