Virus PWS:Win32/Zbot

[tifil]

Bonjour,

J'ai depuis quelques jours un virus du nom de "PWS:Win32/Zbot".
J'ai essayé de l'enlever avec Windows defender, mais il revient à chaque fois.

Donc, que me conseillez-vous de faire ?

Merci d'avance

[angelique]

Détecté sur quel fichier ???


-----------------

1. Télécharge sur ton Bureau pas ailleurs FRST.EXE:
   
   
   
   La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
   Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
   (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
   
   !! Placez le programme sur le bureau et pas ailleurs!!
2. Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
   Le scan se lance, les éléments scannés apparaissent en haut.
3. Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
   
   
   Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[tifil]

Comment savoir il est sur quel fichier ?

Voici les 2 rapports:

http://pjjoint.malekal.com/files.php?id ... g5s6d11t95

http://pjjoint.malekal.com/files.php?id ... r13v6z15k8

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  Task: {55091121-1B06-420C-8C4D-4D341B884F87} - System32\Tasks\Security Center Update - 3068234758 => C:\Users\Stefan_2\AppData\Roaming\Heerez\miebe.exe [2014-12-09] (Emnraem Corporatu) <==== ATTENTION
  Task: C:\Windows\Tasks\Security Center Update - 3068234758.job => C:\Users\Stefan_2\AppData\Roaming\Heerez\miebe.exe <==== ATTENTION
  HKU\S-1-5-21-4230412996-333100403-3221412976-1004\...\Run: [Emqqtion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Stefan_2\AppData\Local\AVDworks\jgmd400.dll
  HKU\S-1-5-21-4230412996-333100403-3221412976-1004\...\Run: [Aznvworks] => regsvr32.exe C:\Users\Stefan_2\AppData\Local\Aznvworks\jgmd400.dll <===== ATTENTION
  HKU\S-1-5-21-4230412996-333100403-3221412976-1004\...\Run: [Udzay] => C:\Users\Stefan_2\AppData\Roaming\Heerez\miebe.exe [512051 2014-12-09] (Emnraem Corporatu)
  2014-12-27 10:38 - 2014-12-27 12:00 - 00000828 _____ () C:\Windows\Tasks\Security Center Update - 3068234758.job
  2014-12-27 10:38 - 2014-12-27 10:38 - 00003806 _____ () C:\Windows\System32\Tasks\Security Center Update - 3068234758
  2014-12-27 10:38 - 2014-12-27 10:38 - 00000000 ____D () C:\Users\Stefan_2\AppData\Roaming\Heerez
  2014-12-25 17:18 - 2014-12-25 17:36 - 00000000 ____D () C:\Users\Stefan_2\AppData\Roaming\Riuqboke
  2014-12-24 17:06 - 2014-12-25 18:09 - 00000000 ____D () C:\Users\Stefan_2\AppData\Local\AVDworks
  2014-12-24 17:06 - 2014-12-24 17:07 - 00000000 ____D () C:\Users\Stefan_2\AppData\Local\Aznvworks
  C:\Users\Stefan_2\AppData\Local\Temp\AVG.exe
  C:\Users\Stefan_2\AppData\Local\Temp\bassmod.dll
  C:\Users\Stefan_2\AppData\Local\Temp\ICReinstall_hamachi_2-2-0_fr_14515.exe
  C:\Users\Stefan_2\AppData\Local\Temp\jre-7u71-windows-i586-iftw.exe
  C:\Users\Stefan_2\AppData\Local\Temp\NOSEventMessages.dll
  C:\Users\Stefan_2\AppData\Local\Temp\ose00000.exe
  C:\Users\Stefan_2\AppData\Local\Temp\UpdateFlashPlayer_9c501a5e.exe
  EmptyTemp:

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

[tifil]

Voici le fichier:

http://pjjoint.malekal.com/files.php?id ... 5n12f10h15

[angelique]

Toujours des alertes ?

change tous tes mots de passe en ligne, ils ont été pompé par un vilain hacker

[tifil]

Comment savoir s'ils ont été vraiment piqué ?
Il pique les mot de passes de tout mes sites ? Ou juste ceux auxquels je me suis connecté pendant que j'avais le virus ?
Et même ceux dont j'étais déja connecté ?


Car j'ai une tonne de mot de passes à changer.

[angelique]

c'est le principe de ZBOT que de voler tous les mots de passe (bank, boite mail, sites en ligne ,...) , directement en live ou dans le cache des navigateurs.

Toujours des alertes ?

[tifil]

Non je n'ai plus d'alerte de la part de Windows Defender.

Par contre, il me demandait de faire une analyse complète, ce que je suis en train de faire, et il m'affiche ce message (Windows defender):

Les résultats d'analyse préliminaires indiquent la présence de logiciels malveillants ou potentiellement indésirables
sur votre ordinateur.
Vérifiez les élements détectés une fois l'analyse terminée.

[angelique]

➫ efface l'historique de détection de ton windows defender > http://windows.microsoft.com/fr-fr/wind ... s-defender


➫ fait un scan si tu veux apres.


➫ supprime frst.exe, ses rapports et C:\FRST

[tifil]

Tout est ok pour moi.

Merci beaucoup pour ton aide

[angelique]

[tifil]

Je reposte ici.

J'ai le même virus qui est apparu à nouveau depuis cette après-midi :(

[angelique]

Oo refait un nouveau rapport FRST.txt et addition.txt

[tifil]

Voici les rapports:

http://pjjoint.malekal.com/files.php?id ... 5k8w8i9j10

http://pjjoint.malekal.com/files.php?id ... 5u13y6c9i7