Virus win 32/zbot.g HELP !!!

Fermé
Got - 2 janv. 2012 à 19:20
 got - 5 janv. 2012 à 14:49
Bonjour,

AVG me détecte un virus nommé win32/zbot.g , et également un cheval de troie, je met en quarantaine et / ou essaie de réparer mais il réapparait sans cesse, et évidemment ça m'empêche de bosser !!

Qqun peut il me venir en aide, j'ai lu le post concernant ce meme virus, mais si qqun peut m'épauler j'arriverais peut etre a m'en sortir ....

Merci d'avance

A voir également:

4 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 janv. 2012 à 12:26
T'as cliqué sur quoi pour récupérer security sphere ?!

Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
Lances en option 2 (Suppression).
Poste le rapport ici.

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
2
voici le rapport roguekiller

RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 05/01/2012 14:28:58

¤¤¤ Processus malicieux: 8 ¤¤¤
[WINDOW : Security Sphere 2012] nL38700IbLbE38700.exe -- C:\Documents and Settings\All Users\Application Data\nL38700IbLbE38700\nL38700IbLbE38700.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] nL38700IbLbE38700.exe -- C:\Documents and Settings\All Users\Application Data\nL38700IbLbE38700\nL38700IbLbE38700.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] nL38700IbLbE38700.exe -- C:\Documents and Settings\All Users\Application Data\nL38700IbLbE38700\nL38700IbLbE38700.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] nL38700IbLbE38700.exe -- C:\Documents and Settings\All Users\Application Data\nL38700IbLbE38700\nL38700IbLbE38700.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] nL38700IbLbE38700.exe -- C:\Documents and Settings\All Users\Application Data\nL38700IbLbE38700\nL38700IbLbE38700.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : VdcTmqqr (C:\Documents and Settings\Administrateur\Local Settings\Application Data\nwkhcqhb\vdctmqqr.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : nL38700IbLbE38700 (C:\Documents and Settings\All Users\Application Data\nL38700IbLbE38700\nL38700IbLbE38700.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users\Application Data\nL38700IbLbE38700\nL38700IbLbE38700.exe) -> REPLACED (Explorer.exe)
[SUSP PATH] HKLM\[...]\Winlogon : Userinit (C:\WINDOWS\system32\userinit.exe,,C:\Documents and Settings\Administrateur\Local Settings\Application Data\nwkhcqhb\vdctmqqr.exe) -> REPLACED (C:\WINDOWS\system32\userinit.exe,)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 154657a3693f861eb5a9f83b16f63c84
[BSP] 0fcf676443b2ce668a702bcbe88865f6 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 360069 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
j'ai egalement suivi le Tutorial eScan Antivirus Toolkit, mais une fois double cliqué sur kavupd.exe, est indiqué INITIALIZED FAILED...
0
encore un truc, comment je supprime security sphere qui commence à me les briser menu ;)
je garde le sourire......
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
2 janv. 2012 à 19:21
Salut,


Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.


Les étapes de la procédure doivent être suivies l'une après l'autre et pas à faire en même temps.




ETAPE 1 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.


ETAPE 2 :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.


0
J'ai copié/collé le rapport Malwarebyte ici mais je ne le vois pas apparaitre .... ?
0
Une fois le scan effectué avec OTL il ne me génère pas de fichier txt dans le bloc note ou sur le bureau.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
2 janv. 2012 à 20:32
utilise pjjoint.
0
Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.02.04

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 7.0.5730.11
Administrateur :: BENXPV2 [administrateur]

Protection: Activé

02/01/2012 19:27:00
mbam-log-2012-01-02 (19-27-00).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 168250
Temps écoulé: 4 minute(s), 54 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 9
HKCR\CLSID\{228136B0-8BD3-11D0-B4EF-00A0C9138CA4} (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
HKCR\ADOMD.Catalog.2.7 (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
HKCR\ADOMD.Catalog (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{00000602-0000-0010-8000-00AA006D2EA4} (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
HKCR\ADOX.Catalog.2.8 (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{D2D139E3-B6CA-11d1-9F31-00C04FC29D52} (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
HKCR\JRO.Replica.2.6 (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
HKCR\JRO.Replica (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{C90250F3-4D7D-4991-9B69-A5C5BC1C2AE6} (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 23
C:\Program Files\Fichiers communs\System\ado\msadomd.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Fichiers communs\System\ado\msadox.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Fichiers communs\System\ado\msjro.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Internet Explorer\ieproxy.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Internet Explorer\Plugins\npqtplugin.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Internet Explorer\Plugins\npqtplugin2.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Internet Explorer\Plugins\npqtplugin3.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Internet Explorer\Plugins\npqtplugin4.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Internet Explorer\Plugins\npqtplugin5.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Internet Explorer\Plugins\npqtplugin6.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Internet Explorer\Plugins\npqtplugin7.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\libdivx.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\plugins\ssldivx.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Administrateur\Local Settings\Temp\iGearedHelper.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Administrateur\Local Settings\Temp\avguidx.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
voici le lien du rapport

http://pjjoint.malekal.com/files.php?read=20120102_x615d6v8y6

mais concernant le rapport OTL il ne me produit pas de fichier txt et je ne vois pas le rapport
0
Salut, merci !

Dois je désactiver AVG car il se manifeste toutes les deux secondes pour m'indiquer que mon ordi est infecté ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
2 janv. 2012 à 19:40
si tu veux.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
2 janv. 2012 à 20:50
T'as Ramnit d'après Malwarebyte :/
C'est un virus qui infecte les executables.

Faut que tu fasses un scan avec Dr.Web voir ci-dessous mais si l'étendu de l'infection est trop importante, il va falloir formater :/

https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
0
j'ai installé dr Web, mais en fait l'antivirus que j'ai installé par erreur, suivant ton lien est en fait un virus de ce que j'ai pu voir.... c'est security sphere 2012 et je n'arrive plus à ouvrir malwarebytes du coup, que faire ,
merci
0