Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus abnow [suite]


 Share

Messages recommandés

Re-bonjour!
ce sujet fait suite à celui du 8mars.
sur : (comme c'est écrit dans le sujet) la Redirection des requêtes Google du virus abnow.


Après installation du tdsskiller, voici le rapport généré:

Lien du rapport supprimé

merci d'avance à Apollo;-)

numa

Modifié par Yann
Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Tu disais avoir été infectée par Smart Fortress, avec quoi l'as-tu traîté?

 

Tu as demande une aide ailleurs pour désinfecter ce rogue?

 

Comment la la machine?

 

Fais ces vérifications de sécurité stp: f_olive.gif

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

--------------

Lance cet outil de diagnostic:

Télécharger Zhpdiag

Ce message apparait:

Ce site ne fait pas partie du réseau Skyrock.com, ne donne jamais ton pseudo et ton mot de passe Skyrock.com, n'envoie aucun SMS, ne procède à aucun paiement...

Tu n'es plus protégé par les conditions générales d'utilisation de Skyrock.com.

Cliquez sur Continuer

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

zhp0710.png

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

120403104704343592.jpg

 

Cliquezsur le bouton 12040309492645704.jpg en haut, à droite et choisissez Tous

Pour éviter un blocage, décoche 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Poste le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton 120403100123645840.jpg en haut, à droite

Appuye sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

ou via Accueil de Cjoint.com

 

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Oui .
Je l'ai traité avec procexp.exe
en suivant la video de britec sur


puis installer le malwarebytes.
ca a marché. la machine va bien.

Et voila le Lien du rapport supprimé
Lien vers le commentaire
Partager sur d’autres sites

Mmmh, il devait être accompagné par zero access ton smart forteress; une grosse saleté encore.

Bon on commence d'abord par ceci:

1) ZHPFix :

  • Ferme toutes les applications ouvertes
  • Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
    Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
  • Clique sur H h_zhpf10.jpg.
  • Copie-colle les lignes ci-dessous dans la fenêtre

 

M3 - MFPP: Plugins - [manuella.bitor] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\babylon.xml
M2 - MFEP: prefs.js [EB - qrunqixc.default\[email protected]] [] Babylon v1.2.0 (.Babylon.) R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = [url=http://search.babylon.com]Babylon Search[/url]
O1 - Hosts: 68.168.222.226 www.google-analytics.com.
O1 - Hosts: 68.168.222.226 ad-emea.doubleclick.net.
O1 - Hosts: 68.168.222.226 www.statcounter.com.
O1 - Hosts: 108.163.215.51 www.google-analytics.com.
O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.
O1 - Hosts: 108.163.215.51 www.statcounter.com.
O2 - BHO: Babylon toolbar helper [64Bits] - {2EECD738-5844-4a99-B4B6-146BF802613B} . (.Babylon BHO - Pas de description.) -- C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll
O4 - HKCU\..\Run: [Media Finder] C:\Program Files (x86)\Media Finder\MF.exe (.not file.)
O4 - HKUS\S-1-5-21-3974044980-275399278-2014494881-1687\..\Run: [Media Finder] C:\Program Files (x86)\Media Finder\MF.exe (.not file.)
O8 - Extra context menu item: Download with &Media Finder - (.not file.) - C:\Program Files (x86)\Media Finder\hook.html
O42 - Logiciel: Babylon toolbar on IE - (.Pas de propriétaire.) [HKLM] -- BabylonToolbar
O42 - Logiciel: OfferBox - (.Secure Digital Services.) [HKLM] -- {2C8574B5-6935-4FCE-860E-F4E8602378FF}
[HKCU\Software\BabylonToolbar]
[HKLM\Software\Babylon]
O43 - CFD: 12/03/2012 - 11:28:45 - [1,725] ----D C:\Program Files (x86)\BabylonToolbar
O43 - CFD: 27/04/2010 - 11:21:36 - [0,017] ----D C:\Program Files (x86)\OfferBoxSearch
O43 - CFD: 12/03/2012 - 11:28:37 - [0,003] ----D C:\Users\manuella.bitor\AppData\Roaming\Babylon
O43 - CFD: 03/04/2012 - 14:27:35 - [0,015] ----D C:\Users\manuella.bitor\AppData\Roaming\Media Finder
O43 - CFD: 12/03/2012 - 11:28:38 - [3,521] ----D C:\Users\manuella.bitor\AppData\Local\Babylon
O44 - LFC:[MD5.19241AED1D64E9D9AC6E32C0A23C7C76] - 12/03/2012 - 10:28:46 ---A- . (...) -- C:\user.js [237]
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.babExt", "");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110482");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.hardId", "d2f33196000000000000a4badbe870c9");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.id", "d2f33196000000000000a4badbe870c9");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.instlDay", "15411");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.newTab", false);
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1710:28:45");
O69 - SBI: prefs.js [manuella.bitor - qrunqixc.default] user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Search the web (Babylon)) - [url=http://search.babylon.com]Babylon Search[/url]
O69 - SBI: SearchScopes [HKCU] {0EFF8F55-722C-47E8-97EB-61C1AB163AA4} - (Search the web (Babylon)) - [url=http://search.babylon.com]Babylon Search[/url]
[HKLM\Software\WOW6432Node\Classes\AppID\esrv.EXE]
[HKLM\Software\WOW6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{291BCCC1-6890-484a-89D3-318C928DAC1B}]
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2C8574B5-6935-4FCE-860E-F4E8602378FF}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKLM\Software\WOW6432Node\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}]
[HKLM\Software\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}]
[HKLM\Software\WOW6432Node\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}]
[HKLM\Software\WOW6432Node\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}]
[HKLM\Software\WOW6432Node\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]
[HKLM\Software\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]
[HKLM\Software\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}]
[HKLM\Software\WOW6432Node\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}]
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}]
[HKLM\Software\WOW6432Node\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}]
[HKLM\Software\WOW6432Node\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[HKLM\Software\WOW6432Node\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}]
[HKLM\Software\WOW6432Node\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}]
[HKLM\Software\WOW6432Node\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}]
[HKLM\Software\WOW6432Node\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}]
[HKLM\Software\WOW6432Node\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}]
[HKLM\Software\WOW6432Node\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}]
[HKLM\Software\WOW6432Node\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}]
[HKLM\Software\WOW6432Node\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}]
[HKLM\Software\WOW6432Node\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]
[HKLM\Software\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]
[HKLM\Software\WOW6432Node\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}]
[HKLM\Software\WOW6432Node\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}]
[HKLM\Software\WOW6432Node\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}]
[HKLM\Software\WOW6432Node\BabylonToolbar]
[HKLM\Software\Wow6432Node\Martin Prikryl\OpenCandy]
C:\Program Files (x86)\BabylonToolbar
C:\Program Files (x86)\OfferBoxSearch
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\media finder
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OfferBox
C:\Users\manuella.bitor\AppData\Roaming\Babylon
C:\Users\manuella.bitor\AppData\Roaming\media finder
C:\Users\manuella.bitor\AppData\Local\Babylon
C:\Users\manuella.bitor\AppData\Local\Temp\BabylonToolbar
C:\Users\manuella.bitor\AppData\Roaming\Mozilla\Firefox\Profiles\qrunqixc.default\Extensions\[email protected]
firewallraz
emptytemp
emptyflash
  • Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.

    Clique sur le bouton GO pour lancer le nettoyage

  • Valide par Oui la désinstallation des programmes si demandé
  • Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
    Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.


2) Télécharge AdwCleaner par Xplode: ©©chargements - Outils de Xplode - AdwCleaner

Enregistre-le sur le bureau (et pas ailleurs).

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.
Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

Clique sur Suppression et laisse travailler l'outil.

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

-------------------------

@++

Lien vers le commentaire
Partager sur d’autres sites

Ok,

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

sshot-1-2dabd4e.jpg

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

object2scan-2d7aef9.jpg

 

Et coche les 2 options supplémentaires:

 

addoptions-2d7af1d.jpg

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

2663-2-eng-2f88df2.png

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

++

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

SDdriver ( Backdoor.Multi.ZAccess.gen ) - User select action: Delete
Le voilà ce salopard.

 

TSSSKiller n'a pas proposé Cure dessus?

 

Le pc va bien?

Lien vers le commentaire
Partager sur d’autres sites

Nan TSSSKiller n'a proposé aucune Cure mais un delete .

 

le PC va encore bien!

..il ne devrait pas avec un virus comme ça..?

Lien vers le commentaire
Partager sur d’autres sites

Ben ZAccess n'est pas un enfant de choeur hein, c'est parfois un très dur à cuire.

 

Ici il doit s'agir d'un "clone" vu sa dénomination gen, mais ça n'en reste pas moins un rootkit qu'il valait mieux faire disparaître avant qu'il ne rameute des copains...

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...