Supprimer Win32.Sdbot / Backdoor.SdBot.gen / W32/Sdbot.worm.gen / BKDR_SDBOT / Backdoor/SDBot
W32.Sdbot/Rbot
est une famille de vers (il existe énormément de
variantes) qui se propragent par le réseau via des failles de
sécurités.
On trouve donc ces infections sur des ordinateurs non à jour et sans firewall.
Détection de Sdbot / Rbot
Les variantes étant nombreuses, le noms des fichiers
utilisés par le malware diffèrent, voici quelques
exemples :
C:\Windows\system32\SYSCFG32.EXE
C:\Windows\system32\KERNEL32.EXE
C:\Windows\system32\hpsched.exe
C:\Windows\system32\iexplore.exe
C:\Windows\system32\autoupdate.exe
C:\Windows\system32\nstrue.exe
C:\Windows\system32\spoolsvc.exe
C:\WINDOWS\system32\msconf.exe
C:\WINDOWS\system32\notpad.exe
C:\WINDOWS\system32\TFTP3712 - Les numéros sont aléatoires
C:\WINDOWS\system32\bling.exe
C:\WINDOWS\system32\Isass.exe
c:\WINDOWS\SYSTEM\System32.exe
Exemple de log avec
HijackThis
:
O4 - HKLM\..\Run: [Microsoft Conference] msconf.exe
O4 - HKLM\..\RunServices: [Windows notepad] notpad.exe
O4 - HKLM\..\RunServices: [Microsoft Conference] msconf.exe
O4 - HKCU\..\Run: [Windows notepad] notpad.exe
O4 - HKCU\..\Run: [Microsoft Conference] msconf.exe
O4 - HKCU\..\RunServices: [Windows notepad] notpad.exe
O4 - HKCU\..\RunServices: [Microsoft Conference] msconf.exe
O23 - Service: Local Network Service (algs) - Unknown owner - C:\WINDOWS\scvh0st.exe
O23 - Service: svch0sts (svch0st) - Unknown owner - C:\WINDOWS\svch0st.exe
Suppression Sdbot / Rbot
Avant toute manipulation, assurez
vous qu'un firewall est installé sur l'ordinateur, vous
pouvez installer :
- Téléchargez
et
installez Malwarebyte's Anti-Malware
anti-malware recommandé - ne scannez pas
maintenant avec.
- Téléchargez eScan Antivirus Toolkit : http://www.malekal.com/tutorial_eScan_antivirus_toolkit.html
- Installez eScan Antivirus Toolkit dans le dossier : C:\Kaspersky
- Ouvrez le dossier C:\Kaspersky et double-cliquez sur kavupd.exe
pour le mettre à jour
- Télécharger clean.zip,
décompressez-le
sur votre bureau (clic droit / extraire tout), vous obtenez alors un
dossier clean
- Démarrez Windows en mode sans échec
: Guide
pour redémarrer en mode sans échec
- Ouvrez
le dossier clean qui se trouve sur
ton bureau, et double-cliquez
sur clean.cmd, une fenetre noire va apparaisse
, choisissez l'option 2 et laissez l'operation de nettoyage s'effectuer
- Ouvrez le fichier mwavscan.com
- Cochez les options comme indiquées sur cette page
- Cliquez Scan Clean pour
démarrer le scan et laissez le scan se faire jusqu'au bout.
- Démarrer
un scan COMPLET avec :
- Redémarrez l'ordinateur
- Je vous conseil aussi de scanner votre ordinateur avec un
antivirus à jour, si vous êtes infecté,
il y a des
chances que vous n'en aillez pas, utilisez alors un antivirus en ligne
:
- Enfin Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
- Si vous rencontrez toujours des problèmes,
générez un log à l'aide HijackThis
- mode
d'emploi et venez le poster sur le forum
Redémarrez votre ordinateur en mode normal, si le spyware
est
encore là, rescannez votre ordinateur avec SpyBot et
Ad-Aware.
Autres Liens
Pour plus
d'informations, sur le fonctionnement des spywares et les conseils
à suivre :
Fonctionnement
et suppression des Vers/Spywares/Malwares sous Windows
Guide
de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike,
Winbound, etc..)
