Comment se débarasser d'abnow ?

Question

Bonjour, 

Depuis quelques semaines un virus / malware s'est introduit dans mon PC : une page abnow.com s'ouvre à chaque fois que je clique sur un lien internet, ou que je tente d'ouvrir une page internet depuis Google.

J'ai lu dans une autre discussion du forum qu'il fallait télécharger OTL, faire un scan et vous adresser les 2 rapports. C'est donc ce que j'ai fait (ils sont téléchargés sur cijoint) :

http://cjoint.com/12ma/BCrc5792i9a.htm

http://cjoint.com/12ma/BCrc6TFhKHY.htm

Que dois-je faire ensuite ? 

Merci par avance de votre aide !

Ays

Saachaa · Answer

Salut !

Ferme et enregistre toutes tes applications en cours        

Télécharge et enregistre ceci sur ton bureau :        

Pre_Scan          

S'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau        

Une fois téléchargé lance-le et laisse faire le scan

Tous les processus non vitaux seront coupés, donc il se peut que ton Antivirus aussi, c'est normal !

Si 'outil est bloqué par l'infection utilise cette version : Version .pif  

Si l'outil ne se lance toujours pas, utilise cette version renommée : Winlogon.exe (Pre_Scan)

Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"        

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaîtra sur le bureau en fin de scan grâce à ce qui suit :

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)        

&#9654 Clique sur ce lien : https://www.cjoint.com/        

&#9654 Clique sur Parcourir, et sélectionne le fichier Pre_Scan_la_date_et_l'heure.txt sur ton bureau    

&#9654 Donne moi le lien en résultant

&#9654 Si Cjoint ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

Ays · Answer

Salut!

Merci beaucoup, mais tes liens vers la dropbox ne marche pas. 

Aurais-tu un autre lien ?

Saachaa · Answer

Salut,

Oui j'ai vu pour le lien, tente celui-ci :

http://cjoint.com/data3/3CtkDjnMFqZ

Ays · Answer

Re

C'est bon le scan a été fait ; voici le lien du rapport :

http://cjoint.com/12ma/BCtlSKYDVjK.htm

Merci d'avance pour la suite !

Saachaa · Answer

Bonjour,

Il faut mettre à jour Avast!, vous êtes à la version 5, nous sommes à la 7.

Relancez Pre_Scan, choisir l'option Script.

Copier/coller ces lignes :


Folder::
C:\Users\Aysegul\AppData\Local\dde4f75b\X

File::
C:\Windows\system32\consrv.dll

Clean::


Enregistrer puis fermer, laissez l'outil travailler. Il devrait y avoir un pre_script.txt sur le bureau, il faut me le donner.

Le pc est sévèrement infecté, mais Pre_Scan a bougé une très grosse partit des cochonneries.

Vous savez comment l'infection est venue ?

Merci de consulter cette page :

http://security-helpzone.crdf.net/Thread-P2P-Cracks-Warez-pourquoi-sont-ils-nocifs

&#9654 En cas de problème, n'hésite pas à consulter le tutoriel Malwarebytes

Il se peut que le scan soit long, mais il faut le laisser se terminer.

&#9654 Télécharge Malwarebytes' Anti-Malware sur ton bureau

&#9654 Lance l'installation, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7).

&#9654 Une fois l'installation terminée, le programme se lance et se met à jour. Dans l'onglet Mise à jour, clique sur le bouton "Recherche de mise à jour" au cas où.

&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
&#9654 Sélectionne Exécuter un examen complet.
&#9654 Sélectionne Tous les disques.
&#9654 Clique sur Rechercher.

&#9654 Si des menaces ont été détectées, clique sur Afficher les résultats.

&#9654 Sélectionne toutes les menaces et clique sur Supprimer la sélection, l'ordinateur peut demander le redémarrage, si tel est la cas accepte.

&#9654 Une fois redémarré, ouvre Malwarebytes et rends-toi dans l'onglet Rapport.

&#9654 Ouvre le dernier en date, et copie-colle le sur le forum.

Ays · Answer

D'accord merci bcp
Je fais cela en fin de journée (je dois aller bosser là)

Ays · Answer

Re Bonjour

J'ai donc fait le scan en mode script avec Winlogon 

J'ai téléchargé le rapport sur cijoint : 

http://cjoint.com/12ma/BCtxrDJCwym.htm

ET le scan complet avec malwarebytes :

http://cjoint.com/12ma/BCtxuB2c1Kh.htm

Par contre j'ai eu pas mal de problème parce que la première fois, Malwarebytes a détecté un fichier .dll du système 32 comme un trojan. Je l'avais donc supprimé (sans faire attention), du coup lors du redémarrage de mon PC après le scan, mon PC ne démarrait pas normalement, il a dû se restaurer etc. bref  

Tu penses que problème est réglé ? 

Merci encore!

Saachaa · Answer

Salut,

On va encore faire des tests, je ne suis pas sur qu'il n'y ait plus de traces !

C:\ProgramData\AltodbuDmupm.dll (Trojan.Agent) -> Aucune action effectuée.

Il faut le shooter ce truc hein ;-)

Ton pc était infecté par Zacces, méchant comme truc..

&#9654 Télécharge ZHPDiag (de Nicolas Coolman)

&#9654 Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)

&#9654 Clique sur l'icône en forme de loupe pour lancer le diagnostique

&#9654 Héberge le rapport ZHPDiag.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

Ays · Answer

Effectivement je crois que le problème n'est pas réglé parce que quand j'ouvre internet une fenêtre s'ouvre qui indique qu'un "processus malicieux essaie de bloquer l'exécution (C:/.../RootkiZaccess)"

Voilà le rapport Zdiag :

http://cjoint.com/12ma/BCuldtWER83.htm

J'espère pouvoir l'éradiquer!!!

Ays · Answer

D'acc merci bcp à tous les deux!
Par contre je dois aller en cours je continue ce soir ok? 
A tout a l'heure!

Saachaa · Answer

On le dégomme ce soir ;-)

J'te donne les instructions dans la journée :)

Saachaa · Answer

Directives :

service pack 1 de windows à installer + mises à jour à faire 
firefox à mettre à jour 
desinstalle Java update 29 

=================== 

relance pre_scan et choisis script , une page vierge va s'ouvrir. 

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) : 
___________________________________________________ 
Kill:: 

Registry:: 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"HP Software Update"=- 
"iTunesHelper"=- 
[HKU\S-1-5-21-12634338-2919749332-2382853423-1001\Software\Microsoft\Windows\CurrentVersion\Run] 
"Windows Time"=- 
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}] 
[-HKCU\Software\dde4f75b] 

command:: 
Reg ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems" /v "Windows" /t "REG_EXPAND_SZ" /d "%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" 

file:: 
C:\Users\Aysegul\AppData\Roaming\GhostObjGAFix.xml 
C:\Windows\system32\consrv.dll 
C:\Windows\system32\dds_log_ad13.cmd 
C:\Windows\system32\dds_log_trash.cmd 
C:\Users\Aysegul\AppData\Local\Temp\Low\076LU5SC.htm 
C:\Users\Aysegul\AppData\Local\Temp\Low\17KV9VQ6.emf 
C:\Users\Aysegul\AppData\Local\Temp\Low\4HMLGHJN.htm 
C:\Users\Aysegul\AppData\Local\Temp\Low\8OJLMNMA.htm 
C:\Users\Aysegul\AppData\Local\Temp\Low\CFZACC13.htm 
C:\Users\Aysegul\AppData\Local\Temp\Low\DH8A9E1G.htm 
C:\Users\Aysegul\AppData\Local\Temp\Low\FL8TLWB2.emf 
C:\Users\Aysegul\AppData\Local\Temp\Low\FU6QVC67.htm 
C:\Users\Aysegul\AppData\Local\Temp\Low\QHAGJYV6.htm 
C:\Users\Aysegul\AppData\Local\Temp\Low\ZD72BBSR.htm 
C:\Users\Aysegul\AppData\Local\Temp\Low\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb 

folder:: 
C:\Windows\assembly	mp\U 
C:\Windows\system32\%APPDATA% 
C:\ProgramData\Ask 

Mbr:: 

clean:: 

Reboot:: 
___________________________________________________ 

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Ays · Answer

Juste une question : Alors j'ai mis à jour Firefox et j'ai supprimé Java update 29

mais je sais pas comment installer le service pack 1

t'es sûr que je dois faire ça ? parce que mon PC est sous le Service Pack 3 !

Saachaa · Answer

Non non pas de service pack ^^, y'a eu méprise :)

Tu peux aller taper sur Pre_Scan

Ays · Answer

ok alors je suis en train de faire le prescan en direct mais une fenêtre noire est apparue
avec en dernière ligne "la valeur Windows existe. Voulez-vous la remplacer ?"

qu'est ce que je fais ?

Ays · Answer

bon là ça commence à etre dramatique j'crois
j'ai finalement fermé la fameuse fenêtre noire
sauf que l'ordi a redémarré après le prescan
mais avec gros message d'erreur "votre ordinateur n'a pas pu démarrer etc" du coup il me proposait de faire une restauration 
j'ai cliqué sur "restaurer"
donc là tout ce qu'on a fait n'a servi à rien ?

Saachaa · Answer

Quand Pre_scan a demandé pour la valeur, tu as accepté j'espère ?

Doucement pour commencer, on va regarder ça

Ays · Answer

bah non justement... j'ai flippé et j'ai fermé la fenêtre...
là je t'ecris depuis un autre ordi 
j'arrive même plus a allumer internet avec mon PC
help... je sais plus quoi faire  là
je le restaure ?

Ays · Answer

ok je comprends

là le PC s'est redémarré à peu près normalement (après la restauration qu'il a automatiquement fait)

du coup je reprends le pre scan avec winlogon ? 

et quand il me demande de remplacer la valeur windows je mets "oui" ?

Ays · Answer

ok alors je reprends pour que ce soit plus clair :

j'ai copié/collé le script dans la page vierge du mode "Script" du logiciel Winlogon comme tu m'as demandé de le faire

et effectivement le logiciel s'est mis à "travailler" : il y avait une petite fenêtre "bash" en haut à gauche ET une fenêtre noire

cette fenêtre noire comportait des lignes d'écriture

La dernière ligne était "la valeur Windows existe. Voulez-vous la remplacer ? <Oui/Non>"

J'ai attendu une dizaine de minutes, et j'ai fermé la fenêtre noire (tout simplement en cliquant sur la croix rouge à droite de la fenêtre)

Winlogon a continué de travaillé et a redémarré l'ordi
SAUF que là il y a eu un message d'erreur indiquant que l'ordi ne pouvait pas se rallumer et une fenêtre proposait la restauration 
là j'ai mis OK

voilà

Saachaa · Answer

Okay...

Pourquoi ne pas avoir demandé ?

Il faut refaire un scan avec Pre_Scan, et me donner le rapport...

Ays · Answer

ok désolée... je refais le prescan...

Saachaa · Answer

C'est pour le pc après.. :)

Ays · Answer

dernière question : je mets quelque chose dans le script ? 

je copie/colle qqch ?

Saachaa · Answer

Nah, faut laisser le Scan de Pre_Scan, pas de script pour le moment :)

Ays · Answer

Bon donc j'ai refais le PreScan avec Winlogon 

Voici le rapport :
http://cjoint.com/12ma/BCvahEdRHV5.htm

Par contre à la fin du scan, l'ordi a redémarré, et de nouveau il y a eu une fenêtre d'erreur qui indique 
"C:\ProgramData\AltodbuDmupm.dll     
Le module spécifié est introuvable"

Saachaa · Answer

A la suite de cette erreur, tu peux démarrer sur le pc ?

Quand se produit cette erreur ?

Ays · Answer

Bonjour
désolée j'ai pas pu me connecter ce matin 

le message d'erreur se produit dès que j'allume l'ordi 

pour que ce soit + clair j'ai fait un imprim écran de la fenêtre d'erreur et je l'ai mis sur ci joint :
http://cjoint.com/12ma/BCvtGbkbnAB.htm

mais apparemment ça ne m'empêche pas d'utiliser normalement mon ordi

g3n-h@ckm@n · Answer

salut

et oui la partie du script "Registry::" est ecrite pour enlever cette erreur au demarrage justement ^^

Saachaa · Answer

Mets à jour Avast!.  



&#9654 Relance Pre_Scan, et choisis l'option Script.  
&#9654 Dans le fichier texte, copie/colle les lignes ci-dessous (en gras).  
  
Kill::

Registry::  
[HKU\S-1-5-21-12634338-2919749332-2382853423-1001\Software\Microsoft\Windows\CurrentVersion\Run]  
"Windows Time"=-  
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"APSDaemon"=-  
"iTunesHelper"=-   

Command:: 
Reg ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems" /v "Windows" /t "REG_EXPAND_SZ" /d "%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16"  

Folder::  
C:\Users\Aysegul\AppData\Local\dde4f75b  
C:\Windows\system32\%APPDATA%  
C:\ProgramData\Temp  
C:\ProgramData\{0DD0EEEE-2A7C-411C-9243-1AE62F445FC3}  
C:\ProgramData\{23D58E70-3B83-4B83-A227-68770F84F5EC}  
C:\ProgramData\{93E26451-CD9A-43A5-A2FA-C42392EA4001}  
C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}  
C:\ProgramData\{DA06AA03-DF24-4ECE-939E-1B0939235C66}  

File::  
C:\Windows\system32\dds_log_ad13.cmd  
C:\Windows\system32\dds_log_trash.cmd  
C:\Windows\system32\consrv.dll  
C:\Users\Aysegul\Downloads\BDRemovalTool_sirefef_x86.exe  
C:\ProgramData\{051B9612-4D82-42AC-8C63-CD2DCEDC1CB3}.log  
C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log  
C:\ProgramData\{23F3DA62-2D9E-4A69-B8D5-BE8E9E148092}.log  
C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log  
C:\ProgramData\{4FC670EB-5F02-4B07-90DB-022B86BFEFD0}.log  
C:\ProgramData\{9867824A-C86D-4A83-8F3C-E7A86BE0AFD3}.log  
C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log  
C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log  
C:\ProgramData\{d36dd326-7280-11d8-97c8-000129760cbe}.log  

Clean::  

Reboot::
  
&#9654 Enregistre le fichier texte, puis ferme-le.  
&#9654 Il faut laisser l'outil travailler, et me donner le rapport Pre_Script.txt sur ton bureau quand l'outil aura terminé.  
?? Saachaa ?  
Contributeur CCM

Ays · Answer

j'ai fait le scan :
http://cjoint.com/12ma/BCvvbdLOSnv.htm

mais, de nouveau, ya un problème : quand l'ordi redémarre à la suite du scan, 
il n'arrive pas à redémarrer normalement, il redémarre bizarrement
avec une fenêtre d'erreur qui indique "l'ordinateur ne parvient pas à redémarrer normalement etc"
et là une fenêtre me propose la restauration 
évidemment j'ai mis "oui" sinon l'ordi ne s'allume pas

c'est peut-être le script qui n'est pas bon

Ays · Answer

j'ai donc refait le scan en supprimant cette ligne

voici le rapport de script : 
http://cjoint.com/12ma/BCvvoSTadL7.htm

mais il y a eu un petit message d'erreur concernant winlogon.exe 
et le scan a duré quelques secondes,

Saachaa · Answer

AAaaaannnnnnhhhhhhh, Zaccess, il commence à me les briser ! /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS /!\ _____________________________________________________ Logiciel à utiliser si prescrit par un helpeur qualifié et formé à l'outil >>> Ne pas utiliser en dehors de ce cas de figure : dangereux <<< _____________________________________________________ ▶ Surtout, pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, il faut impérativement le désinstaller avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système ! La simple désactivation du résident n'est pas suffisante. En suivant ce lien, recherche AVG et choisis la version adéquat, puis lance l'outil. ▶ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge et lance Defogger (de jpshortstuff) sur ton Bureau ▶ Une fenêtre apparaît : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable". _________________________________________________________ ▶ Enregistre et ferme tous tes programmes en cours ▶ Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, toutes tes protections (Antivirus, AntiSpyware etc...) qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. _________________________________________________________ Si tu as Windows XP -> double clique sur le logiciel pour le lancer. Si tu as Windows Vista ou Windows 7 -> clic droit "exécuter en tant qu'administrateur" sur le logiciel pour le lancer. ¤¤ Accepte l'installation de la console de récupération si demandé ¤¤ ! Ne touche à rien pendant que l'outil travaille (souris, clavier...) ! ▶ Une fois que ComboFix a terminé, n'oublie pas de réactiver la garde de tes protections avant de te reconnecter à Internet ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Ays · Answer

Juste une question : j'ai donc téléchargé combofix
il se trouve donc dans le dossier "Téléchargements"
Je fais "Renommer" et je le renomme "monprénom" c'est ça ?

Saachaa · Answer

Euh.. oui :)

Ays · Answer

OK j'ai suivi toutes les instructions (désactiver AVG, Defogger...)

le logiciel a travaillé quelques secondes 

une fenêtre s'est ouverte, et des lignes ont défilé etc

mais c'est tout! il s'est rien passé d'autre

ya même pas de rapport de scan / fichier texte qui est apparu sur le bureau

Saachaa · Answer

Des lignes ? Comment ça ?

juju666 · Answer

Hello faut renommer ComboFix AVANT qu'il ne soit sur le PC, il a sûrement été contré.

Faut faire un clic droit là : COMBOFIX
Cliquer sur "Enregistrer (la cible du lien) sous ..." 
Choisir le bureau

Et hop c'est parti :)

Salut Saachaa et G-H ;)

Ays · Answer

en fait je pense que le logiciel ne s'est pas installé correctement

il y a eu un message d'erreur 

j'ai fait imprim ecran et je l'ai mis sur cijoint pout que tu vois :

http://cjoint.com/12ma/BCvwbmwqPWp.htm

Saachaa · Answer

Yop Julien !

Bah ouais mais dans le cas présent, c'est ça la cause ?

Ays · Answer

OK merci à tous les trois! :)
je recommence!

Ays · Answer

Bon bah cette fois j'ai bien fait "enregistrer (la cible...) sous" et j'ai renommé AVANT de télécharger
mais il y a eu EXACTEMENT le même message d'erreur...

Saachaa · Answer

Qui c'est qui a viré son message avant moi :D ?

Je te prépare la suite bouge pas

Saachaa · Answer

&#9654 Télécharge et lance Reload_TDSSKiller

&#9654 Choisis : Lancer le nettoyage

&#9654 L'outil va automatiquement télécharger la dernière version puis s'ouvrira, clique sur Start Scan

&#9654 Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
&#9654 Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
&#9654 Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
&#9654 Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
&#9654 Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure en haut , et Delete en bas.

&#9654 Si l'outil te le demande redémarre pour finir le nettoyage.

&#9654 Sinon ferme le logiciel, un rapport s'affichera sur le bureau.

&#9654 Copie/Colle son contenu dans ta prochaine réponse, ou héberge le rapport.

Ays · Answer

bah effectivement avant de venir sur ce forum j'avais déjà essayé TDSS Killer
au fait c'est "elle" :)

juju666 · Answer

https://www.malekal.com/zaccess-sur-windows-64-bits-consrv-winsrv/ 

:) 

EDIT:

En fait par les scripts que t'as écrit G-H il essayait de faire la même chose qu'explique malekal sur le lien ci-dessus mais tu doute bien que ZAccess se laisse pas faire ;)
 .::. Contributeur Sécurité .::.

Saachaa · Answer

Sorry mademoiselle :), je ferai en conséquence ;)

Ays · Answer

en plus il se passe des trucs bizarres là :
par exemple, la barre de défilement de ma souris (de mon pavé tactile) ne fonctionne plus
je sais pas si ça a un rapport avec toutes les manip que je fais mais bon
mais sinon vous fatiguez pas je peux emmener mon ordi à la fnac ou surcouf ils pourront réparer ça non ?

g3n-h@ckm@n · Answer

combofix renommé en MSE sans reseau 

Ays dans le dossier Pre_scan dans c:	u dois avoir un fichier "Reboot" tu peux me le faire parvenir ?
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

retente un script avec ca :

Kill::

command::
For %%a in (
"windows"
) do (
%Homedrive%\Pre_scan\swreg.exe acl "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems" /GE:F;D /P /Q /OA /SPEC B >nul 2>&1 && (
%Homedrive%\Pre_scan\swreg.exe ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems" /v "%%~a" /t "REG_EXPAND_SZ" /d "%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" /f )) 

File::
C:\Windows\system32\consrv.dll

Reboot::

Ays · Answer

Merci infiniment!!!!

et merci a tous les trois pour le temps que vous consacrez tous les trois à mes ptits soucis!!!

(et d'ailleurs à toutes les personnes en détresse qui viennent trouver une solution sur ce site)

g3n-h@ckm@n · Answer

lol qu'a donné le dernier script ?

Ays · Answer

par contre nouveau rebondissement 
mon ordi a méchamment buggé je pouvais plus rien faire
du coup j'ai fait une restauration du système
et comme le problème remontait à deux semaines environ, j'ai choisi comme date de restauration deux semaines avant
bref je sais pas où ça en est 
mais j'ai l'impression que "abnow" est parti
quand j'ouvre une page internet, je ne suis plus redirigée vers abnow.com
je refais un scan pour vérifier ?

Ays · Answer

j'ai même pas pu faire le dernier script !
(voir mon dernier message ci-dessus)

g3n-h@ckm@n · Answer

ah ben t'aurais du faire ca des le depart ^^

Ays · Answer

bah oui tout simplement :)
mais en même temps je suis pas certaine que ce soit vraiment éradiqué...
je me permettrai de vous solliciter si jamais ça revient alors ?
en tout cas merci mille fois ! à tous les trois!

g3n-h@ckm@n · Answer

ca serait bien de verifier la clé je pense....

Ays · Answer

ok
comment on fait ça :) ?

g3n-h@ckm@n · Answer

touche windows +R 

tape regedit 

deplie cette arborescence : 

HKEY_LOCAL_MACHINE 
\System 
\ControlSet001 
\Control\ 
Session Manager 
\SubSystems 

clic gauche sur Subsystems 

à droite double-clic sur la valeur "windows" et colle toute la ligne ici 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Ays · Answer

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16

g3n-h@ckm@n · Answer

parfait :)

Ays · Answer

youpiiiii ! enfin débarassée ! 
merci encore de ta patience "saachaa" ! et tes potes aussi !

g3n-h@ckm@n · Answer

je serais quand meme d'avis de faire un scan complet avec Malwarebytes

Saachaa · Answer

Salut tout le monde !

@Juju, Oui pour le x64, je galère à le virer.

@Génie, j'ai rien compris !

@Ays, On continue ?

Ays · Answer

Ok je fais un scan complet avec malwarebytes ?

Saachaa · Answer

Oui, et une fois ceci fait, je voudrais bien un nouveau ZHPDIAG :)

Ays · Answer

j'ai fait le scan complet avec malwarebyte:

http://cjoint.com/12ma/BCwmecWhSLm.htm

Saachaa · Answer

Très bien ! J'aimerais contrôler que..

&#9654 Télécharge ZHPDiag (de Nicolas Coolman)

&#9654 Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)

&#9654 Clique sur l'icône en forme de loupe pour lancer le diagnostique

&#9654 Héberge le rapport ZHPDiag.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

Ays · Answer

et voilà le rapport zhpdiag :

http://cjoint.com/12ma/BCwmxaIsADi.htm

mais t'es sûr que c'est bon ? parce que dans le rapport malwarebyte, ya quand même 2 éléments détectés comme dangereux

Saachaa · Answer

&#9654 Lance de ton bureau ZHPFix (de Nicolas Coolman), (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)

&#9654 Copie-colle le texte ci-dessous (en gras)

sysrestore
O43 - CFD: 21/03/2012 - 23:20:10 - [0,606] ----D- C:\ProgramData\Temp
O43 - CFD: 21/03/2012 - 23:20:10 - [33,621] ----D- C:\ProgramData\{23D58E70-3B83-4B83-A227-68770F84F5EC}
O43 - CFD: 21/03/2012 - 23:20:10 - [0,850] ----D- C:\ProgramData\{93E26451-CD9A-43A5-A2FA-C42392EA4001}
O43 - CFD: 21/03/2012 - 23:20:12 - [45,266] ----D- C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
O43 - CFD: 21/03/2012 - 23:20:12 - [20,236] ----D- C:\ProgramData\{DA06AA03-DF24-4ECE-939E-1B0939235C66}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}] 
[HKLM\Software\Wow6432Node\Martin Prikryl\OpenCandy]   
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440} 
C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb
Emptytemp
FirewallRAZ

&#9654 Clique sur Nettoyer, et héberge le rapport ZHPFix.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

juju666 · Answer

C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Aucune action effectuée.

ça a aussi été shooté par pre_scan ça ??

Ays · Answer

bonsoir tout le monde ^^
je viens de rentrer de cours et je vois tous vos posts (que je ne comprends forcément d'ailleurs ;)
du coup je fais quoi là ? 
je lance ZhpFix avec le script ci-dessus ? puis j'envoie le rapport sur cijoint ?

Saachaa · Answer

Salut,

Oui c'est ça ;-)

Ays · Answer

euh j'ai quand même un ptit doute 
en fait après le scan de Malwarebyte, 2 éléments étaient détectés comme nocifs, et le logiciel me demandait si je voulais les supprimer
je les ai évidemment supprimés
du coup, faut quand même que je fasse ZhpFix ?

Ays · Answer

non justement je te demande parce que c'était le dernier de la liste, bref

voilà le rapport:
http://cjoint.com/12ma/BCwu7pYxMvV.htm

et effectivement ya bien écrit "mis en quarantaine avec succès"

Saachaa · Answer

Mon canned speech est censé éviter ce genre de désagrément :-(

Ays · Answer

je fais quoi du coup maintenant ? 

d'après le rapport de scan c'est pas bon ?

Saachaa · Answer

Fais ça :

https://forums.commentcamarche.net/forum/affich-24743256-comment-se-debarasser-d-abnow?page=4#96

Y'a deux trois restes à virer !

Ays · Answer

une fenêtre me demande "vous confirmez le nettoyage des données"
je mets OK ?

Ays · Answer

bon là ya une fenêtre d'erreur qui s'est ouverte qui indique
"Impossible de positionner le point de restauration"

Ays · Answer

j'ai mis OK sur la fenêtre d'erreur

voilà le rapport :
http://cjoint.com/12ma/BCwxEDVcLHI.htm

et ya aussi un rapport "de quarantaine":
http://cjoint.com/12ma/BCwxFD3oenF.htm

Saachaa · Answer

Très bien, comment va le pc ?

Ays · Answer

bah je sais pas, à toi de me dire ;)
ça a l'air d'aller !!!

Saachaa · Answer

Là je pense que ça doit aller beaucoup mieux... T'as pas l'air convaincu !

Ays · Answer

bah si si

c'est toi le pro, à toi de me dire ;)

merciiii mille fois de ton aide!!!

Saachaa · Answer

Parfait ! Le final (ou placard dans notre jargon).

Ceci est le plus important, c'est ce qui fera que tu ne te retrouvera pas dans la même situation !

&#9654 Commençons par supprimer les outils de désinfection (car ils sont souvent mis à jour), utilise pour cela DelFix (merci à Xplode)
&#9654 Clique sur Suppression, et poste le rapport sur le forum

&#9654 Il est ensuite nécessaire de purger la restauration système, afin que les éléments infectés ne reviennent pas:

-> Purger la restauration et créer un nouveau point

&#9654 Il faut vacciner les supports amovibles !

-> Vacciner ses supports amovibles simplement

&#9654 Tu dois absolument disposer d'un Antivirus !

-> Qu'il soit gratuit ou payant, cela importe peu. Ce sera ton attitude sur le net qui déterminera le pourcentage de chance que tu as d'attraper des infections !

&#9654 Pour mieux savoir quel antivirus te correspond, voici un regroupement de tests antivirus :

- Avast - Avira - AVG - BitDefender - Comodo - Dr.Web - Emsisoft - Eset - G-Data - Ikarus - Kaspersky - MSE - Norton - Panda - Trend Micro - Vipre

&#9654 Concernant les antivirus payants, tu peux les avoir gratuitement pendant plusieurs mois à cette adresse :

-> Antivirus payants gratuits !

Bien entendu, un antivirus pas à jour, c'est presque comme ne pas en avoir, penses-y !

&#9654 Pour désinstaller un antivirus au profit d'un autre :

-> Désinstaller tous les antivirus

&#9654 Si tu n'as pas lu la page de mise en garde contre les adwares, je t'invite à la lire :

-> Attention aux adwares !

&#9654 Attention aux toolbars inutiles !

-> Supprimer les barres d'outils inutiles

&#9654 Si tu as Windows Defender, désactive-le il n'est pas utile et ralenti le pc :

-> Gérer Windows Defender

&#9654 Utilise un vérificateur de réputation comme WOT, afin d'éviter les sites frauduleux et infectieux :

-> Tutoriel WOT

&#9654 Tu peux aussi utiliser des serveurs DNS sécurisés :

-> Comment changer des serveurs DNS
-> DNS Sécurisés

&#9654 Utilise ce lien pour savoir si certains fichiers ou sites sont néfastes :

-> Vérifier qu'un fichier ou un site n'est pas infecté

&#9654 Et pour te protéger des pubs (parfois malveillantes) :

-> Se protéger des pubs

&#9654 Tu peux aussi utiliser un "scanneur" Antimalware (qui peut être conjoint à l'antivirus sans problème) comme :

| Emsisoft | Super Anti-Spyware
| Malwarebytes

(logiciel à lancer en scan complet une fois par mois environ)

&#9654 Pour choisir un mot de passe correct : 

-> Comment choisir un bon mot de passe ?

&#9654 Mais tout ceci ne sert presque à rien si tu ne mets pas tes logiciels à jour tout comme Windows ! Pour ce faire regarde ici :

-> FileHippo

&#9654 Pour apprendre à désinfecter son ordinateur des virus : 

-> Formation gratuite en désinfection virale

&#9654 Pour optimiser l'ordinateur :

-> Nettoyer son pc au maximum
-> Optimiser le temps de démarrage
-> Désactiver les services inutiles
-> Supprimer totalement les programmes encombrants
-> Gagner en vitesse de navigation
-> Décupler les capacités de Windows

&#9654 Tutoriel complet d'optimisation ici:

-> Booster et nettoyer son pc

&#9654 Prévention concernant le téléchargement :

-> P2P, Crack et Keygen, pourquoi ne pas télécharger ?

&#9654 Pour comprendre pourquoi un antivirus ne protège pas de tout:

-> Le mythe des antivirus

Si tu as des questions je suis là pour y répondre, bonne continuation.

Ays · Answer

c'est une blague ????
tout ça LOL ?
je m'en occupe demain...

Ays · Answer

j'ai crée le point de restauration 
et j'ai supprimé les logiciels anti malware 
voici le rapport :
http://cjoint.com/12ma/BCzaS2gKkah.htm

je ferai le reste demain... :)

Comment se débarasser d'abnow ?

88 réponses

Discussions similaires

Newsletters