Probléme avec le Virus Abnow

Question

Bonjour, 

Je me permet de vous demander de l'aide car je me suis fait attaqué (surement de ma faute) par une belle m***e de virus !!

Je vous épargne le blabla habituel, lorsque je me dirige vers un lien google la barre d'adresse porte le nom de Abnow.

J'ai donc passé un coup de spybot, Ccleaner, et Malwarabytes.
Ce dernier m'a détecter des "fichiers" qui porte le nom :rootkit zero acces

Malgré la suppression de ces fichiers après redémarrage ils réapparaissent.

N'etant pas callé en informatique j'espère que quelqu'un pourra m'aider..

Je vous laisse le rapport après examen complet :

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.05.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sébastien :: SÉBASTIEN-PC [administrateur]

05/03/2012 19:38:48
mbam-log-2012-03-05 (19-38-48).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 357254
Temps écoulé: 51 minute(s), 58 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Données: C:\Users\Sébastien\AppData\Local\63ca757d\X -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 11
C:\Users\Sébastien\AppData\Local\63ca757d\X (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\63ca757d\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\63ca757d\U\800000cf.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Downloads\Guitar Pro 6.0.7 r9063\Guitar Pro 6.0.7\Keygen Guitar Pro 6.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly	mp\U\00000001.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly	mp\U\000000cb.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly	mp\U\000000cf.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly	mp\U\800000c0.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly	mp\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly	mp\U\800000cf.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Suppression au redémarrage.

(fin)






Configuration: Mac OS X / Safari 534.52.7

kalimusic · Answer

Bonsoir,

Zeroaccess, c'est coriace.

Désinstalle Spybot

 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération si tu es sous XP
&#x25CF; Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
&#x25CF; Il est possible que l'outil est besoin de redémarrer l'ordinateur.

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 
&#x25CF; Héberge le rapport et donne moi le lien. 

!! Réactive les protections résidentes de ton PC !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

Sébastien · Answer

Bonsoir,

Du coup je ne suis pas sur, mais vu que je suis sur un autre ordinateur je ne peux  télécharger Combofix vers ma clé usb?

kalimusic · Answer

Oui tu peux.
Tu n'as plus accès au net sur le pc infecté ?

A +

Sébastien · Answer

J'ai accès à google mais une fois la recherche faites, je ne peux accéder au lien trouvé.

Bon je télécharge Combofix vers ma clé usb et je post le scan dés que je peux merci beaucoup en tout cas.

kalimusic · Answer

ok,

Je te pose la question car parfois l'infection ou la tentative d'éradication de celle ci touche la connexion.

Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

Sébastien · Answer

Voila le rapport : http://cjoint.com/?3CfxEMqIN2G

kalimusic · Answer

re,

Tu n'as pas d'antivirus ?
C'est toi qui a désactivé le contrôle de compte d'utilisateur (UAC) ?

1.  Ouvre le bloc-note et copie/colle les instructions en citation :     

KillAll::

Folder::
C:\Windows\system32\%APPDATA% 
C:\Users\Sébastien\AppData\Local\63ca757d 
&#x25CF;  Sauvegarde le fichier sous le nom CFScript.txt  impérativement sur ton Bureau.     
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!        
&#x25CF;  Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img     
&#x25CF; Patiente pendant le travail de l'outil et la création du rapport.

2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
&#9656; Pour "Suspicious object" laisse sur "Skip"
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

3. Héberge les 2 rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras 2 liens que tu me donneras dans ton prochain message afin que je puisse les consulter.

A +

Sébastien · Answer

Bonjour, désole du retard, je vous communique les rapports ce soir.

kalimusic · Answer

Bonjour,

A ton rythme, A +

sébastien · Answer

Re bonjour,

Pour répondre à ta question oui c'est moi qui est désactivé l'UAC et l'antivirus je les enlevés aussi pour en mettre un autre mais je n'ai pas pu car infecté.. 

Les rapports sont en train de se faire, je les communique dés que possible.

sébastien · Answer

Alors le premier rapport (Tskiller) : http://cjoint.com/?BCht0J48o9q 
le deuxieme (ComboFix) : http://cjoint.com/?BCht1UpvltE

kalimusic · Answer

Tu avais bien glissé/déposé le script pour ComboFix ?
Je pense que tu as mal réalisé cette opération.

Encore des redirections ?

A +

sebastien · Answer

Désolé je viens de me rendre compte que lors de la copie de l'instruction le sébastien est devenu s2bastien..

Je viens donc de refaire la manipulation je transmet le nouveau rapport dés réception de ce dernier.

Non je n'ai pas de redirection pour le moment mais bon je préfère être sur et jouer la sécurité :) 

Merci en tous cas pour ta réactivité

sebastien · Answer

Voici le nouveau rapport après correction : http://cjoint.com/?BChuzdIMxbh 

J'attends de tes nouvelles ;)

kalimusic · Answer

Si tu as déjà lancé CFScript, continue et poste le rapport.
Sinon fait moi signe. De toute façon, on va utiliser un outil de diagnostic pour voir s'il reste des actions à faire.

A +

kalimusic · Answer

On s'est croisé, le script n'a pas fonctionné.

Nous allons utiliser cet outil de diagnostic :

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

sebastien · Answer

Voici le rapport (extra.txt) : http://cjoint.com/?BChuQViU19o
Et le rapport (OTL.txt) : http://cjoint.com/?BChuRK7uEHS

kalimusic · Answer

re, 

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL. 

Relance OTL 
- Sous XP double-clic sur l'icône pour lancer l'outil.  
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.  
&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {88A45FEB-F0E0-4E8A-AC02-70263DB6CD15} 
IE - HKLM\..\SearchScopes,DefaultScope = {925D33E6-AD5E-42B6-9B0F-520FD4EB6186} 
O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.     
[2012/03/05 21:29:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy     
[2012/03/05 21:29:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy     
[2012/03/04 11:07:47 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA% 
[2012/03/04 10:52:20 | 000,000,000 | -HSD | C] -- C:\Users\Sébastien\AppData\Local\63ca757d 
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ] 
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] 
[2011/09/18 19:42:58 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\pdfforge  
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction. 
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.    
&#x25CF; Accepte en cliquant sur OK.  
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.    

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles  

Poste le rapport 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

sebastien · Answer

Le rapport : http://cjoint.com/?BChvlytSLQJ

J'ai bien vérifier tous était désactivé normalement pour cette fois ci. Désolé..

kalimusic · Answer

ok,

Installe un antivirus et si tout est ok, je te donnerai la fin de la procédure ensuite.

A +

sebastien · Answer

je viens d'installer avira antivir

kalimusic · Answer

ok,

1. Ouvre la commande Exécuter en pressant Windows + R 
&#x25CF; Dans la boite de dialogue, tape ComboFix /Uninstall 
&#x25CF; Valide par Ok puis suivre les invites à l'écran.
&#x25CF; Un message confirme que ComboFix a été désinstallé. 

2. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF; Dans la partie "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL en tant qu'administrateur  
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système. 
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau

4. Pour des raison de sécurité, il est impératif de réactiver L'UAC , mettre à son niveau par défaut. En ne le faisant pas, les infections s'installent avec des privilèges et peuvent faire plus de dégâts. 

UAC : Pourquoi ne pas le désactiver 

5. Mises à jour 

 Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour :
Tutoriel SX Check&Update


 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne csoirée

sébastien · Answer

Merci beaucoup je t'écris depuis mon pc justement. Je viens de tous faire meme les mise à jour flash avec SX..

Un grand merci à toi car tu as quand même pris de ton temps et c'est de plus en plus rare de nos jours que les gens regarde plus loin que leur nombril, en s'exprimant correctement et en expliquant correctement.

Bref merci car ce n'étais pas si simple au vu de ce que j'ai lu sur ce virus..

Bonne soirée à toi ;-)

kalimusic · Answer

Tu as raison, avec zeroaccess, parfois la désinfection est plus compliqué...

Un antivirus, l'UAC activé, des logiciels à jour et un petit peu de bon sens et tout doit rouler.

Bonne soirée

Probléme avec le Virus Abnow - Page 2

Discussions similaires

Newsletters