Votre question
Fermé

[RESOLU] Eliminer le spy.Zbot

Tags :
  • Nod32
  • Trend micro
  • HP
  • Trojan
  • Kaspersky
  • Win32
  • spy.zbot
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Juillet 2012 17:41:13


bonjour a tous,
mon antivirus nod32 m averti que je suis infecté par ce cheval de troie, mais il ne peut pas le suprimer .
je me suis servie de kaspersky online et de trend micro online ils ont rien trouvé
je fais un copié collé du journal de nod 32
28/07/2012 17:06:28 Protection en temps réel du système de fichiers fichier C:\Users\noké\AppData\Roaming\Xaav\begal.exe Win32/Spy.Zbot.YW cheval de troie nettoyé par suppression - mis en quarantaine noké-HP\noké Un événement s'est produit pendant une tentative d'accès au fichier par l'application : C:\Users\noké\AppData\Local\Temp\HouseCall\housecall.bin.
28/07/2012 17:03:39 Analyseur au démarrage fichier Mémoire vive = ubd.exe(3860) une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer
28/07/2012 16:47:07 Analyseur au démarrage fichier Mémoire vive = ubd.exe(3860) une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer noké-HP\noké
26/07/2012 16:35:15 Analyseur au démarrage fichier Mémoire vive = ubd.exe(3884) une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer noké-HP\noké
26/07/2012 16:06:59 Analyseur au démarrage fichier Mémoire vive = winampa.exe(3380) une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer noké-HP\noké
26/07/2012 16:05:10 Analyseur au démarrage fichier Mémoire vive = ubd.exe(3216) une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer
26/07/2012 15:25:53 Analyseur au démarrage fichier Mémoire vive = ubd.exe(3100) une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer noké-HP\noké
26/07/2012 14:46:27 Analyseur au démarrage fichier Mémoire vive = hpsysdrv.exe(3136) une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer noké-HP\noké
je sais pas comment me débarrasser de ça si vous avez la marche à suivre je vous remercie d avance

Autres pages sur : resolu eliminer spy zbot

28 Juillet 2012 22:53:07

bonsoir
RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: noké [Droits d'admin]
Mode: Recherche -- Date: 28/07/2012 22:48:12

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 3 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (socks=127.0.0.1:38075) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST310005 28AS SCSI Disk Device +++++
--- User ---
[MBR] 808e297908669eb3e017a8bb43dcbd76
[BSP] f06b2e11da9af69b27f40a453a1b9859 : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939562 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924429824 | Size: 14205 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

merci
Contenus similaires
a c 295 8 Sécurité
28 Juillet 2012 22:59:27

  • Télécharge ZHPDiag (de Nicolas Coolman).

  • Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

  • Clique droit sur le raccourci de ZHPDiag et choisis Exécuter en tant qu'administrateur.

  • Clique sur le bouton "UAC".

  • Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

  • Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.

  • Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.
    30 Juillet 2012 16:17:23

    bonjour,
    # AdwCleaner v1.703 - Rapport créé le 30/07/2012 à 10:38:20
    # Mis à jour le 20/07/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : noké - NOKÉ-HP
    # Exécuté depuis : C:\Users\noké\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C1ILLTW7\adwcleaner.exe
    # Option [Suppression]


    ***** [Services] *****


    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\noké\AppData\Local\Ilivid Player
    Dossier Supprimé : C:\Users\noké\AppData\Local\Ilivid
    Dossier Supprimé : C:\Users\noké\AppData\Local\OpenCandy
    Dossier Supprimé : C:\Users\noké\AppData\Roaming\cacaoweb
    Dossier Supprimé : C:\Users\noké\AppData\Roaming\OpenCandy
    Dossier Supprimé : C:\ProgramData\boost_interprocess
    Fichier Supprimé : C:\Users\Public\Desktop\eBay.lnk
    Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\cacaoweb
    Clé Supprimée : HKCU\Software\SweetIm
    Clé Supprimée : HKLM\SOFTWARE\Iminent
    Clé Supprimée : HKLM\SOFTWARE\SweetIM

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
    [x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [1975 octets] - [30/07/2012 10:38:20]

    ########## EOF - C:\AdwCleaner[S1].txt - [2103 octets] ##########


    et l autre rapport.
    Malwarebytes Anti-Malware (Essai) 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.07.30.05

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    noké :: NOKÉ-HP [administrateur]

    Protection: Activé

    30/07/2012 14:28:48
    mbam-log-2012-07-30 (14-28-48).txt

    Type d'examen: Examen complet (C:\|D:\|Q:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 493887
    Temps écoulé: 1 heure(s), 2 minute(s), 14 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    nod32 ne me signal plus d erreur, j ai pas plus d info dans son journal . peut etre un bug dans les mise à jour corrigé par la suite?
    merci
    a c 295 8 Sécurité
    30 Juillet 2012 17:00:46

    Il y avait bien une infection (C:\Users\noké\AppData\Roaming\Xaav\begal.exe).

    • Relance AdwCleaner et choisis "Désinstallation".

    • Je voudrais un nouveau rapport ZHPDiag.
    a c 295 8 Sécurité
    30 Juillet 2012 22:05:14

    • Copie tout le texte présent dans le cadre ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").
      SysRestore
      [MD5.00000000000000000000000000000000] [APT] [{8A5E0930-9048-4D1F-9477-A18312594D2D}] (...) -- C:\Users\noké\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RRCD1O8Z\ZHPDiag2.exe (.not file.)
      [HKLM\Software\GamesBarSetup]
      [HKLM\Software\Trymedia Systems]
      O43 - CFD: 30/10/2011 - 14:20:42 - [0,002] ----D C:\Program Files (x86)\GamesBar
      O43 - CFD: 14/07/2012 - 16:05:45 - [32,279] ----D C:\ProgramData\Trymedia
      O43 - CFD: 30/11/2011 - 00:05:36 - [0,011] ----D C:\Users\noké\AppData\Local\iwin
      O87 - FAEL: "TCP Query User{830E2D67-ECE1-4C7D-9B95-DC13C5B82CA4}C:\users\noké\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\noké\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
      O87 - FAEL: "UDP Query User{C904E181-B6A0-44A7-AA79-30A73BA9BC21}C:\users\noké\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\noké\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
      O87 - FAEL: "TCP Query User{8681AF6C-7296-4ADB-A1EC-18A21594A9A1}C:\users\noké\appdata\roaming\xaav\begal.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\noké\appdata\roaming\xaav\begal.exe (.not file.)
      O87 - FAEL: "UDP Query User{40D6D0DB-0286-4DC7-BB64-86E497F7C714}C:\users\noké\appdata\roaming\xaav\begal.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\noké\appdata\roaming\xaav\begal.exe (.not file.)
      [HKLM\Software\WOW6432Node\Trymedia Systems]
      [HKLM\Software\WOW6432Node\GamesBarSetup]
      C:\users\noké\appdata\roaming\xaav
      ProxyFix
      EmptyCLSID
      EmptyFlash
      EmptyTemp

    • Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
      (Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
    • Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).
    • Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    • Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
    • Une fois terminé, copie-colle le rapport dans ton prochain message.
    a c 295 8 Sécurité
    31 Juillet 2012 13:23:49

    Citation :
    dois je supprimer malwerbytes pour ne pas creer d interaction avec nod32 ou ça ne risque rien?

    --> Tu peux le garder, ça ne risque rien.

    Pour finir :


    1/

    • Télécharge DelFix sur ton Bureau.
    • Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
    • Clique sur le bouton Suppression.
    • Poste le rapport (C:\DelFixSuppr.txt).
    • Supprime DelFix.



  • 2/

    • Télécharge et installe CCleaner.
    • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.



  • 3/




  • ==Prévention==



  • Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] devant le titre de ton sujet.


    Sois plus vigilant sur Internet ;) 
    31 Juillet 2012 15:01:25

    # DelFix v8.9 - Rapport créé le 31/07/2012 à 14:56:14
    # Mis à jour le 27/07/12 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : noké - NOKÉ-HP (Administrateur)
    # Exécuté depuis : C:\Users\noké\Downloads\delfix.exe
    # Option [Suppression]


    ~~~~~~ Dossiers(s) ~~~~~~


    ~~~~~~ Fichier(s) ~~~~~~


    ~~~~~~ Registre ~~~~~~


    ~~~~~~ Autres ~~~~~~

    Désinstallé : ESET Online Scanner
    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [1458 octets] - [31/07/2012 14:40:49]
    DelFix[S2].txt - [678 octets] - [31/07/2012 14:41:45]
    DelFix[S3].txt - [733 octets] - [31/07/2012 14:42:42]
    DelFix[S4].txt - [669 octets] - [31/07/2012 14:56:14]

    ########## EOF - C:\DelFix[S4].txt - [792 octets] ##########

    j ai refais le point de restauration et mis a jour java
    je prendrais soin de lire le document

    merci pour le travail et le temp passé.
    a c 295 8 Sécurité
    31 Juillet 2012 15:43:32

    Bonne fin d'après-midi.
    15 Octobre 2012 23:39:07

    Bonsoir à tous et à toutes,
    Voila mon Eset me signal au démarrage que j'ai un fichier infecté et je ne sais quoi faire....

    Ce qu'il me dit: 15/10/2012 23:25:32 Analyseur au démarrage fichier Mémoire vive = dwm.exe(2188) une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer

    Merci beaucoup de l'aide que vous pouvez m'apporter
    a c 614 8 Sécurité
    16 Octobre 2012 10:57:40

    Bonjour,

    Vous souhaitez une prise en charge ? Merci de créer votre propre sujet !
    Chaque pc et chaque infection est unique.

    Je ferme ici.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS