Virus PWS:Win32/Zbot

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  Task: {327D54AA-3EC0-4186-BA7D-E80A4D713F3A} - System32\Tasks\Security Center Update - 3766945200 => C:\Users\Stefan_2\AppData\Roaming\Ohyvqoab\ekepi.exe [2014-12-07] (Eamnraem Corniratu) <==== ATTENTION
  Task: C:\Windows\Tasks\Security Center Update - 3766945200.job => C:\Users\Stefan_2\AppData\Roaming\Ohyvqoab\ekepi.exe <==== ATTENTION
  C:\Users\Stefan_2\AppData\Roaming\Ohyvqoab
  HKU\S-1-5-21-4230412996-333100403-3221412976-1004\...\Run: [Udzay] => "C:\Users\Stefan_2\AppData\Roaming\Heerez\miebe.exe"
  HKU\S-1-5-21-4230412996-333100403-3221412976-1004\...\Run: [AVDworks] => C:\Users\Stefan_2\AppData\Local\AVDworks\tmp5C1F.exe [140256 2014-12-28] ()
  HKU\S-1-5-21-4230412996-333100403-3221412976-1004\...\Run: [Aznvworks] => regsvr32.exe C:\Users\Stefan_2\AppData\Local\Aznvworks\LexPCLUI.dll <===== ATTENTION
  HKU\S-1-5-21-4230412996-333100403-3221412976-1004\...\Run: [Emqqtion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Stefan_2\AppData\Local\AVDworks\mdgtiqtrkutz.dll
  HKU\S-1-5-21-4230412996-333100403-3221412976-1004\...\Run: [Hiydz] => C:\Users\Stefan_2\AppData\Roaming\Ohyvqoab\ekepi.exe [511648 2014-12-07] (Eamnraem Corniratu)
  2014-12-29 16:37 - 2014-12-29 17:12 - 00000836 _____ () C:\Windows\Tasks\Security Center Update - 3766945200.job
  2014-12-29 16:37 - 2014-12-29 16:37 - 00003814 _____ () C:\Windows\System32\Tasks\Security Center Update - 3766945200
  2014-12-27 12:51 - 2014-12-27 13:00 - 00000000 ____D () C:\Users\Stefan_2\AppData\Roaming\Heerez
  2014-12-25 17:18 - 2014-12-25 17:36 - 00000000 ____D () C:\Users\Stefan_2\AppData\Roaming\Riuqboke
  2014-12-24 17:20 - 2014-12-24 17:41 - 00000000 ____D () C:\ProgramData\regid.1986-12.com.adobe
  2014-12-24 17:06 - 2014-12-28 17:32 - 00000000 ____D () C:\Users\Stefan_2\AppData\Local\Aznvworks
  2014-12-24 17:06 - 2014-12-28 17:32 - 00000000 ____D () C:\Users\Stefan_2\AppData\Local\AVDworks
  C:\Users\Stefan_2\AppData\Local\Temp\UpdateFlashPlayer_286a2de3.exe
  EmptyTemp:

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
• Met à jour ton Malwarebytes Anti-Malware, fait un scan , corrige si y'a besoin et poste le rapport

[tifil]

Voici le rapport de FRST:

http://pjjoint.malekal.com/files.php?id ... p7b14s5u11

Voici le rapport de Malware:

http://pjjoint.malekal.com/files.php?id ... 3m7q6m5t13

Il m'a trouvé un seul fichier, que j'ai mis en quarantaine.

Et par contre dans le gestionnaire des tâches, j'ai ceci:

http://pjjoint.malekal.com/files.php?id ... i75q5d10m8

[angelique]

➫ télécharge http://downloads.malwarebytes.org/file/mbar/ , fait un scan , corrige et poste le rapport puis refait un nouveau rapport frst.txt et addition.txt

[tifil]

A la fin du scan avec MARB, il me met:

Scan finished, no malware found !

Alors que j'ai toujours le gestionnaire de tâches les 50 milles lignes du virus.

Voici les rapports:

http://pjjoint.malekal.com/files.php?id ... 1y14u14i14

http://pjjoint.malekal.com/files.php?id ... 7r14r15m13

[angelique]

y'en a moins , on va voir si ça revient apres:

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  HKU\S-1-5-21-4230412996-333100403-3221412976-1004\...\Run: [Hiydz] => C:\Users\Stefan_2\AppData\Roaming\Ohyvqoab\ekepi.exe [511648 2014-12-29] (Eamnraem Corniratu)
  2014-12-29 20:18 - 2014-12-29 20:18 - 00000000 ____D () C:\Users\Stefan_2\AppData\Roaming\Ohyvqoab
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

[tifil]

Voici le rapport:

http://pjjoint.malekal.com/files.php?id ... k11b13g7u7


Et le virus à de nouveau disparu.

[angelique]

Et le virus à de nouveau disparu.

Oui, je pense que tu revisité un site potentiellement infecté IFRAME, lequel , je ne peux pas savoir , par contre faut securiser ta navigation dans ce cas pour gérer javascript /!\

➫ supprime frst.exe, ses rapports et C:\FRST , MBAR, donc ceci:

2014-12-29 19:28 - 2014-12-29 20:30 - 00000000 ____D () C:\Users\Stefan_2\Desktop\mbar
2014-12-29 19:26 - 2014-12-29 19:27 - 16448208 _____ (Malwarebytes Corp.) C:\Users\Stefan_2\Desktop\mbar-1.08.2.1001.exe
2014-12-29 18:38 - 2014-12-29 18:38 - 00333056 _____ () C:\Users\Stefan_2\Desktop\pjjoint_uploader.exe
2014-12-29 17:33 - 2014-12-29 17:33 - 00065628 _____ () C:\Users\Stefan_2\Desktop\Shortcut.txt
2014-12-29 17:30 - 2014-12-29 17:33 - 00036306 _____ () C:\Users\Stefan_2\Desktop\Addition.txt
2014-12-29 17:29 - 2014-12-29 20:33 - 00053294 _____ () C:\Users\Stefan_2\Desktop\FRST.txt
2014-12-29 17:29 - 2014-12-29 20:31 - 00000000 ____D () C:\FRST
2014-12-29 17:28 - 2014-12-29 17:28 - 02123264 _____ (Farbar) C:\Users\Stefan_2\Desktop\FRST64.exe


----------

➫ Il est important de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer flash ( voir 3 - Le format SWF (Flash) et les risques liés à son utilisation - http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html - ), JavaScript, et\ou Iframe pourries sur sites compromis potentiellement générateur d'infections ( - http://forum.malekal.com/les-exploits-s ... t3563.html - )!!


Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > http://www.mozilla.org/en-US/firefox/all/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock : chrome://adblockplus/content/ui/firstRun.html



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/ : http://www.commentcamarche.net/faq/1567 ... -obeissant

Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/


➮ Bloque la redirection , exemple > fake-player-t49065.html




= via about:config de firefox




La conséquence de protection :

[tifil]

Merci beaucoup encore une fois

J'utilise Chrome, avec adblock. Mais je ne sais où j'ai pu chopper ce virus car je ne vais jamais sur des sites louches.

[angelique]

avec chrome :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html