Virus abnow.

Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   -  
 g3n-h@ckm@n -
Bonjour, depuis ce matin je n'arrive plus à faire des recherches avec google car tous les liens m'envoient sur abnow, j'ai fait quelque recherche avec un autre pc et j'ai vu qu'il fallait installer et lancer ZHPDiag ainsi que poster le lien Cjoint, que voici :

https://www.cjoint.com/?0CAtKQ56NqD

Merci d'avance pour vos réponse et votre aide.

16 réponses

Résumé de la discussion

Problème de redirection des recherches Google vers abnow est signalé, suggérant une infection ou un hijack du navigateur et nécessitant des mesures de diagnostic et de nettoyage. Plusieurs solutions essentielles sont évoquées, prioritairement refaire un scan, puis tester des outils et procédures avancées comme renommer et relancer combofix et utiliser OTLPE pour modifier des clés système. D'autres conseils suggèrent d'amorcer l'ordinateur à partir d'un CD/clé USB bootable, d'essayer le mode sans échec et d'exécuter des scans via des environnements dédiés, avec des liens d'instructions fournis. Des ressources complémentaires proposent des procédures pas-à-pas et la sauvegarde des rapports, tout en recommandant de procéder prudemment et de vérifier les résultats avant toute action.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    Salut,

    Est-ce que tu pourrais désinstaller DAEMON Tools Lite stp :-)

    Télécharge Reload_Tdsskiller :ici.

    *Lance le choisis : lancer le nettoyage

    *TDSSKiller va s'ouvrir , clique sur "Start Scan"
    -Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    -Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    -Si TDSS.tdl4(HardDisk0MBR) est détecté assure toi que Cure est bien cochée.
    -Si Suspicious file est indiqué, laisse l''option cochée sur SkipSi Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas.

    *une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    *sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
    Copie/Colle son contenu sur pjjoint et donne moi le lien dans ta prochaine réponse.
    0
    1. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      ( J'ai fait passer TdssKiller car RootKit.ZAccess )
      0
    2. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      C'est un lien mort pour TdssKiller , j'ai essayé de le télécharger sur 01net.com mais quand je le lance il ne me propose pas "lancer le nettoyage", seulement Strat Scan, quand il a fini ça ne fait rien.

      PS : J'ai désinstallé DaemonTools Lite.

      Edit : Je viens de relancer le scan et il a détecter un truc " unsigned file " mais rien d'autre.
      0
    3. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      Ok merci, mais pareil qu'avant, rien ne se passe x)

      PS : je viens de faire une recherche banale sur google et bizarrement, plus de abnow, est-ce que finalement TdssKiller aurait fonctionné ?
      0
    4. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      Oui je pense mais normalement tu aurais dû recevoir un rapport, peux-tu me donner un nouveau rapport ZHPDiag stp :-)
      0
  2. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    /!\ Sauvegarde tes documents importants et crée un point de restauration /!\

    /!\ Ferme toutes les fenêtre et ton navigateur aussi puis Désactive les logiciels de protection (Antivirus, Antispywares) /!\ après :

    *Télécharge Combofix sur ton bureau : ici.

    -Laisse toi guider lors de l'installation.

    - Quand ComboFix te demandera s'il veut ou non installer la console de récupération, choisis de l'installer, cela est important.

    - /!\ Ne touche à rien pendant le scan /!\

    -Attends que combofix ait terminé, un rapport sera créé. Poste le rapport par pjjoint.

    TUTO : ICI

    *Si ComboFix ne se lance pas, renomme le fichier ComboFix.exe et retente. Si ComboFix ne se lance toujours pas, tente de le lancer en mode sans échec sans prise en charge du réseau.
    0
    1. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      " /!\ Sauvegarde tes documents importants et crée un point de restauration /!\ "

      C'est-à-dire ? Je balances tout sur un disque dur externe ?
      0
    2. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      Oui tes document importants mais c'est juste au cas où
      0
    3. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      Ok! ça va mettre trois heures x)
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      pourtant MU est fermé :>
      0
    5. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      :D
      0
  3. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    Salut,

    * Télécharge sur le bureau RogueKiller : ici

    - Quitte tous les programmes en cours

    - Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

    - Sinon lance simplement RogueKiller.exe

    - Lorsque demandé, clic sur Scan et valide.

    - Puis clic sur Rapport et donne-le moi.

    ;-)
    0
    1. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      Relance-le en mode Suppression puis HOST RAZ puis donne les rapports avec un dernier rapport Scan :-)
      0
    2. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      Ok relance-le en Suppression encore une fois puis essaye de lancer Combofix ( clic droit ouvrir en tant qu'admin ) :-)
      0
    3. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      Le problème avec ComboFix c'est que ça me fait https://www.cjoint.com/?BCBsgwtQXPg
      C'est pas du tout comme vous disiez plus haut donc je ne sais pas du tout si ça fonctionne.
      0
  4. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    Bon on va essayer un autre tool,

    *Téléchargez AntiZeroAcess (de Webroot) sur votre bureau : http://anywhere.webrootcloudav.com/antizeroaccess.exe

    Lancez le, Répondez par Y à la première question puis validez par la touche Entrée.

    Si l'outil trouve des traces du rootkit, des lignes en rouge s'afficheront.

    Une fenêtre s'affichera pour signaler l'infection et ou les fichiers patchés

    L'outil propose alors de nettoyer, acceptez en appuyant sur la touche Y, puis Entrée.
    0
    1. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      " Error!! This tool works only on 32 bit systems. "
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour,

    dr.pc1 , je crois que tu as fait ton possible, merci de me laisser continuer.

    =======================================================

    @Morfalman :

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://pcloud.crdf.net/gen-hackman_toolspublic/Pre_Scan.com

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://pcloud.crdf.net/gen-hackman_toolspublic/Pre_Scan.pif

    ou cette version renommée winlogon.exe :

    http://www.box.com/s/530ae3ccc9402294d814

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    =============

    pour faire evoluer l'outil , l'auteur a besoin du fichier reboot.txt qui se trouve dans le Dossier C:\Pre_scan

    relance pre_scan , clic sur "Explore" , puis "Internet" , puis "Upload"
    une page internet va s'ouvrir , clic sur Upload , puis "parcourir" , jusqu'au fichier Reboot.txt , puis envoie le fichier

    ce fichier texte (que tu peux ouvrir par curiosité) , contient uniquement ce qui concerne les fichiers infectieux ou des noms de repertoires qui serviront à créer une liste blanche.

    A+
    0
    1. g3n-h@ckm@n
       
      salut padawan

      crdf m'a donné des liens definitifs va voir sur mon fofo et profite-en pour mettre tes canned à jour
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      mets le lien ici la flemme d'aller ailleurs !! mdr :)
      0
    3. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      Bonsoir, hum c'est un lien mort pour Pre_scan.
      0
    4. Xathor Messages postés 1208 Date d'inscription   Statut Contributeur sécurité Dernière intervention   149
       
      Bonsoir,
      Salut les jedis ! :D

      Voilà les trois liens :

      http://www.crdfcloud.fr/gen-hackman_toolspublic/Pre_Scan.exe
      http://www.crdfcloud.fr/gen-hackman_toolspublic/Pre_Scan.pif
      http://www.crdfcloud.fr/gen-hackman_toolspublic/winlogon.exe

      Bonne soirée. :)
      @+ les amis ! ^^
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      @Morfalman :

      Utilise ce lien donc : http://www.crdfcloud.fr/gen-hackman_toolspublic/Pre_Scan.exe

      Merci @Xathor.

      A+
      0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Non, y'a une autre solution :)

    télécharge ici : OTLPE sous environnement windows 7

    Double clic dessus, insère un CD vierge, la gravure va commencer.

    ensuite change le démarrage de ton pc malade en mettant le cd en premier démarrage dans le bios

    comment Faire ? : Modifier la sequence de demarrage de l'ordi

    démarre le pc malade sur le cd.

    Laisse faire jusqu'à l'affichage complet du bureau

    normalement FirefoxPortable te permet de venir lire la suite

    Lance OTLPE.exe qui se trouve sur ton bureau :

    choisis dans la fenetre qui s'ouvre , le dossier d'installation correspondant au windows malade (c:\windows , ou d:\windows ou.....) : clique sur le dossier windows puis sur ok

    à la question Do you wish to load remote user profile(s) for scanning ? => oui

    cocher la case "Automatically Load All Remaining Users ?" puis cliquer sur OK

    OTLPE s'ouvre... Met juste les 4 cases de gauche sur "All" et ne touche rien d'autre

    dans la case en dessous "Custom Scans/Fixes" colle ce texte :

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon


    Clic sur Analyse.

    A la fin du scan, deux Bloc-Notes vont s'ouvrir avec les rapport OTL.txt et Extra.txt

    héberge-les un par un sur http://pjjoint.malekal.com puis donne les deux liens obtenus

    ils sont aussi à la racine de la partition où est installé windows (C:\OTL.txt...ou D:\OTL.txt....ainsi que l'Extra qui l'accompagne)

    A+
    .::. Contributeur Sécurité .::.
    0
    1. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      Bonjour ! Tout a très bien fonctionné, j'ai essayé deux trois recherches mais j'ai toujours des redirection "abnow" .
      0
    2. g3n-h@ckm@n
       
      salut pour avancer

      refais OTL sous les memes conditions ?
      0
    3. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      Comment ça ? Je refais un scan ou je vois pour rechanger al clé ?
      Si c'est la clé, j'ai déjà fait et ça n'a rien donné.
      0
  8. g3n-h@ckm@n
     
    je peux avoir le contenu de ca ? :

    C:\Windows\system32\RemoveFont.ini
    0
  9. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    Certainement :

    [Global]
    OptimizeEnable=true
    RestoreEnable=false
    0
  10. g3n-h@ckm@n
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

    0
    1. g3n-h@ckm@n
       
      :D
      0
    2. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
       
      Bonjour, j'ai tout fait comme il fallait mais combofix ne fonctionne pas (en mode sans echec ça ouvre la même fenêtre mais en plus ça fait un écran bleu "shut down" et ça redémarre le pc) ça fait comme j'ai dit la dernière fois, une fenêtre qui charge, elle se ferme puis plus rien.

      Et si je passe par Ultimate Boot CD, ça va pas mieux marcher que OTLPE ? (Comme dit malekal sur ce forum : https://forum.malekal.com/viewtopic.php?t=36320&start=

      "On peux essayer par OTL, mais si ça foire (genre la clef pointe vers consrv, car le malware la remet) mais que le fichier saute, tu auras un BSOD au boot comme expliqué sur la page."
      0
  11. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    Ouais je l'ai bien renommé
    0
  12. Morfalman Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    Bon voilà, comme rien ne fonctionnait j'ai dû reset le pc et maintenant il est comme neuf en espérant ne jamais revoir cette saleté !

    En tout cas merci beaucoup à tout ceux qui m'ont aidé vous avez été super sympas. :)
    0
  13. g3n-h@ckm@n
     
    salut tu t'y es pris comment ? t'as fait une restauration d'usine ?
    0