[Resolu]Trojan et abnow [2]

[anthov3]

Bonjour a tous j'ai le meme problem je suis infecté par le virus abnow j'ai suivis tout les conseils du topic le seul problem c'est que apres avoir supprimé tout ce que malwarebytes ai detecté il me demande de redemarer le pc pour que tout sois correctement bien supprimé et au redemarrage lordi ne veut plus aller sur le bureau j'ai ete obligé de restauré le system et donc faire appel a vos conseil je vous poste ci dessous le resultat du programme

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 541050

Temps écoulé: 1 heure(s), 29 minute(s), 4 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 1

C:\ProgramData\AnnoxhurNumz.dll (Trojan.Zbot.FMC) -> Aucune action effectuée.

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Windows Time (Trojan.Zbot.FMC) -> Données: rundll32.exe "C:\ProgramData\AnnoxhurNumz.dll",EntryPoint -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Données: C:\Users\Utilisateur\AppData\Local\866d5dbd\X -> Aucune action effectuée.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 16

C:\ProgramData\AnnoxhurNumz.dll (Trojan.Zbot.FMC) -> Aucune action effectuée.

C:\Program Files (x86)\Fruit Ninja HD\TDU.exe (Packer.ModifiedUPX) -> Aucune action effectuée.

C:\Users\Utilisateur\AppData\Local\866d5dbd\X (Rootkit.0Access) -> Aucune action effectuée.

C:\Users\Utilisateur\AppData\Local\866d5dbd\U\800000cb.@ (Rootkit.0Access) -> Aucune action effectuée.

C:\Users\Utilisateur\AppData\Local\866d5dbd\U\800000cf.@ (Rootkit.0Access) -> Aucune action effectuée.

C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M74L0PET\10[1].exe (Trojan.Zbot.FMC) -> Aucune action effectuée.

C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M74L0PET\3[1].exe (Trojan.Dropper.PE4) -> Aucune action effectuée.

C:\Users\Utilisateur\AppData\Local\Temp\4E0A.tmp (Trojan.Zbot.FMC) -> Aucune action effectuée.

C:\Windows\assembly\tmp\U\00000001.@ (Rootkit.0Access) -> Aucune action effectuée.

C:\Windows\assembly\tmp\U\000000cb.@ (Trojan.Agent) -> Aucune action effectuée.

C:\Windows\assembly\tmp\U\800000c0.@ (Rootkit.0Access) -> Aucune action effectuée.

C:\Windows\assembly\tmp\U\800000cb.@ (Rootkit.0Access) -> Aucune action effectuée.

C:\Windows\assembly\tmp\U\800000cf.@ (Rootkit.0Access) -> Aucune action effectuée.

C:\Users\UpdatusUser.Utilisateur-HP\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Aucune action effectuée.

C:\Users\Utilisateur\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Aucune action effectuée.

C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Aucune action effectuée.

 

(fin)

Modifié le 1 mars 2012 par anthov3

[anthov3]

desolé je croie qu'il faut cree un autre topic je voie que ca etais fais y a t'il quelqun pour m'aider s'il vous plait merci

[Apollo]

Bonsoir,

 

Infection grave, on va faire ce qu'on peut

 

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

Lien 2

Lien 3

Lien 4

 

 

http://download.bleepingcomputer.com/grinler/WiNlOgOn.exe

 

Enregistrer le fichier sur le Bureau.

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware. Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître. (c'est très rapide)

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les cinq liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

Ne redémarre pas le pc!

 

---------------------------

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

+++

Modifié le 29 février 2012 par Apollo

[anthov3]

re bonsoir alors pour la premiere solution impossible de telecharger le programme la page internet me met une erreur a chaque fois et pour TDSS le rapport me sort rien du tout NO THREATS FOUND je ne sais pas du tout quoi faire

[Apollo]

Ok il faudra que je vérifie mes liens pour Rkill

 

Le principal, c'est que TDSSKiller a pu être lancé.

 

Utilise ComboFix.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

++

[anthov3]

re bonsoir , alors tout dabbord quand je veut enregistrer le fichier que tu me propose ca me ferme modzilla ensuite j'ai essayer tout a l heure de lancer combofix impossible une mini fenetre bleu arrive et se referme aussi vite jai essayer de le lancer en mode sans echec ca me fais planter le pc avec un ecran tout bleu

[Apollo]

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

[anthov3]

Demarrage : Mode normal

Utilisateur: Utilisateur [Droits d'admin]

Mode: Recherche -- Date: 01/03/2012 00:20:55

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 5 ¤¤¤

[bLACKLIST DLL] HKCU\[...]\Run : Windows Time (rundll32.exe "C:\ProgramData\AnnoxhurNumz.dll",EntryPoint) -> FOUND

[bLACKLIST DLL] HKUS\S-1-5-21-4123693849-1428121721-3380317600-1000[...]\Run : Windows Time (rundll32.exe "C:\ProgramData\AnnoxhurNumz.dll",EntryPoint) -> FOUND

[sUSP PATH] {F0A23D7A-4678-44BC-87C4-39D5333F638F}.job : C:\Users\Utilisateur\Desktop\football manager 2012\fm.exe -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] sys32\consrv.dll present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST31000528AS +++++

--- User ---

[MBR] 7c19be071ff42c1242d8625aaa78e743

[bSP] ffa795d8b182acd281f7ee0e16ec5890 : Windows Vista/7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939582 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924471233 | Size: 14184 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: ST31000528AS +++++

--- User ---

[MBR] 9b631bf3928a025932425de73c85b061

[bSP] b3393066dab7e85e0def79b0c5498e47 : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

[Apollo]

Ok,

 

relance l'outil et choisis suppression; poste le rapport.

 

Désinstalle ComboFix avec la commande démarrer/exécuter (ou Windows + R) et copie/colle: combofix /uninstall

 

(respecte l'espace).

 

Réinstalle combofix mais exactement comme je l'ai expliqué, c'est à dire en le renommant avant de l'enregistrer sur le bureau (et pas ailleurs).

 

lance-le après avoir désactivé les protections AV etc.

 

@++

[anthov3]

voici le rapport

 

RogueKiller V7.2.1 [29/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Utilisateur [Droits d'admin]

Mode: Suppression -- Date: 01/03/2012 00:31:47

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] sys32\consrv.dll present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST31000528AS +++++

--- User ---

[MBR] 7c19be071ff42c1242d8625aaa78e743

[bSP] ffa795d8b182acd281f7ee0e16ec5890 : Windows Vista/7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939582 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924471233 | Size: 14184 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: ST31000528AS +++++

--- User ---

[MBR] 9b631bf3928a025932425de73c85b061

[bSP] b3393066dab7e85e0def79b0c5498e47 : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

Je vais faire combofix