Probléme avec le Virus Abnow
Sébastien
-
kalimusic Messages postés 14619 Statut Contributeur sécurité -
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,
Je me permet de vous demander de l'aide car je me suis fait attaqué (surement de ma faute) par une belle m***e de virus !!
Je vous épargne le blabla habituel, lorsque je me dirige vers un lien google la barre d'adresse porte le nom de Abnow.
J'ai donc passé un coup de spybot, Ccleaner, et Malwarabytes.
Ce dernier m'a détecter des "fichiers" qui porte le nom :rootkit zero acces
Malgré la suppression de ces fichiers après redémarrage ils réapparaissent.
N'etant pas callé en informatique j'espère que quelqu'un pourra m'aider..
Je vous laisse le rapport après examen complet :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.05.08
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sébastien :: SÉBASTIEN-PC [administrateur]
05/03/2012 19:38:48
mbam-log-2012-03-05 (19-38-48).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 357254
Temps écoulé: 51 minute(s), 58 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Données: C:\Users\Sébastien\AppData\Local\63ca757d\X -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 11
C:\Users\Sébastien\AppData\Local\63ca757d\X (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\63ca757d\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\63ca757d\U\800000cf.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Downloads\Guitar Pro 6.0.7 r9063\Guitar Pro 6.0.7\Keygen Guitar Pro 6.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\00000001.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\000000cb.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\000000cf.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\800000c0.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\800000cf.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Suppression au redémarrage.
(fin)
Je me permet de vous demander de l'aide car je me suis fait attaqué (surement de ma faute) par une belle m***e de virus !!
Je vous épargne le blabla habituel, lorsque je me dirige vers un lien google la barre d'adresse porte le nom de Abnow.
J'ai donc passé un coup de spybot, Ccleaner, et Malwarabytes.
Ce dernier m'a détecter des "fichiers" qui porte le nom :rootkit zero acces
Malgré la suppression de ces fichiers après redémarrage ils réapparaissent.
N'etant pas callé en informatique j'espère que quelqu'un pourra m'aider..
Je vous laisse le rapport après examen complet :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.05.08
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sébastien :: SÉBASTIEN-PC [administrateur]
05/03/2012 19:38:48
mbam-log-2012-03-05 (19-38-48).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 357254
Temps écoulé: 51 minute(s), 58 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Données: C:\Users\Sébastien\AppData\Local\63ca757d\X -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 11
C:\Users\Sébastien\AppData\Local\63ca757d\X (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\63ca757d\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\63ca757d\U\800000cf.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Downloads\Guitar Pro 6.0.7 r9063\Guitar Pro 6.0.7\Keygen Guitar Pro 6.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\00000001.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\000000cb.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\000000cf.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\800000c0.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\800000cf.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Suppression au redémarrage.
(fin)
A voir également:
- Probléme avec le Virus Abnow
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
24 réponses
Bonsoir,
Zeroaccess, c'est coriace.
Désinstalle Spybot
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarrer l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Zeroaccess, c'est coriace.
Désinstalle Spybot
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarrer l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Bonsoir,
Du coup je ne suis pas sur, mais vu que je suis sur un autre ordinateur je ne peux télécharger Combofix vers ma clé usb?
Du coup je ne suis pas sur, mais vu que je suis sur un autre ordinateur je ne peux télécharger Combofix vers ma clé usb?
J'ai accès à google mais une fois la recherche faites, je ne peux accéder au lien trouvé.
Bon je télécharge Combofix vers ma clé usb et je post le scan dés que je peux merci beaucoup en tout cas.
Bon je télécharge Combofix vers ma clé usb et je post le scan dés que je peux merci beaucoup en tout cas.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok,
Je te pose la question car parfois l'infection ou la tentative d'éradication de celle ci touche la connexion.
Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
Je te pose la question car parfois l'infection ou la tentative d'éradication de celle ci touche la connexion.
Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
re,
Tu n'as pas d'antivirus ?
C'est toi qui a désactivé le contrôle de compte d'utilisateur (UAC) ?
1. Ouvre le bloc-note et copie/colle les instructions en citation :
● Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
▸ Pour "Suspicious object" laisse sur "Skip"
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
3. Héberge les 2 rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras 2 liens que tu me donneras dans ton prochain message afin que je puisse les consulter.
A +
Tu n'as pas d'antivirus ?
C'est toi qui a désactivé le contrôle de compte d'utilisateur (UAC) ?
1. Ouvre le bloc-note et copie/colle les instructions en citation :
KillAll:: Folder:: C:\Windows\system32\%APPDATA% C:\Users\Sébastien\AppData\Local\63ca757d
● Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
▸ Pour "Suspicious object" laisse sur "Skip"
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
3. Héberge les 2 rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras 2 liens que tu me donneras dans ton prochain message afin que je puisse les consulter.
A +
Re bonjour,
Pour répondre à ta question oui c'est moi qui est désactivé l'UAC et l'antivirus je les enlevés aussi pour en mettre un autre mais je n'ai pas pu car infecté..
Les rapports sont en train de se faire, je les communique dés que possible.
Pour répondre à ta question oui c'est moi qui est désactivé l'UAC et l'antivirus je les enlevés aussi pour en mettre un autre mais je n'ai pas pu car infecté..
Les rapports sont en train de se faire, je les communique dés que possible.
Alors le premier rapport (Tskiller) : http://cjoint.com/?BCht0J48o9q
le deuxieme (ComboFix) : http://cjoint.com/?BCht1UpvltE
le deuxieme (ComboFix) : http://cjoint.com/?BCht1UpvltE
Tu avais bien glissé/déposé le script pour ComboFix ?
Je pense que tu as mal réalisé cette opération.
Encore des redirections ?
A +
Je pense que tu as mal réalisé cette opération.
Encore des redirections ?
A +
Désolé je viens de me rendre compte que lors de la copie de l'instruction le sébastien est devenu s2bastien..
Je viens donc de refaire la manipulation je transmet le nouveau rapport dés réception de ce dernier.
Non je n'ai pas de redirection pour le moment mais bon je préfère être sur et jouer la sécurité :)
Merci en tous cas pour ta réactivité
Je viens donc de refaire la manipulation je transmet le nouveau rapport dés réception de ce dernier.
Non je n'ai pas de redirection pour le moment mais bon je préfère être sur et jouer la sécurité :)
Merci en tous cas pour ta réactivité
Voici le nouveau rapport après correction : http://cjoint.com/?BChuzdIMxbh
J'attends de tes nouvelles ;)
J'attends de tes nouvelles ;)
Si tu as déjà lancé CFScript, continue et poste le rapport.
Sinon fait moi signe. De toute façon, on va utiliser un outil de diagnostic pour voir s'il reste des actions à faire.
A +
Sinon fait moi signe. De toute façon, on va utiliser un outil de diagnostic pour voir s'il reste des actions à faire.
A +
On s'est croisé, le script n'a pas fonctionné.
Nous allons utiliser cet outil de diagnostic :
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Nous allons utiliser cet outil de diagnostic :
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
%temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe %systemroot%\Tasks\*.* /s hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Voici le rapport (extra.txt) : http://cjoint.com/?BChuQViU19o
Et le rapport (OTL.txt) : http://cjoint.com/?BChuRK7uEHS
Et le rapport (OTL.txt) : http://cjoint.com/?BChuRK7uEHS
re,
Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle les instructions suivantes :
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
Poste le rapport
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle les instructions suivantes :
:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {88A45FEB-F0E0-4E8A-AC02-70263DB6CD15}
IE - HKLM\..\SearchScopes,DefaultScope = {925D33E6-AD5E-42B6-9B0F-520FD4EB6186}
O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
[2012/03/05 21:29:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2012/03/05 21:29:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy
[2012/03/04 11:07:47 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA%
[2012/03/04 10:52:20 | 000,000,000 | -HSD | C] -- C:\Users\Sébastien\AppData\Local\63ca757d
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2011/09/18 19:42:58 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\pdfforge
:Files
ipconfig /flushdns /c
:Commands
[emptytemp]
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
Poste le rapport
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
