Comment se débarasser d'abnow ?
Ays
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Depuis quelques semaines un virus / malware s'est introduit dans mon PC : une page abnow.com s'ouvre à chaque fois que je clique sur un lien internet, ou que je tente d'ouvrir une page internet depuis Google.
J'ai lu dans une autre discussion du forum qu'il fallait télécharger OTL, faire un scan et vous adresser les 2 rapports. C'est donc ce que j'ai fait (ils sont téléchargés sur cijoint) :
http://cjoint.com/12ma/BCrc5792i9a.htm
http://cjoint.com/12ma/BCrc6TFhKHY.htm
Que dois-je faire ensuite ?
Merci par avance de votre aide !
Ays
Depuis quelques semaines un virus / malware s'est introduit dans mon PC : une page abnow.com s'ouvre à chaque fois que je clique sur un lien internet, ou que je tente d'ouvrir une page internet depuis Google.
J'ai lu dans une autre discussion du forum qu'il fallait télécharger OTL, faire un scan et vous adresser les 2 rapports. C'est donc ce que j'ai fait (ils sont téléchargés sur cijoint) :
http://cjoint.com/12ma/BCrc5792i9a.htm
http://cjoint.com/12ma/BCrc6TFhKHY.htm
Que dois-je faire ensuite ?
Merci par avance de votre aide !
Ays
A voir également:
- Comment se débarasser d'abnow ?
- Se débarasser de s.yimg.com et autres - Forum Virus
- Se debarasser des MAILER-DAEMON ✓ - Forum Windows
- Se débarasser des suggestions Facebook - Forum Facebook
- Comment se debarasser d un cheval de troie - Forum Virus
- Se débarasser de Delphine sur Skyrim ✓ - Forum Jeux PC
88 réponses
Bon bah cette fois j'ai bien fait "enregistrer (la cible...) sous" et j'ai renommé AVANT de télécharger
mais il y a eu EXACTEMENT le même message d'erreur...
mais il y a eu EXACTEMENT le même message d'erreur...
▶ Télécharge et lance Reload_TDSSKiller
▶ Choisis : Lancer le nettoyage
▶ L'outil va automatiquement télécharger la dernière version puis s'ouvrira, clique sur Start Scan
▶ Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
▶ Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
▶ Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
▶ Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
▶ Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure en haut , et Delete en bas.
▶ Si l'outil te le demande redémarre pour finir le nettoyage.
▶ Sinon ferme le logiciel, un rapport s'affichera sur le bureau.
▶ Copie/Colle son contenu dans ta prochaine réponse, ou héberge le rapport.
▶ Choisis : Lancer le nettoyage
▶ L'outil va automatiquement télécharger la dernière version puis s'ouvrira, clique sur Start Scan
▶ Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
▶ Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
▶ Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
▶ Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
▶ Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure en haut , et Delete en bas.
▶ Si l'outil te le demande redémarre pour finir le nettoyage.
▶ Sinon ferme le logiciel, un rapport s'affichera sur le bureau.
▶ Copie/Colle son contenu dans ta prochaine réponse, ou héberge le rapport.
T'as 2 versions de 0access, la version sur 32 chattes et la version en 64 chattes.
La version en 32 peut être récalcitrante. mais plus facile à nettoyer que la 64 en général. ça patche un driver aléatoire et ça fait les dossiers kbxxxxxxxx lockés.
La 64 ça créé conserv.dll qui se met en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlSession Manager\SubSystems
Valeur Windows
Afin de se relancer.
Et forcément vu que la dll est active en mémoire, elle veille à ce qu'on modifie pas la valeur dans laquelle on s'incruste, d'où la difficulté du nettoyage, voilà pourquoi vaut mieux faire ça en live cd.
tiens fait passer un coup de roguekiller voir ?
La version en 32 peut être récalcitrante. mais plus facile à nettoyer que la 64 en général. ça patche un driver aléatoire et ça fait les dossiers kbxxxxxxxx lockés.
La 64 ça créé conserv.dll qui se met en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlSession Manager\SubSystems
Valeur Windows
Afin de se relancer.
Et forcément vu que la dll est active en mémoire, elle veille à ce qu'on modifie pas la valeur dans laquelle on s'incruste, d'où la difficulté du nettoyage, voilà pourquoi vaut mieux faire ça en live cd.
tiens fait passer un coup de roguekiller voir ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bah effectivement avant de venir sur ce forum j'avais déjà essayé TDSS Killer
au fait c'est "elle" :)
au fait c'est "elle" :)
https://www.malekal.com/zaccess-sur-windows-64-bits-consrv-winsrv/
:)
EDIT:
En fait par les scripts que t'as écrit G-H il essayait de faire la même chose qu'explique malekal sur le lien ci-dessus mais tu doute bien que ZAccess se laisse pas faire ;)
.::. Contributeur Sécurité .::.
:)
EDIT:
En fait par les scripts que t'as écrit G-H il essayait de faire la même chose qu'explique malekal sur le lien ci-dessus mais tu doute bien que ZAccess se laisse pas faire ;)
.::. Contributeur Sécurité .::.
en plus il se passe des trucs bizarres là :
par exemple, la barre de défilement de ma souris (de mon pavé tactile) ne fonctionne plus
je sais pas si ça a un rapport avec toutes les manip que je fais mais bon
mais sinon vous fatiguez pas je peux emmener mon ordi à la fnac ou surcouf ils pourront réparer ça non ?
par exemple, la barre de défilement de ma souris (de mon pavé tactile) ne fonctionne plus
je sais pas si ça a un rapport avec toutes les manip que je fais mais bon
mais sinon vous fatiguez pas je peux emmener mon ordi à la fnac ou surcouf ils pourront réparer ça non ?
combofix renommé en MSE sans reseau
Ays dans le dossier Pre_scan dans c:\tu dois avoir un fichier "Reboot" tu peux me le faire parvenir ?
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Ays dans le dossier Pre_scan dans c:\tu dois avoir un fichier "Reboot" tu peux me le faire parvenir ?
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
retente un script avec ca :
Kill::
command::
For %%a in (
"windows"
) do (
%Homedrive%\Pre_scan\swreg.exe acl "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems" /GE:F;D /P /Q /OA /SPEC B >nul 2>&1 && (
%Homedrive%\Pre_scan\swreg.exe ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems" /v "%%~a" /t "REG_EXPAND_SZ" /d "%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" /f ))
File::
C:\Windows\system32\consrv.dll
Reboot::
Kill::
command::
For %%a in (
"windows"
) do (
%Homedrive%\Pre_scan\swreg.exe acl "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems" /GE:F;D /P /Q /OA /SPEC B >nul 2>&1 && (
%Homedrive%\Pre_scan\swreg.exe ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SubSystems" /v "%%~a" /t "REG_EXPAND_SZ" /d "%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" /f ))
File::
C:\Windows\system32\consrv.dll
Reboot::
Merci infiniment!!!!
et merci a tous les trois pour le temps que vous consacrez tous les trois à mes ptits soucis!!!
(et d'ailleurs à toutes les personnes en détresse qui viennent trouver une solution sur ce site)
et merci a tous les trois pour le temps que vous consacrez tous les trois à mes ptits soucis!!!
(et d'ailleurs à toutes les personnes en détresse qui viennent trouver une solution sur ce site)
par contre nouveau rebondissement
mon ordi a méchamment buggé je pouvais plus rien faire
du coup j'ai fait une restauration du système
et comme le problème remontait à deux semaines environ, j'ai choisi comme date de restauration deux semaines avant
bref je sais pas où ça en est
mais j'ai l'impression que "abnow" est parti
quand j'ouvre une page internet, je ne suis plus redirigée vers abnow.com
je refais un scan pour vérifier ?
mon ordi a méchamment buggé je pouvais plus rien faire
du coup j'ai fait une restauration du système
et comme le problème remontait à deux semaines environ, j'ai choisi comme date de restauration deux semaines avant
bref je sais pas où ça en est
mais j'ai l'impression que "abnow" est parti
quand j'ouvre une page internet, je ne suis plus redirigée vers abnow.com
je refais un scan pour vérifier ?
bah oui tout simplement :)
mais en même temps je suis pas certaine que ce soit vraiment éradiqué...
je me permettrai de vous solliciter si jamais ça revient alors ?
en tout cas merci mille fois ! à tous les trois!
mais en même temps je suis pas certaine que ce soit vraiment éradiqué...
je me permettrai de vous solliciter si jamais ça revient alors ?
en tout cas merci mille fois ! à tous les trois!
touche windows +R
tape regedit
deplie cette arborescence :
HKEY_LOCAL_MACHINE
\System
\ControlSet001
\Control\
Session Manager
\SubSystems
clic gauche sur Subsystems
à droite double-clic sur la valeur "windows" et colle toute la ligne ici
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
tape regedit
deplie cette arborescence :
HKEY_LOCAL_MACHINE
\System
\ControlSet001
\Control\
Session Manager
\SubSystems
clic gauche sur Subsystems
à droite double-clic sur la valeur "windows" et colle toute la ligne ici
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
