Probleme virus TR/zbot/var
Résolu
tho-maas
-
tho-maas -
tho-maas -
Bonjour, mon ordi detecte ce virus j'ai regardé on m'a di que c'était unlogiciel espion mais il ne dise pas comment s'en debarasser et je le repere tout les sur mon antivirus merci de bien vouloir m'aidé :)
A voir également:
- Probleme virus TR/zbot/var
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Softonic virus ✓ - Forum Virus
- /Var/www/html/index.html ✓ - Forum Linux / Unix
- Faux message virus iphone ✓ - Forum Virus
11 réponses
Bonjour,
Connais-tu la localisation de ce fichier ?
sinon note-le la prochaine fois
----------------------------------------
Commence par ceci.
Télécharge OTL (de OldTimer) sur ton Bureau.
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.exe pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme https://www.cjoint.com/ pour les déposer.
indique ensuite les deux liens crées.
A+
Connais-tu la localisation de ce fichier ?
sinon note-le la prochaine fois
----------------------------------------
Commence par ceci.
Télécharge OTL (de OldTimer) sur ton Bureau.
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.exe pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 msconfig /md5start afd.sys userinit.exe winlogon.exe explorer.exe svchost.exe wininit.exe /md5stop %SYSTEMDRIVE%\*.exe %ALLUSERSPROFILE%\Application Data\*.exe /s %appdata%\*.exe /s %APPDATA%\*. %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCerDlls /s SAVEMBR:0 CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme https://www.cjoint.com/ pour les déposer.
indique ensuite les deux liens crées.
A+
tho-mass,
merci pour l'info sur le fichier.
Ceci m'a permis d'identifier l'infection.
Elle a infecté tous tes supports amovibles : clés USB, disque dur externes, cartes, ... donc tout type de support amovible que tu branches sur ton ordi via un port USB.
-------------------------------------------------------
Télécharge USBFix ( par El Desaparecido ) sur ton bureau.
* Double clique sur UsbFix.exe présent sur ton bureau .
* clique sur Recherche .
* Un message t'avertira de brancher les supports amovibles.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
FAIS-LE.
* Laisse travailler l'outil.
* Ensuite poste le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
A+
Allez jusqu'au bout de la procédure de désinfection.
merci pour l'info sur le fichier.
Ceci m'a permis d'identifier l'infection.
Elle a infecté tous tes supports amovibles : clés USB, disque dur externes, cartes, ... donc tout type de support amovible que tu branches sur ton ordi via un port USB.
-------------------------------------------------------
Télécharge USBFix ( par El Desaparecido ) sur ton bureau.
* Double clique sur UsbFix.exe présent sur ton bureau .
* clique sur Recherche .
* Un message t'avertira de brancher les supports amovibles.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
FAIS-LE.
* Laisse travailler l'outil.
* Ensuite poste le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
A+
Allez jusqu'au bout de la procédure de désinfection.
Re,
USBFix ne semble pas trouver le fichier I:\AdobeReader\DSCI3202.jpg sur le disque I:\ ?
peux-tu me confirmer si ce fichier est toujours présent ?
C'est peut-être un fichier caché . Donc les faire apparaitre si nécessaire.
-----------------------------------
* Double clic sur usbfix.exe présent sur ton bureau
* clique sur suppression.
* Un message t'avertira de brancher les supports amovibles.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
* Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. C'est normal.
* Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
A+
USBFix ne semble pas trouver le fichier I:\AdobeReader\DSCI3202.jpg sur le disque I:\ ?
peux-tu me confirmer si ce fichier est toujours présent ?
C'est peut-être un fichier caché . Donc les faire apparaitre si nécessaire.
-----------------------------------
* Double clic sur usbfix.exe présent sur ton bureau
* clique sur suppression.
* Un message t'avertira de brancher les supports amovibles.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
* Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. C'est normal.
* Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
A+
Re,
D'après la détection de ton antivirus, l'infection se trouve sur le lecteur I:
C'est le disque dur externe verbatim.
Il ne semble plus y avoir le dossier I:\Adobe sur ce disque dur.
vérifie-le, stp.
Pour les autres clés USB, il faudrait que tu passes USBFix.
Cela pose un problème ?
Fais-le ( option suppression ) et poste le rapport
A+
D'après la détection de ton antivirus, l'infection se trouve sur le lecteur I:
C'est le disque dur externe verbatim.
Il ne semble plus y avoir le dossier I:\Adobe sur ce disque dur.
vérifie-le, stp.
Pour les autres clés USB, il faudrait que tu passes USBFix.
Cela pose un problème ?
Fais-le ( option suppression ) et poste le rapport
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Il semblerait que l'infection ne soit plus présente.
--------------------------------------------------
desinstalle
StartNow Toolbar ( inutile )
Uniblue RegistryBooster ( douteux comme application )
--------------------------------------------------
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+
Il semblerait que l'infection ne soit plus présente.
--------------------------------------------------
desinstalle
StartNow Toolbar ( inutile )
Uniblue RegistryBooster ( douteux comme application )
--------------------------------------------------
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
OTL
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (StartNow Toolbar Helper) - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files (x86)\StartNow Toolbar\Toolbar32.dll ()
O3 - HKLM\..\Toolbar: (StartNow Toolbar) - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files (x86)\StartNow Toolbar\Toolbar32.dll ()
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [NortonOnlineBackupReminder] C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe (Symantec Corporation)
O18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-itss - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype-ie-addon-data - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
O20:[b]64bit:[/b] - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2011/12/19 03:19:14 | 000,000,000 | -HSD | C] -- C:\found.000
[2011/03/03 15:29:18 | 000,000,000 | ---D | M] -- C:\Users\Thomas\AppData\Roaming\Uniblue
[2011/12/29 17:53:48 | 000,000,346 | ---- | M] () -- C:\Windows\Tasks\RegistryBooster.job
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:E3C56885
:files
:commands
[Emptytemp]
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+
Tho-mass,
Tu télécharges MalwareBytes .
Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
le scan dure environ une heure.
A+
Tu télécharges MalwareBytes .
Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
le scan dure environ une heure.
A+
Re,
1/ je remarquais dans un rapport une erreur concernant l'ouverture du journal d'événement.
Vérifie si tu peux l'ouvrir :
# panneau de configuration --> Outils d'administration
# Cliquer sur l'icône de raccourci "Observateur d'événements"
Dis moi si il focntionne correctement.
2/ Branche le disque dur Verbatim.
Relance OTL.
* clique sur aucun
* Puis sous personnalisation , copie le texte suivant :
* Clique ensuite sur Analyse.
L'analyse va à peine prendre quelques secondes. Un rapport va s'ouvrir.
Poste le dans ta prochaine réponse.
A+
1/ je remarquais dans un rapport une erreur concernant l'ouverture du journal d'événement.
Vérifie si tu peux l'ouvrir :
# panneau de configuration --> Outils d'administration
# Cliquer sur l'icône de raccourci "Observateur d'événements"
Dis moi si il focntionne correctement.
2/ Branche le disque dur Verbatim.
Relance OTL.
* clique sur aucun
* Puis sous personnalisation , copie le texte suivant :
/md5start DSCI3202.jpg /md5stop C:\ProgramData\631dfc41ed50e272cd3f7dc2d585b150_c\*.* /s
* Clique ensuite sur Analyse.
L'analyse va à peine prendre quelques secondes. Un rapport va s'ouvrir.
Poste le dans ta prochaine réponse.
A+
tho-mass,
Un dernier nettoyage.
On termine ensuite.
----------------------------------------------------
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC ne va pas redémarrer cette fois-ci.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le
A+
Un dernier nettoyage.
On termine ensuite.
----------------------------------------------------
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
:OTL FF - prefs.js..keyword.URL: "http://www.questbasic.com/?tmp=nemo_results_removelink&prt=QstbscWD4&keywords=" [2011/12/17 15:46:28 | 000,000,000 | ---D | M] (QuestBasic) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{1CE72EFA-E2D1-48FA-A5EC-D7111C2C5BB6} [2011/03/27 17:02:06 | 000,005,371 | ---- | C] () -- C:\Users\Thomas\AppData\Local\Temp5.html [2011/03/03 12:26:53 | 000,010,281 | ---- | C] () -- C:\Users\Thomas\AppData\Local\Temp8.html [2011/03/02 23:55:38 | 000,008,457 | ---- | C] () -- C:\Users\Thomas\AppData\Local\Temp12.html [2011/03/02 23:52:50 | 000,008,457 | ---- | C] () -- C:\Users\Thomas\AppData\Local\Temp17.html [2011/03/02 23:50:50 | 000,001,667 | ---- | C] () -- C:\Users\Thomas\AppData\Local\Temp1.html :files C:\Program Files (x86)\Symantec C:\ProgramData\631dfc41ed50e272cd3f7dc2d585b150_c
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC ne va pas redémarrer cette fois-ci.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le
A+
tho-mass,
Tu ne m'as pas posté le bon rapport.
C'est celui de la manip précédente.
Tu as bien fait la dernière correction avec OTL?
--------------------------------------------------------
On termine.
On va enlever les outils utilisés, à l'exception de Malwarebytes que tu garderas. C'est un bon complément à un antivirus.
* Lance OTL et clique sur purge outils.
Le PC va redémarrer pour supprimer l'outil et sa quarantaine.
* lance USBFix et choisis l'option de désinstallation.
.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
Mets à jour ton PC et en particulier java et Adobe reader.
Désinstalle Java(TM) 6 Update 24
Mise à jour :
Adobe
Java
---------------------------------------------------------------------------------
Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.
- Création d'un nouveau point de restauration :
Dans le Panneau de configuration, choisis l'affichage classique :
* Système --> dans la liste des taches, à gauche, choisis propriétés du système
* sélectionner le disque c: puis choisis créer pour la création d'un point de restauration.
Suis les invites.
Si tu as des questions sur ces manips , n'hésite pas à les poser.
------------------------------------------------------------------------------------
/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...
projet antimalwares
-------------------------------------------------------------------------------------
Si tu juges que le problème est résolu, note le ( en haut de page , Marquer comme résolu )
Bonne continuation.
Bon réveillon.
@+
Tu ne m'as pas posté le bon rapport.
C'est celui de la manip précédente.
Tu as bien fait la dernière correction avec OTL?
--------------------------------------------------------
On termine.
On va enlever les outils utilisés, à l'exception de Malwarebytes que tu garderas. C'est un bon complément à un antivirus.
* Lance OTL et clique sur purge outils.
Le PC va redémarrer pour supprimer l'outil et sa quarantaine.
* lance USBFix et choisis l'option de désinstallation.
.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
Mets à jour ton PC et en particulier java et Adobe reader.
Désinstalle Java(TM) 6 Update 24
Mise à jour :
Adobe
Java
---------------------------------------------------------------------------------
Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.
- Création d'un nouveau point de restauration :
Dans le Panneau de configuration, choisis l'affichage classique :
* Système --> dans la liste des taches, à gauche, choisis propriétés du système
* sélectionner le disque c: puis choisis créer pour la création d'un point de restauration.
Suis les invites.
Si tu as des questions sur ces manips , n'hésite pas à les poser.
------------------------------------------------------------------------------------
/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...
projet antimalwares
-------------------------------------------------------------------------------------
Si tu juges que le problème est résolu, note le ( en haut de page , Marquer comme résolu )
Bonne continuation.
Bon réveillon.
@+
Non,
Le rapport est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : 12302012_xxxxxxxx.log
------------------------------------------------------
Par contre, je ne sais pas de quel outil vient ce rapport.
On dirait un rapport d'un scan en ligne.
Et c'est une autre application que tu as installé : SpeedUpMyPc.
( je viens déjà de te demander de désinstaller un produit de cette société )
Un conseil : N'installe aucun de ces logiciels supposés améliorés les performances du PC.
Non, tu garderas un PC performant en faisant justement attention à ne pas pourrir le PC avec ce type d'application.
Et si les antivirus les détectent, c'est bien pour une raison.
Idem pour les toolbars, inutile d'en installer.
Bien souvent, maientenant, en onstallant un logiciel, il y a le risque d'en installer une si on ne fait pas attention.
Les toolbars c'est pas obligatoire
A+
Le rapport est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : 12302012_xxxxxxxx.log
------------------------------------------------------
Par contre, je ne sais pas de quel outil vient ce rapport.
On dirait un rapport d'un scan en ligne.
Et c'est une autre application que tu as installé : SpeedUpMyPc.
( je viens déjà de te demander de désinstaller un produit de cette société )
Un conseil : N'installe aucun de ces logiciels supposés améliorés les performances du PC.
Non, tu garderas un PC performant en faisant justement attention à ne pas pourrir le PC avec ce type d'application.
Et si les antivirus les détectent, c'est bien pour une raison.
Idem pour les toolbars, inutile d'en installer.
Bien souvent, maientenant, en onstallant un logiciel, il y a le risque d'en installer une si on ne fait pas attention.
Les toolbars c'est pas obligatoire
A+
OK,
Tu peux passer aux dernières manips :
https://forums.commentcamarche.net/forum/affich-24038332-probleme-virus-tr-zbot-var#22
@+
Tu peux passer aux dernières manips :
https://forums.commentcamarche.net/forum/affich-24038332-probleme-virus-tr-zbot-var#22
@+
Le fichier 'I:\AdobeReader\DSCI3202.jpg'
contenait un virus ou un programme indésirable 'TR/Zbot.var' [trojan].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4971d5f9.qua' !
http://cjoint.com/?ALDs0Cg5lXE
http://cjoint.com/?ALDs1zYT84d