Comment se débarasser d'abnow ?

Ays -  
 Utilisateur anonyme -
Bonjour,

Depuis quelques semaines un virus / malware s'est introduit dans mon PC : une page abnow.com s'ouvre à chaque fois que je clique sur un lien internet, ou que je tente d'ouvrir une page internet depuis Google.

J'ai lu dans une autre discussion du forum qu'il fallait télécharger OTL, faire un scan et vous adresser les 2 rapports. C'est donc ce que j'ai fait (ils sont téléchargés sur cijoint) :

http://cjoint.com/12ma/BCrc5792i9a.htm

http://cjoint.com/12ma/BCrc6TFhKHY.htm

Que dois-je faire ensuite ?

Merci par avance de votre aide !

Ays

88 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

La problématique centrale est une infection qui redirige systématiquement vers abnow.com lorsqu’un lien est cliqué ou qu’une page est ouverte, et qui pousse à effectuer des scans avec OTL.
Plusieurs échanges ont évoqué des doutes sur la fiabilité des outils et proposé des références liées à ZAccess via Malekal, ainsi que l’utilisation de ZHPFix, ZHPDiag et d’un script associé.
D’autres réponses évoquent des difficultés après le scan, notamment l’apparition d’erreurs au redémarrage et la restauration; l’idée est d’envoyer les rapports et d’obtenir un nouveau ZHPDIAG.
En cas de doute, l’échange mentionne aussi que certains outils peuvent être bloqués ou cachés par des modules malveillants, ce qui peut expliquer les erreurs de redémarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Salut !

    Ferme et enregistre toutes tes applications en cours

    Télécharge et enregistre ceci sur ton bureau :

    Pre_Scan

    S'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau

    Une fois téléchargé lance-le et laisse faire le scan

    Tous les processus non vitaux seront coupés, donc il se peut que ton Antivirus aussi, c'est normal !

    Si 'outil est bloqué par l'infection utilise cette version : Version .pif

    Si l'outil ne se lance toujours pas, utilise cette version renommée : Winlogon.exe (Pre_Scan)

    Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaîtra sur le bureau en fin de scan grâce à ce qui suit :

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    ▶ Clique sur ce lien : https://www.cjoint.com/

    ▶ Clique sur Parcourir, et sélectionne le fichier Pre_Scan_la_date_et_l'heure.txt sur ton bureau

    ▶ Donne moi le lien en résultant

    ▶ Si Cjoint ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne
    0
  2. Ays
     
    Salut!

    Merci beaucoup, mais tes liens vers la dropbox ne marche pas.

    Aurais-tu un autre lien ?
    0
  3. Utilisateur anonyme
     
    Salut,

    Oui j'ai vu pour le lien, tente celui-ci :

    http://cjoint.com/data3/3CtkDjnMFqZ
    0
  4. Ays
     
    Re

    C'est bon le scan a été fait ; voici le lien du rapport :

    http://cjoint.com/12ma/BCtlSKYDVjK.htm

    Merci d'avance pour la suite !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Bonjour,

    Il faut mettre à jour Avast!, vous êtes à la version 5, nous sommes à la 7.

    Relancez Pre_Scan, choisir l'option Script.

    Copier/coller ces lignes :


    Folder::
    C:\Users\Aysegul\AppData\Local\dde4f75b\X

    File::
    C:\Windows\system32\consrv.dll

    Clean::


    Enregistrer puis fermer, laissez l'outil travailler. Il devrait y avoir un pre_script.txt sur le bureau, il faut me le donner.

    Le pc est sévèrement infecté, mais Pre_Scan a bougé une très grosse partit des cochonneries.

    Vous savez comment l'infection est venue ?

    Merci de consulter cette page :

    http://security-helpzone.crdf.net/Thread-P2P-Cracks-Warez-pourquoi-sont-ils-nocifs

    En cas de problème, n'hésite pas à consulter le tutoriel Malwarebytes

    Il se peut que le scan soit long, mais il faut le laisser se terminer.


    ▶ Télécharge Malwarebytes' Anti-Malware sur ton bureau

    ▶ Lance l'installation, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7).

    ▶ Une fois l'installation terminée, le programme se lance et se met à jour. Dans l'onglet Mise à jour, clique sur le bouton "Recherche de mise à jour" au cas où.

    ▶ Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
    ▶ Sélectionne Exécuter un examen complet.
    ▶ Sélectionne Tous les disques.
    ▶ Clique sur Rechercher.

    ▶ Si des menaces ont été détectées, clique sur Afficher les résultats.

    ▶ Sélectionne toutes les menaces et clique sur Supprimer la sélection, l'ordinateur peut demander le redémarrage, si tel est la cas accepte.

    ▶ Une fois redémarré, ouvre Malwarebytes et rends-toi dans l'onglet Rapport.

    ▶ Ouvre le dernier en date, et copie-colle le sur le forum.
    0
  7. Ays
     
    D'accord merci bcp
    Je fais cela en fin de journée (je dois aller bosser là)
    0
    1. Utilisateur anonyme
       
      D'accord, bon courage
      0
  8. Ays
     
    Re Bonjour

    J'ai donc fait le scan en mode script avec Winlogon

    J'ai téléchargé le rapport sur cijoint :

    http://cjoint.com/12ma/BCtxrDJCwym.htm

    ET le scan complet avec malwarebytes :

    http://cjoint.com/12ma/BCtxuB2c1Kh.htm

    Par contre j'ai eu pas mal de problème parce que la première fois, Malwarebytes a détecté un fichier .dll du système 32 comme un trojan. Je l'avais donc supprimé (sans faire attention), du coup lors du redémarrage de mon PC après le scan, mon PC ne démarrait pas normalement, il a dû se restaurer etc. bref

    Tu penses que problème est réglé ?

    Merci encore!
    0
  9. Utilisateur anonyme
     
    Salut,

    On va encore faire des tests, je ne suis pas sur qu'il n'y ait plus de traces !

    C:\ProgramData\AltodbuDmupm.dll (Trojan.Agent) -> Aucune action effectuée.

    Il faut le shooter ce truc hein ;-)

    Ton pc était infecté par Zacces, méchant comme truc..

    ▶ Télécharge ZHPDiag (de Nicolas Coolman)

    ▶ Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)

    ▶ Clique sur l'icône en forme de loupe pour lancer le diagnostique

    ▶ Héberge le rapport ZHPDiag.txt de ton bureau sur :

    https://www.cjoint.com/

    ▶ Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne
    0
  10. Ays
     
    Effectivement je crois que le problème n'est pas réglé parce que quand j'ouvre internet une fenêtre s'ouvre qui indique qu'un "processus malicieux essaie de bloquer l'exécution (C:/.../RootkiZaccess)"

    Voilà le rapport Zdiag :

    http://cjoint.com/12ma/BCuldtWER83.htm

    J'espère pouvoir l'éradiquer!!!
    0
    1. Utilisateur anonyme
       
      Un ami est en train de me faire un script pour dégommer cette ***.

      Attends deux secondes ;-)
      0
  11. Ays
     
    D'acc merci bcp à tous les deux!
    Par contre je dois aller en cours je continue ce soir ok?
    A tout a l'heure!
    0
  12. Utilisateur anonyme
     
    On le dégomme ce soir ;-)

    J'te donne les instructions dans la journée :)
    0
  13. Utilisateur anonyme
     
    Directives :

    service pack 1 de windows à installer + mises à jour à faire
    firefox à mettre à jour
    desinstalle Java update 29

    ===================

    relance pre_scan et choisis script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HP Software Update"=-
    "iTunesHelper"=-
    [HKU\S-1-5-21-12634338-2919749332-2382853423-1001\Software\Microsoft\Windows\CurrentVersion\Run]
    "Windows Time"=-
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
    [-HKCU\Software\dde4f75b]

    command::
    Reg ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems" /v "Windows" /t "REG_EXPAND_SZ" /d "%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16"

    file::
    C:\Users\Aysegul\AppData\Roaming\GhostObjGAFix.xml
    C:\Windows\system32\consrv.dll
    C:\Windows\system32\dds_log_ad13.cmd
    C:\Windows\system32\dds_log_trash.cmd
    C:\Users\Aysegul\AppData\Local\Temp\Low\076LU5SC.htm
    C:\Users\Aysegul\AppData\Local\Temp\Low\17KV9VQ6.emf
    C:\Users\Aysegul\AppData\Local\Temp\Low\4HMLGHJN.htm
    C:\Users\Aysegul\AppData\Local\Temp\Low\8OJLMNMA.htm
    C:\Users\Aysegul\AppData\Local\Temp\Low\CFZACC13.htm
    C:\Users\Aysegul\AppData\Local\Temp\Low\DH8A9E1G.htm
    C:\Users\Aysegul\AppData\Local\Temp\Low\FL8TLWB2.emf
    C:\Users\Aysegul\AppData\Local\Temp\Low\FU6QVC67.htm
    C:\Users\Aysegul\AppData\Local\Temp\Low\QHAGJYV6.htm
    C:\Users\Aysegul\AppData\Local\Temp\Low\ZD72BBSR.htm
    C:\Users\Aysegul\AppData\Local\Temp\Low\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb

    folder::
    C:\Windows\assembly\tmp\U
    C:\Windows\system32\%APPDATA%
    C:\ProgramData\Ask

    Mbr::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  14. Ays
     
    Juste une question : Alors j'ai mis à jour Firefox et j'ai supprimé Java update 29

    mais je sais pas comment installer le service pack 1

    t'es sûr que je dois faire ça ? parce que mon PC est sous le Service Pack 3 !
    0
  15. Utilisateur anonyme
     
    Non non pas de service pack ^^, y'a eu méprise :)

    Tu peux aller taper sur Pre_Scan
    0
  16. Ays
     
    ok alors je suis en train de faire le prescan en direct mais une fenêtre noire est apparue
    avec en dernière ligne "la valeur Windows existe. Voulez-vous la remplacer ?"

    qu'est ce que je fais ?
    0
  17. Ays
     
    bon là ça commence à etre dramatique j'crois
    j'ai finalement fermé la fameuse fenêtre noire
    sauf que l'ordi a redémarré après le prescan
    mais avec gros message d'erreur "votre ordinateur n'a pas pu démarrer etc" du coup il me proposait de faire une restauration
    j'ai cliqué sur "restaurer"
    donc là tout ce qu'on a fait n'a servi à rien ?
    0
  18. Utilisateur anonyme
     
    Quand Pre_scan a demandé pour la valeur, tu as accepté j'espère ?

    Doucement pour commencer, on va regarder ça
    0
  19. Ays
     
    bah non justement... j'ai flippé et j'ai fermé la fenêtre...
    là je t'ecris depuis un autre ordi
    j'arrive même plus a allumer internet avec mon PC
    help... je sais plus quoi faire là
    je le restaure ?
    0
    1. Ays
       
      est ce qu'on peut se parler par mail ou par téléphone ? ce sera plus simple
      enfin t'as peut être autre chose à faire!
      0
    2. Utilisateur anonyme
       
      On restaure rien du tout,y'a juste une clef de registre à changer, rien de grave, c'est ce que vous n'avez pas modifié.

      Pas d'accès au mode sans échec ?

      Désolé mais je n'ai pas pour habitude d'avoir des gens de "l'extérieur" au téléphone.
      0
  20. Ays
     
    ok je comprends

    là le PC s'est redémarré à peu près normalement (après la restauration qu'il a automatiquement fait)

    du coup je reprends le pre scan avec winlogon ?

    et quand il me demande de remplacer la valeur windows je mets "oui" ?
    0
    1. Utilisateur anonyme
       
      En effet il faut cliquer sur oui... mais là ça m'embête la restauration, puis-je en savoir davantage ?
      0
  21. Ays
     
    ok alors je reprends pour que ce soit plus clair :

    j'ai copié/collé le script dans la page vierge du mode "Script" du logiciel Winlogon comme tu m'as demandé de le faire

    et effectivement le logiciel s'est mis à "travailler" : il y avait une petite fenêtre "bash" en haut à gauche ET une fenêtre noire

    cette fenêtre noire comportait des lignes d'écriture

    La dernière ligne était "la valeur Windows existe. Voulez-vous la remplacer ? <Oui/Non>"

    J'ai attendu une dizaine de minutes, et j'ai fermé la fenêtre noire (tout simplement en cliquant sur la croix rouge à droite de la fenêtre)

    Winlogon a continué de travaillé et a redémarré l'ordi
    SAUF que là il y a eu un message d'erreur indiquant que l'ordi ne pouvait pas se rallumer et une fenêtre proposait la restauration
    là j'ai mis OK

    voilà
    0
  • 1
  • 2
  • 3
  • 4
  • 5