Sdbot:
est un ver qui se propage via des failles de sécurité, c'est pourquoi il est important de tenir à jour son windows!
exemple de ligne dans un rapport Hijackthis:
C:\WINDOWS\system32\msconf.exe
C:\WINDOWS\system32\notpad.exe
O4 - HKLM\..\Run: [Microsoft Conference] msconf.exe
O4 - HKLM\..\RunServices: [Windows notepad] notpad.exe
Préliminaires
- Important 1, Si vous avez Vista ou 7 :
o Vous devez désactiver l'UAC le temps de la désinfection.
- Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il risque de gêner la désinfection:
o Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
o A gauche, cliquez sur Outils, puis sur Résident.
o Décochez la case devant Résident "TeaTimer" puis quittez Spybot :
Méthodes de désinfection
Plusieurs solutions sont envisageables:
Première méthode de désinfection
L'éditeur d'antivirus Sophos à mis au point un kit de désinfection permettant de supprimer les variantes suivantes du Virus W32.SDBot suivantes :
- W32/Sdbot-CAF
- W32/Sdbot-DP
- Troj/Sdbot-GG
- W32/Sdbot-H
- W32/Sdbot-HP
- W32/Sdbot-IU
- W32/Sdbot-KF
- W32/Sdbot-L
- W32/Sdbot-OV
- W32/Sdbot-QC
- W32/Sdbot-RY
- W32/Sdbot-TW
- W32/Sdbot-XC
- W32/Sdbot-YI
- W32/Sdbot-ZE
- W32/Sdbot-ACG
Télécharger le kit de désinfection :
www.commentcamarche.net
ou
www.sophos.fr
Pour plus d'informations
Après avoir supprimé le ver, il est nécessaire d'appliquer
un correctif Windows pour éviter qu'il ne revienne
Deuxième méthode :MalwareBytes' Anti-Malware
- Téléchargez Malwarebytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
- Installez le logiciel.
- S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
- Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
- Démarrez en mode sans échec.
- Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs.
- Une fois le scan terminé, cliquez sur supprimer (Si un message demande à redémarrer le PC, acceptez !)
Troisième méthode : Super antispyware
- Téléchargez SUPERAntiSpyware (SAS) puis installez le et mettez le à jour.
- Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
- Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
- Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.
Quatrième méthode : Combofix
Pour tous les lecteurs :
-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!
- Faire un clic droit ici.
- Choisir : Enregistrer la cible du lien sous
- Choisir le Bureau comme destination.
- Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
- Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
- Déconnectez-vous d'Internet et fermez toutes les applications et programmes.
- Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir "Exécuter en tant qu'administrateur").
- Acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP).
- Le rapport sera créé sous la racine : C:Combofix.txt
Autres méthodes de désinfection
SDFIX (sous windows 2000 et XP)
actuellement non mis a jour depuis un certain temps ... donc il ne sera efficace que contre d'anciennes infections mais Sdbot provenant d'un pc non à jour , il sera cependant très efficace car il a été conçu pour désinfecter justement les pc contenant des failles de sécurité.
- Téléchargez SDFix (créé par AndyManchesta) et sauvegardez le sur ton Bureau.
- Double cliquez sur SDFix.exe et choisissez Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarrez votre ordinateur en mode sans échec en suivant la procédure que voici :
- Redémarrez ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapotez la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisissez la première option, pour exécuter Windows en mode sans échec, puis appuiez sur "Entrée".
- Choisissez votre compte.
- Déroulez la liste des instructions ci-dessous :
- Ouvrez le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliquez sur RunThis.bat pour lancer le script.
- Appuyez sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis vous demandera d'appuyer sur une touche pour redémarrer.
- Appuyez sur une touche pour redémarrer le PC.
- Votre système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuyez sur une touche pour finir l'exécution du script et charger les icônes de votre Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copiez/collez le contenu du fichier Report.txt dans votre prochaine réponse sur le forum "Virus/Sécurité"
Après nettoyage
- Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.
Bitdefender en ligne
Kaspersky en ligne
Panda en ligne
Informations supplémentaires
http://www.malekal.com/Win32.Sdbot.php
http://vil.nai.com/vil/content/v_100454.htm