Virus/Cheval de troie Zbot.gen!3 Résolu/Fermé

Question

Bonjour,
Norton internet security détecte depuis aujourd'hui des menaces par le virus suivant Trojan.Zbot!gen3 mais ne le supprime pas et l'alerte revient plusieurs fois.

Comment supprimer ce virus s'il vous plaît ?

Windows Vista SP1.

Merci par avance !

nephros · Answer

Salut. As-tu encore ton problème avec ce misèrable cheval de troie? Pour t'aider, j'ai besoin de ta réponse! Evident! Réponds dés que tu le peux, et je t'indiquerai la marche à suivre dans ce contexte...

Lepersque · Answer

Norton tu dis... je te plains.  Tu peux toujours téléphoner à leur centre d'aide mais Symantec exigera 50 Euros ou 100$ pour te débarrasser du virus, infection dont à prime abord Symantec devait te protéger, à tout le moins guérir.  Symantec c'est de la merde.

Voici ce que je te propose qui est une solution infaillible et qui est gratuite:

Télécharges MalwareByte's Anti-Malware 

http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

. Enregistres le sur le bureau 
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte 
. Une fois la mise à jour terminé 
. Rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet 
. Cliques sur Rechercher 
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, clique sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché 
. Tu cliques sur edition en haut du bloc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. tu cliques droit dans le cadre de la réponse et coller 

Tu m'en donneras des nouvelles

Jules alias Lepersque au Québec

nephros · Answer

>Oui; je pense que computman t'a donné l'une des clés pour te débarrasser de ce virus. Partant du principe où si je t'aide aujourd'hui, ce ne sera pas avec exactitude étant donné que je n'ai pas pu accéder à une autre machine dans laquelle il est installé. Au pire, ce qui me semble improbable, si le virus persiste, je te donnerai la marche à suivre pour activer l'option dont il est question dans norton, mais demain. Si il le faut, donc, n'hésite pas; on ne sait jamais...

gen-hackman · Answer

salut:

&#9654 Telecharge UsbFix 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

nephros · Answer

Slt; alors, il est toujours là... Si tu veux une procédure expéditive, sans formatage,  je suis dans les parrages. Je reste connecté dans les environs.

gen-hackman · Answer

salut tu peuux mettre le rapport de Malwarebytes en entier stp ?

nephros59 · Answer

Je suis en train de tester malwarbytes pour voir ce qu'il vaut en face d'une intrusion contrôlée... Apparement, il semble fonctionner...  J'ai un truc à faire et je dois redémarrer mon pc. Si tu n'as pas reg cleaner, un outil qui te permet de désinstaller des fichiers en particulier, manuellement ou automatiquement, de retirer des logiciels, base de registre etc, installe-le en attendant. Voici son adresse. Il est plus puissant que certains autres qui ont une bonne réputation comme ccleaner par exemple. Reg cleaner va te permettre de retirer ce qui ne part pas de ton pc, fichier résiduel compris. Tu peux me faire confiance. Bon, je redémarre et on s'occupe de ton pc dés que tu as fait ce téléchargement si cela te dis; reg cleaner est totalement gratuit et n'a pas de durée dans le temps. Si tu ne veux pas l'installer, ce n'est rien mais dis-le moi; je m'en sers en + de tune up 2010 et de ccleaner; il reste toujours quelque chose, tu le verras si tu passes ccleaner avant de le passer lui, mais je trouve qu'ils sont complémentaires.



 cleanhttps://www.reverso.net/text_translation.aspx?lang=EN$1036$1&templates=General&motsinconnus=false&autotranslate=on&baseurl=https://www.reverso.net/text_translation.aspx?lang=EN

gen-hackman · Answer

&#9654 Telecharge UsbFix 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-16268458-virus-cheval-de-troie-zbot-gen-3#13

gen-hackman · Answer

fais usbfix sans clés

Utilisateur anonyme · Answer

pourquoi a tu mis en résolue ton problème n'est pas du tout résolue non ?

gen-hackman · Answer

j ai remis en non resolu

gen-hackman · Answer

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

&#9654 choisi l option 2 ( Suppression )

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

######### | Désinstallation | #########


&#9654 Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

&#9654 Choisi l option  Désinstaller ....

nephros59 · Answer

excuse-moi, j'ai eu à faire et je t'ai oublié; as-tu résolu ce problème ou pas? Ou es-tu aidé?

computman · Answer

bonjour,

non mon problème n'est pas résolu. D'autre personne ont essayé de m'aider.

Mais là je commence à avoir très peur. Spybot, Regcleaner, Norton rien n'y fait...

Je n'ose redémarrer le pc de peur qu'il ne s'allume plus.

nephros59 · Answer

tkt. Je reviens dans dix minutes et on s'occupera de ça; tu me diras ce que tu as fait comme démarches depuis tout-à l'heure; on ne sait jamais. As-tu tenté de désinstaller ton antivirus et de le remettre? C'est ce qu'il faudra faire au pire. Mais nous n'en sommes pas là. Pour reg-cleaner, si je t'ai demandé de l'installer ce n'est pas pour défaire le virus; il n'est pas fait pour cela; c'est que pour ton system soit bien clair aprés la possible désinstallation de ton antivirus; autant prendre les devants; pour les fichiers résiduels, il est trés bon. Je reviens

computman · Answer

Je vous remercie.

Je vis à l'étranger, loin de chez moi et les CD de Norton sont chez moi en France...

nephros59 · Answer

ok, on va faire sans.

nephros59 · Answer

ok. Je viens de lire ton dernier message; est-ce toujours d'actualité? Est-il parti ou pas?

nephros59 · Answer

bon, qu'as-tu fait que l'on t'a demandé depuis tout-à l'heure?

Lepersque · Answer

Avec votre respect...

Norton, bien entendu a de la difficulté avec ce problème au niveau de l'écurie.  Il peut mettre le cheval en quarantaine mais il ne peut pas le supprimer.  Norton, pour moi, a toujours été de la merde.

Pour ne pas nous compliquer la vie, je suggère deux choses. 

1. Allez dans le dossier de la quarantaine et supprimer le cheval manuellement.

ou

2. Téléchargez immédiatement combofix à https://combofix.fr.malavida.com/  Ce dernier petit logiciel fera disparaître toutes les traces de virus, il n'en restera pas l'ombre d'un cil de virus.

Mais il faut être prudent avant d'éxécuter Combofix.
IL FAUT ABSOLUMENT DÉBRANCHER DE L'INTERNET ET
IL FAUT ABSOLUMENT DÉSACTIVER NORTON.

Si Norton n'est pas désactivé, ComboFix pourrait l'endommager.

En dernier lieu, après le ratissage de ComboFix, j'aimerais voir un rapport de scan de Hyjackthis que l'on peut télécharger à http://www.trendsecure.com/portal/fr/tools/security_tools/hijackthis

nephros59 · Answer

ok. va dans la zone de lancement rapide, et fais un clic droit sur la petite icone. Fais: NORTON PROTECTION CENTER- Clique sur NORTON INTERNET SECURITY- ensuite, va dans settings afin d'acceder aux options. Fais défiler jusqu'en bas pour les options en bleu, et, en plus petit, il y a deux lignes: clique sur VIRUS AND SPYWARE PROTECTION OPTIONS- laisse en arrière plan, je te dis la suite...

computer · Answer

Bonsoir monsieur,

je souhaiterai commencer par la première solution qui serait de supprimer manuellement le cheval dans l'écurie mise en quarantaine. J'ai jeté un oeil dans "programme files" symatec norton .... Pas évident de savoir où est l'écurie mise en quarantaine.

Pouvez-vous peut-être une fois de plus m'indiquer la marche à suivre.

Merci beaucoup.

Lepersque · Answer

Moi, je me suis fait défait de Norton il y a belle lurette alors je ne peux pas t'aider à trouver le dossier de quarantaine.

Quand même, lorsque tu seras prêt, j'aimerais, afin de nous assurer que tout va bien que tu colles ici le rapport du scan de Hyjackthis.

Lepersque · Answer

Voici ce que j'ai trouvé concernant la quarantaine de Norton:

Lorsque Norton AntiVirus identifie un virus dans un e-mail, ou dans un fichier sur votre ordinateur, celui-ci est placé en quarantaine automatiquement, afin d'écarter le risque d'ouverture du virus par maladresse.
Cependant, ces fichiers en quarantaine sont toujours sur votre ordinateur, et s'entassent sur votre disque dur.
Pour faire du ménage, gagner de l'espace disque, il vous est possible de supprimer définitivement ces fichiers en quarantaine.

Pour cela, déroulez le menu Démarrer, Programmes, Norton Internet Security, Norton AntiVirus et cliquez sur l'icône Quarantaine.

Dans la fenêtre Norton AntiVirus Quarantine, cliquez sur Eléments en quarantaine dans le menu Tous les éléments.

Dans la partie droite de cette fenêtre, sélectionnez tous les fichiers en quarantaine puis cliquez sur le bouton Supprimer Elt. Une fenêtre d'avertissement apparaît alors à l'écran, cliquez sur le bouton Oui.

Lepersque · Answer

Désolé, n'étant plus familier avec la daube Norton, je ne peux pas t'aidee à supprimer le cheval en quarantaine.

Mais, puisqu'il est en quarantaine, j'ose croire qu'il ne peut nuire à ton ordi sauf que tu continueras peut-être à recevoir les alertes.

Le seul recours que je connaisse est celui que j'ai déjà donné, c'est ComboFix.

Bonne chance

nephros59 · Answer

c'est ce que je cherchais à faire; je vais regarder pour le log en question; il peut être interessant.  merci.

nephros59 · Answer

c'est ce que je suis en train de t'indiquer... tu es là?

nephros59 · Answer

il faut aller faire un clique droit de la souris sur l'icone de norton en bas de l'écran , tu prends l'option du haut qui dit: " ouvrir le centre de protection norton " et pour la suite,  dans management de la quarantaine directement si tu es en mode français; de là, tu vas voir; toutes les options te sont permises en ce qui concerne tous les problèmes que norton a bloqués.... tu y trouveras à coup sûr ton virus !!

nephros59 · Answer

à quel endroit ne me suis-tu plus? cliquer droit sur l'icone norton en bas à droite de l'écran, puis aller sur la première option qui est - aller dans le centre norton protection-  puis cliquer sur l'onglet droit qui est: norton internet securité et aller sur management de la quarantaine;----- je ne peux pas plus simple. Rien ne peut être abimé en faisant cela; je ne me  permettrais pas de te faire faire n'importe quoi. Aprés, je ne peux pas dire que le logiciel en question ne le fera pas également, et c'est toi qui as la réponse;;;

nephros59 · Answer

Alors, je pense qu'il faut essayer le logiciel; car à moins de désinstaller, la seule solution serait de mettre avast qui est gratuit et d'ejecter norton temporairement si tu veux le remettre ensuite. Je veux dire que cette solution serait la plus sûre dans le sens où je n'en vois pas d'autre; tente le logiciel tout-de même...

nephros59 · Answer

dans le fichier d'aide, trouves-tu un titre qui dirait ' supprimer les fichiers dans la quarantaine'- à-"supprimer des fichiers-ou quarantaine?

nephros59 · Answer

peux-tu retourner dans la quarantaine?

nephros59 · Answer

si tu peux y retourner, il faut que tu ailles au milieu, dans le menu déroulant. Tu prends la derniéres option; tout en bas. Ensuite, tu selectionnes ton virus et tu peux le supprimer en cliquant ensuite en haut à droite;

computman · Answer

Merci, ça m'a permis de savoir comment éliminer un élément qui est en quarantaine. 

Mon problème reste le même puisqu'en fait, Norton ne l'a pas mis en quarantaine mais à juste bloqué le risque de sécurité. Quand je regarde avec plus de détail : il me dit que le problème est résolue car trojan.zbot!gen3 est bloqué. Mais là par contre je ne peux pas le mettre en quarantaine ni le détruire.
le nom du fichier est c:\windows	empaku.tmp\svchost.exe ou alors qmwq.tmp\svchost.exe ou alors rnyv.tmp\svchost.exe et autant de fois qu'il y a d'alerte.

nephros59 · Answer

Je pense personnellement qu'il faut aller déloger le fichier. Fais: Poste de travail, c: windows ensuite 'temp' et regarde où il est: supprime seulement le trojan autant de fois qu'il est, mais ne défais pas un mauvais fichier.

nephros59 · Answer

vide bien la corbeille;

computman · Answer

Merci du conseil,

le problème est que les dossiers où il est censé être son vide.

nephros59 · Answer

retourne dans le poste de travail. va directement dans l'onglet 'outils' puis 'options des dossiers' . Ensuite, onglet 'affichage', puis va à la ligne: ' clique sur 'afficher les fichiers et les dossiers cachés, puis un peu en dessous, il y a: ' masquer les fichiers du systeme d'exploitation' ; ensuite, ferme tout aprés avoir fait ' apliquer', ferme le poste de travail, redemarre-le et regarde dans le dossier temp...

nephros59 · Answer

si il est là; si non, alors il va falloir essayer le fameux logiciel, et, au pire, retirer norton et mettre avast.

nephros59 · Answer

C'est lepersque qui m'en a parlé; il m'a dit que ce logiciel est une solution possible. Il faudra, aprés le téléchargement et avant l'installation que tu désactives internet et que tu désactives norton.


Avant de te faire le tester, je vais d'abord le faire pour moi.

1/ clique sur ce lien pour aller le chercher:


 https://combofix.fr.malavida.com/


2/une fois telechargé, désactive internet.

3/ Va faire un clique droit comme tout-à l'heure sur l'icone norton. 
a- Va dans l'onglet - internet securié-
b- puis settings pc-

4/arrete chacune des options de façon permanente pour chacune.


Si tu as un problème quelconque, tiens-moi au courant. Si tout se passe comme prévu, clique ensuite sur ce lien afin de telecharger un rapport de scan que je te demande de bien vouloir afficher afin d'en faire profiter lepersque qui voudrait bien le voir.

http://www.trendsecure.com/portal/fr/tools/security_tools/hijackthis


Dis-nous ce qu'il en est et ne fais rien si tu as un seul doute pour ce qui est de la procèdure; il vaut mieux que tu vérifies que les choses se passent tel que tu le veux. 
Je reste à ta disposition.

Lepersque · Answer

Remarque Demba que au tout début du processus lorsque nous avons parlé de Malwarebyte et que je t'ai recommandé de faire un scan complet que tu as choisis de faire un scan rapide.  As-tu pensé au "systeme volume information/restore qui pourrait contenir des traces du cheval?  Lorsqu'un jour tu feras une restauration du système tu te retrouveras avec le même gros souci.

Alors, ne faisons pas les choses à moitié.  Je ne suis pas un novice en la matière.  Je te paris que tu as encore plein de crin de chevaux dans ton système qui vont revenir te hanter.

Cordialement

gen-hackman · Answer

qu'est-ce que c est que ce travail ?

Utilisateur anonyme · Answer

ces vraie que computman fo que tu suive a la lettre ce qu'on te dis de faire

nephros59 · Answer

à quel propos? Ca fait deux fois que je reçois un mail, sans pour autant savoir à quoi il s'en réfère... De ce fait, comme je ne vois pas qui, ou ce qu'est bremba, il me semble, je ne l'ai pas en face, je me dis que cette réponse n'est peut-être pas pour moi; ou alors j'ai raté un épisode; sinon???

nephros59 · Answer

Merci, marie, mais je ne fais pas joujou, comme tu le dis et le pense. Je ne sais pas tout, personne ne sait tout, mais ne t'en fais pas pour moi, je ne suis pas un lapin de six semaines! Loin de là...

gen-hackman · Answer

si bien dit que Combofix ne s'installe pas c'est une application ^^

 avant l'installation que tu désactives

nephros59 · Answer

Je suis d'accord; je ferai attention au vocabulaire; il faudra faire pareil...

Virus/Cheval de troie Zbot.gen!3

48 réponses

Discussions similaires