Session bloquée et virus PWS:win32/Zbot impossible à supprimer

Résolu
lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention   -  
lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention   -
Bonsoir,

Alors tout d'abord ma session utilisateur est bloquée . Dès que j'allume mon ordinateur , tout de suite après , sans rien saisir , un message d'erreur windows apparait , le mot de passe ou le nom d'utilisateur saisit est incorect. Je clique sur Ok , et je rentre mon mot de passe même message d'erreur.Pourtant je connais mon mot de passe.Heureusement que j'ai une session invité et j'ai pu récuperer les donner de mon autre session.
Mais sur la session invité , internet rame et j'ai un virus pws:win32/Zbot qui ne veut pas partir .Est ce que c'est ça qui a bloqué ma session ? Comment le supprimer ?

Merci d'avance pour vore aide !

14 réponses

Résumé de la discussion

Un utilisateur constate que sa session Windows 7 est bloquée: au démarrage, un message d'erreur indique que le mot de passe ou le nom d'utilisateur saisi est incorrect, même avant toute saisie. La situation est compliquée par une session invité lente et par la détection d'un virus pws:win32/Zbot, ce qui interroge l'origine du blocage et les méthodes de suppression. Plusieurs réponses évoquent le démarrage en mode sans échec avec réseau, la réinitialisation du mot de passe, la création d’un nouveau compte et des commandes en ligne. Pour sa part, il est recommandé de vérifier les comptes en ligne et de transférer les données vers une session saine, puis d’analyser le système avec un outil antivirus et un scan approfondi.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    tu écris :
    ERASE C:\Windows\system32\pws:win32\Zbot


    C'est n'importe quoi...

    ~~

    En mode sans échec, tu dois avoir une session administrateur.
    Tu arrives à l'ouvrir ?

    Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
    0
  2. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
     
    C'est écrit aucun élément ne correspond à votre recherche quand je cherche dans l'ordi. Mais l'antivirus me donne l'adresse du fichier , enfin je crois ! ça commence par file: C: Users\invité\AppData...est ce que c'est ça ?

    Si oui je l'écrit ou l'adresse du fichier ?
    0
    1. Utilisateur anonyme
       
      Salut :)

      N'écoute que Malekal, il est un contributeur sécurité doué, et sait de quoi il parle.


      => Et un virus se propage aussi, la commande ERASE ne sert à rien !


      @+
      0
    2. SkilleureX Messages postés 18 Statut Membre 2
       
      Essaye la façon de Malekal qui est plus certaine d'aboutir ^^
      0
    3. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
       
      D'accord merci à tous ...!
      SkilleureX merci d'avoir essayé !
      Bonjour Malekal , je suis en mode sans echec avec prise en charche réseau .
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      sur la session administrateur ?
      0
    5. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
       
      Escuse moi je ne suis pas douée . C'est quoi la session administrateur ? Comment savoir si je suis dedant ?
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faut coire que le compte invité est administrateur.
    On peux tenter de virer Zbot et les programmes parasites.

    Par contre, soit faudra que tu tentes de modifier le mot de passe autrement.
    Soit ce que tu peux faire, si le compte invité est bien administrateur, c'est de recréer une nouvelle session et de recopier les documents de l'ancienne vers la nouvelle session.

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0
  4. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
     
    # AdwCleaner v2.301 - Rapport créé le 20/05/2013 à 12:42:55
    # Mis à jour le 16/05/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
    # Nom d'utilisateur : Invité - PC-DE-LORRIS
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\Invité\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\ProgramData\Babylon
    Dossier Supprimé : C:\ProgramData\Tarma Installer
    Dossier Supprimé : C:\ProgramData\Trymedia
    Dossier Supprimé : C:\Users\Lorris\AppData\Local\PackageAware
    Dossier Supprimé : C:\Users\Lorris\AppData\LocalLow\boost_interprocess
    Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
    Fichier Supprimé : C:\user.js

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKLM\Software\Babylon
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
    Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97D69524-BB57-4185-9C7F-5F05593B771A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BabylonToolbarsrv_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BabylonToolbarsrv_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\38e70cd42be60b6c958bb06b4f116c74
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\b42da95a289daf1f9e3033c5e9e73f1f
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\b8bd7699b2ea16ba442c133a5c1b6a24
    Clé Supprimée : HKLM\Software\Tarma Installer

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16483

    [OK] Le registre ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [4943 octets] - [20/05/2013 12:40:23]
    AdwCleaner[S1].txt - [4928 octets] - [20/05/2013 12:42:55]

    ########## EOF - C:\AdwCleaner[S1].txt - [4988 octets] ##########
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
     
    Par contre quand je vais sur créer un nouveau compte ça m'écrit "le nom de compte spécifié n'est pas valide car les noms de comptes ne doivent pas contenir les caractères suivants : +=,?*[]:; ..." mais je n'ai pourtant mis aucun de ces caractères .
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    D'après OTL, la session a l'air d'être administrateur.

    Par contre \o

    OTL encountered an error while reading this event log. It may be corrupt.

    Fais ça :

    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2013/04/28 12:17:25 | 000,000,000 | ---D | M] -- C:\Users\Invité\AppData\Roaming\Viity
    [2013/04/28 12:17:25 | 000,000,000 | ---D | M] -- C:\Users\Invité\AppData\Roaming\Beehva
    [2013/05/08 19:45:41 | 000,000,000 | ---D | C] -- C:\Program Files\Vittalia
    [2013/05/02 13:21:28 | 000,000,000 | ---D | C] -- C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1

    * redemarre le pc sous windows et poste le rapport ici

    Désinstalle les programmes Yahoo.

    Tu peux faire un scan Malwarebyte ?

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  8. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
     
    ========== OTL ==========
    C:\Users\Invité\AppData\Roaming\Viity folder moved successfully.
    C:\Users\Invité\AppData\Roaming\Beehva folder moved successfully.
    C:\Program Files\Vittalia folder moved successfully.
    C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86\x86 folder moved successfully.
    C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86 folder moved successfully.
    C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 folder moved successfully.

    OTL by OldTimer - Version 3.2.69.0 log created on 05202013_134422
    0
  9. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
     
    Le scanne Malwarebyte complet ou rapide ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      complet.
      0
    2. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
       
      Ok ça rique de prendre beaucoup de temps .Je vous poste le rapport quand le scanne est fini !
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      En tout cas le malware était actif en invité :
      [2013/04/28 12:17:25 | 000,000,000 | ---- | M] () -- C:\Users\Invité\AppData\Roaming\Beehva\azew.exe

      Par contre, je vois pas trop en quoi ça a touché ton mot de passe et encore moins pour ton histoire de caractères à la création d'"un compte.
      .
      Par contre, le malware est connu pour faire m*rder les touches ^
      C'est peut-être cela qui fait merdouiller la création.

      Mais pour le mot de passe, ça m'étonnerait car il est pas actif au moment où tu tapes le mot de passe.
      A mon avis, t'as voulu le changer quand le malware était actif et comme une des touches doit merdouiller, il doit pas correspondre à ce que tu crois avoir mis.

      Je vois que ça comme explication.
      0
    4. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
       
      Effectivement j'avais changé de mot de passe, mais je ne savais pas que j'avais un virus. Je vais réessayer de créer une autre session maintenant qu'il n'y ai plus.
      0
    5. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
       
      Malwarebytes Anti-Malware 1.75.0.1300
      www.malwarebytes.org

      Version de la base de données: v2013.05.19.10

      Windows 7 Service Pack 1 x86 NTFS
      Internet Explorer 9.0.8112.16421
      Invité :: PC-DE-LORRIS [administrateur]

      20/05/2013 13:54:15
      mbam-log-2013-05-20 (13-54-15).txt

      Type d'examen: Examen complet (C:\|D:\|)
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 495776
      Temps écoulé: 4 heure(s), 13 minute(s), 31 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      (fin)
      0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Change tes mots de passe WEB (Facebook, mail etc), ils ont été volés.

    Vois pour créer une nouvelle session et transférer les documents.
    Reviens nous dire, si c'est OK.
    0
  11. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
     
    Ah mince ! il est puissant le virus . Pour la création du nouveau compte toujours pareil."le nom de compte spécifié n'est pas valide car les noms de comptes ne doivent pas contenir les caractères suivants..."
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      tu as tapé quoi comme nom de compte?
      0
    2. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
       
      phanelie
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      sans accent ?
      0
    4. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
       
      Oui.
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      bizarre, j'ai peur que tu traines des prb \o

      Essaye en ligne de commandes :

      Menu Démarrer / Tous les Programmes / Accessoires
      clic droit et executer en tant qu'administrateur sur invites de commandes

      saisie sans faute ces commandes en validant par entrée :

      net user phanelie password /add
      net localgroup Administrateurs phanelie /add
      net accounts /maxpwage:unlimited
      0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    bha après tu peux changer le mot de passe depuis un CD Live : https://forum.malekal.com/viewtopic.php?t=20788&start=

    mais bon, si ça résoud pas tous les autres problèmes, je crois que le mieux c'est de réinstaller Windows.

    Pense surtout à changer tous tes mots de passe.
    0
  13. lilano69 Messages postés 34 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonsoir,
    Merci beaucoup pour votre aide et votre patience. J'ai confié mon ordinateur à un ami (plus doué que moi en informatique ) qui va me réinitialiser windows ou mon mot de passe avec le cd live. Donc normalement je devais retrouver ma session d'ici là. Du coup je pense qu'on peut passer en résolu ....Sinon j'ai bien pris soin de changer mes mots de passe..merci.
    0