Session bloquée et virus PWS:win32/Zbot impossible à supprimer

Résolu/Fermé
Signaler
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015
-
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015
-
Bonsoir,

Alors tout d'abord ma session utilisateur est bloquée . Dès que j'allume mon ordinateur , tout de suite après , sans rien saisir , un message d'erreur windows apparait , le mot de passe ou le nom d'utilisateur saisit est incorect. Je clique sur Ok , et je rentre mon mot de passe même message d'erreur.Pourtant je connais mon mot de passe.Heureusement que j'ai une session invité et j'ai pu récuperer les donner de mon autre session.
Mais sur la session invité , internet rame et j'ai un virus pws:win32/Zbot qui ne veut pas partir .Est ce que c'est ça qui a bloqué ma session ? Comment le supprimer ?

Merci d'avance pour vore aide !



14 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Salut,

tu écris :
ERASE C:\Windows\system32\pws:win32\Zbot


C'est n'importe quoi...


~~


En mode sans échec, tu dois avoir une session administrateur.
Tu arrives à l'ouvrir ?

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

C'est écrit aucun élément ne correspond à votre recherche quand je cherche dans l'ordi. Mais l'antivirus me donne l'adresse du fichier , enfin je crois ! ça commence par file: C: Users\invité\AppData...est ce que c'est ça ?

Si oui je l'écrit ou l'adresse du fichier ?
0
Utilisateur anonyme
Salut :)

N'écoute que Malekal, il est un contributeur sécurité doué, et sait de quoi il parle.


=> Et un virus se propage aussi, la commande ERASE ne sert à rien !


@+
0
Messages postés
11
Date d'inscription
lundi 20 mai 2013
Statut
Membre
Dernière intervention
2 décembre 2013
1
Essaye la façon de Malekal qui est plus certaine d'aboutir ^^
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

D'accord merci à tous ...!
SkilleureX merci d'avoir essayé !
Bonjour Malekal , je suis en mode sans echec avec prise en charche réseau .
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
sur la session administrateur ?
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

Escuse moi je ne suis pas douée . C'est quoi la session administrateur ? Comment savoir si je suis dedant ?
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Faut coire que le compte invité est administrateur.
On peux tenter de virer Zbot et les programmes parasites.

Par contre, soit faudra que tu tentes de modifier le mot de passe autrement.
Soit ce que tu peux faire, si le compte invité est bien administrateur, c'est de recréer une nouvelle session et de recopier les documents de l'ancienne vers la nouvelle session.



Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :



Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

# AdwCleaner v2.301 - Rapport créé le 20/05/2013 à 12:42:55
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Invité - PC-DE-LORRIS
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Invité\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\ProgramData\Trymedia
Dossier Supprimé : C:\Users\Lorris\AppData\Local\PackageAware
Dossier Supprimé : C:\Users\Lorris\AppData\LocalLow\boost_interprocess
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Fichier Supprimé : C:\user.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97D69524-BB57-4185-9C7F-5F05593B771A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BabylonToolbarsrv_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BabylonToolbarsrv_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\38e70cd42be60b6c958bb06b4f116c74
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\b42da95a289daf1f9e3033c5e9e73f1f
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\b8bd7699b2ea16ba442c133a5c1b6a24
Clé Supprimée : HKLM\Software\Tarma Installer

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16483

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [4943 octets] - [20/05/2013 12:40:23]
AdwCleaner[S1].txt - [4928 octets] - [20/05/2013 12:42:55]

########## EOF - C:\AdwCleaner[S1].txt - [4988 octets] ##########
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

Par contre quand je vais sur créer un nouveau compte ça m'écrit "le nom de compte spécifié n'est pas valide car les noms de comptes ne doivent pas contenir les caractères suivants : +=,?*[]:; ..." mais je n'ai pourtant mis aucun de ces caractères .
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
D'après OTL, la session a l'air d'être administrateur.

Par contre \o

OTL encountered an error while reading this event log. It may be corrupt.

Fais ça :

Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2013/04/28 12:17:25 | 000,000,000 | ---D | M] -- C:\Users\Invité\AppData\Roaming\Viity
[2013/04/28 12:17:25 | 000,000,000 | ---D | M] -- C:\Users\Invité\AppData\Roaming\Beehva
[2013/05/08 19:45:41 | 000,000,000 | ---D | C] -- C:\Program Files\Vittalia
[2013/05/02 13:21:28 | 000,000,000 | ---D | C] -- C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1

* redemarre le pc sous windows et poste le rapport ici


Désinstalle les programmes Yahoo.

Tu peux faire un scan Malwarebyte ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

========== OTL ==========
C:\Users\Invité\AppData\Roaming\Viity folder moved successfully.
C:\Users\Invité\AppData\Roaming\Beehva folder moved successfully.
C:\Program Files\Vittalia folder moved successfully.
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86\x86 folder moved successfully.
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86 folder moved successfully.
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 05202013_134422
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

Le scanne Malwarebyte complet ou rapide ?
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
complet.
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

Ok ça rique de prendre beaucoup de temps .Je vous poste le rapport quand le scanne est fini !
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
En tout cas le malware était actif en invité :
[2013/04/28 12:17:25 | 000,000,000 | ---- | M] () -- C:\Users\Invité\AppData\Roaming\Beehva\azew.exe

Par contre, je vois pas trop en quoi ça a touché ton mot de passe et encore moins pour ton histoire de caractères à la création d'"un compte.
.
Par contre, le malware est connu pour faire m*rder les touches ^
C'est peut-être cela qui fait merdouiller la création.

Mais pour le mot de passe, ça m'étonnerait car il est pas actif au moment où tu tapes le mot de passe.
A mon avis, t'as voulu le changer quand le malware était actif et comme une des touches doit merdouiller, il doit pas correspondre à ce que tu crois avoir mis.

Je vois que ça comme explication.
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

Effectivement j'avais changé de mot de passe, mais je ne savais pas que j'avais un virus. Je vais réessayer de créer une autre session maintenant qu'il n'y ai plus.
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.19.10

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Invité :: PC-DE-LORRIS [administrateur]

20/05/2013 13:54:15
mbam-log-2013-05-20 (13-54-15).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 495776
Temps écoulé: 4 heure(s), 13 minute(s), 31 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Change tes mots de passe WEB (Facebook, mail etc), ils ont été volés.

Vois pour créer une nouvelle session et transférer les documents.
Reviens nous dire, si c'est OK.
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

Ah mince ! il est puissant le virus . Pour la création du nouveau compte toujours pareil."le nom de compte spécifié n'est pas valide car les noms de comptes ne doivent pas contenir les caractères suivants..."
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
tu as tapé quoi comme nom de compte?
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

phanelie
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
sans accent ?
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

Oui.
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
bizarre, j'ai peur que tu traines des prb \o

Essaye en ligne de commandes :

Menu Démarrer / Tous les Programmes / Accessoires
clic droit et executer en tant qu'administrateur sur invites de commandes

saisie sans faute ces commandes en validant par entrée :

net user phanelie password /add
net localgroup Administrateurs phanelie /add
net accounts /maxpwage:unlimited
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
bha après tu peux changer le mot de passe depuis un CD Live : https://forum.malekal.com/viewtopic.php?t=20788&start=

mais bon, si ça résoud pas tous les autres problèmes, je crois que le mieux c'est de réinstaller Windows.

Pense surtout à changer tous tes mots de passe.
0
Messages postés
34
Date d'inscription
dimanche 13 mai 2012
Statut
Membre
Dernière intervention
26 juin 2015

Bonsoir,
Merci beaucoup pour votre aide et votre patience. J'ai confié mon ordinateur à un ami (plus doué que moi en informatique ) qui va me réinitialiser windows ou mon mot de passe avec le cd live. Donc normalement je devais retrouver ma session d'ici là. Du coup je pense qu'on peut passer en résolu ....Sinon j'ai bien pris soin de changer mes mots de passe..merci.
0