> Tous les forums > Forum Sécurité
 virus spyware.zbot.ed
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
gab1
  Posté le 30/12/2014 @ 20:59 
Aller en bas de la page 
Petite astucienne

bonjour jai recu un email venant de fedex et je crois que jai un virus dans mon ordi quelqu'un pourrait m'aider svp merci bcp

Publicité
Pat6868
 Posté le 30/12/2014 à 21:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir,

tu pourrais nous dire ce que dit ce message?

Billkool
 Posté le 30/12/2014 à 21:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Si,tu penses être infecté,clique sur le lien de ma signature Aide au diagnostic d'un pc infecté et poste les 3 rapports demandés.
Patiente le temps que l'on te prenne en charge.

@ +

gab1
 Posté le 30/12/2014 à 22:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : mbam.txt

gab1
 Posté le 30/12/2014 à 22:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : AdwCleaner[S0].txt

gab1
 Posté le 31/12/2014 à 00:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

gab1
 Posté le 31/12/2014 à 00:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

voici mes 3 rapports merci bcp

Pierre95
 Posté le 31/12/2014 à 09:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour gab1,

qBittorrent 3.1.9.2 v3.1.9.2 =>P2P.BitTorrent

µTorrent v2.2.1 =>P2P.µTorrent

O4 - GS\Desktop [Public]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O4 - GS\QuickLaunch [karina]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O4 - GS\Desktop [karina]: qBittorrent.lnk . (...) -- C:\Program Files (x86)\qBittorrent\qbittorrent.exe =>P2P.BitTorrent

O4 - HKCU\..\Run: [uTorrent] . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O4 - HKUS\S-1-5-21-2607259514-1458383681-2146510391-1001\..\Run: [uTorrent] . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O45 - LFCP:[MD5.27651093CF5359F82406534F6DC44EA4] - 2014-12-27 - 18:53:36 ---A- - C:\Windows\Prefetch\QBITTORRENT.EXE-E16051E4.pf =>P2P.BitTorrent

[MD5.0DB5813B033CC1BAA1B0085B25B153B4] [SPRF][2014-07-15] (.The qBittorrent project - qBittorrent - A Bittorrent Client.) -- C:\Users\karina\Desktop\qbittorrent_3.1.9.2_setup.exe [10509452] =>P2P.BitTorrent

[MD5.22DA0DDAF1BF9E0FB5C705319024429B] [SPRF][2014-06-13] (.BitTorrent, Inc. - µTorrent.) -- C:\Users\karina\Desktop\utorrent_2.2.1.exe [399224] =>P2P.BitTorrent

O87 - FAEL: "{B0234CE1-BDC1-4C04-ADF6-FF7ED2035840}" | In - None - P6 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O87 - FAEL: "{68CF72D2-7AE9-444D-812A-B8D6B09EAE7C}" | In - None - P17 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:uTorrent =>P2P.BitTorrent^

C:\Users\karina\Desktop\qbittorrent_3.1.9.2_setup.exe =>P2P.BitTorrent^

C:\Users\karina\Desktop\utorrent_2.2.1.exe =>P2P.BitTorrent^

Du P2P !!!!

MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\WINDOWS\AutoKMS\AutoKMS.exe (.not file.) [0] =>Trojan.AutoKMS

Une trace d' émulateur pour pirater un produit Microsoft !!!

mais aussi

O81 - IFC: Internet Feature Controls [HKCU] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS

Un rootkit, et Zbot ( du lourd) trop dur pour moi !!!

Je préfère jeter l'éponge avant que le match commence

Attends qu'un autre helper ou un membre du Groupe Sécurité te prenne en charge ou te donne son avis

Pierre



Modifié par Pierre95 le 31/12/2014 09:17
gab1
 Posté le 31/12/2014 à 13:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

jespere que quelqu'un pourra m'aider :(

Publicité
Evasion60
 Posté le 31/12/2014 à 18:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

..et pour compléter le tout, un logiciel cracké =>

---\\ Enumère les fichiers Crack & Keygen (CKF) (O82)
C:\Users\karina\AVS4YOU.Software.AIO.Installation.Package.v2.6.1.114.Cracked.MERRY.XMAS-F4CG\f4-avssetup26.exe



Modifié par Evasion60 le 31/12/2014 18:18
gab1
 Posté le 31/12/2014 à 22:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

gab1
 Posté le 31/12/2014 à 22:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour , voila je vous renvoi un autre rapport j'ai tout désinstaller les fichiers utorrent bittorent et tous les autres donc maintenant quelqu'un peux me venir en aide svp je vous remercie bcp

Pat6868
 Posté le 31/12/2014 à 22:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonsoir gab1,

j'espère que tu as compris que tu as été infecté (entre autre) par ces Crack & Keygen que tu as installé et utilisé!

Après la désinfection, il ne faudra plus rien installer de tel, je te le recommande.

Je ne sais pas si tu auras encore de l'aide ce soir, les membres du Groupe Sécurité réveillonnent certainement.

Bonne année 2015

gab1
 Posté le 31/12/2014 à 22:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

mci bcp :(

gab1
 Posté le 31/12/2014 à 22:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

jai supprimé aussi avs4you

gab1
 Posté le 31/12/2014 à 22:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

gab1
 Posté le 31/12/2014 à 23:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

Publicité
gab1
 Posté le 31/12/2014 à 23:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

ca cest le dernier rapport :)

Ekalb
 Posté le 01/01/2015 à 08:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Il faut assumer et ne pas demander à d'autres de passer leur temps à réparer des dégâts dus à des fraudes ou des tentatives de fraudes.

Anonyme
 Posté le 01/01/2015 à 12:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Ekalb a écrit :

Bonjour,

Il faut assumer et ne pas demander à d'autres de passer leur temps à réparer des dégâts dus à des fraudes ou des tentatives de fraudes.

Bonjour

je suis d'accord mais là c'est un email venant de fedex (bien sur un faux) qui a été la porte d'entrée.

C'est vraiment du lourd...un Zbot et un TDSS

gab1

Attendez votre assistant "Evasion60" du Groupe Sécurité s'il souhaite vous prendre en charge.

Ne faites aucunes transactions bancaires avec la machine, elle est vraiment compromise ainsi que surement tous vos mots de passe....il me semble que la bestiole est encore active au démarrage de la machine.

Source : http://www.symantec.com/security_response/writeup.jsp?docid=2010-011016-3514-99
Traduction fr : Australien

Trojan.Zbot , également appelé Zeus , est un cheval de Troie qui tente de dérober des informations confidentielles de l'ordinateur infecté . Il peut également télécharger des fichiers de configuration et les mises à jour à partir d'Internet . Le cheval de Troie est créé en utilisant un ensemble d'outils de renforcement des Trojan .

infection

Les fichiers Trojan.Zbot qui sont utilisés pour compromettre les ordinateurs sont générées en utilisant une trousse d'outils qui est disponible dans les marchés pour les criminels en ligne . La boîte à outils permet à un attaquant un degré élevé de contrôle sur les fonctionnalités de l'exécutable final qui est distribué aux ordinateurs ciblés .

Le cheval de Troie lui-même est principalement distribué par des campagnes de spam et drive-by downloads , mais compte tenu de sa polyvalence , d'autres vecteurs peuvent également être utilisés . L'utilisateur peut recevoir un message électronique prétendant provenir des organisations telles que la FDIC , IRS , MySpace , Facebook ou Microsoft . Le corps du message avertit l'utilisateur d'un problème avec leur information financière , compte en ligne ou un logiciel et suggère qu'ils visitent un lien fourni dans le courriel . L'ordinateur est compromis si l'utilisateur visite le lien , s'il n'est pas protégé.


fonctionnalité

Ce cheval de Troie a été principalement conçu pour dérober des informations confidentielles sur les ordinateurs qu'il compromet . Il vise spécifiquement les informations système , les informations d'identification en ligne , et les coordonnées bancaires , mais peut être personnalisé grâce à la boîte à outils pour recueillir toutes sortes d'informations . Cela se fait en adaptant les fichiers de configuration qui sont compilés dans le programme d'installation de Troie par l'attaquant . Ceux-ci peuvent être mis à jour plus tard pour cibler d'autres informations , si l'attaquant le souhaite .

Les informations confidentielles sont recueillies par le biais de multiples méthodes . Lors de l'exécution du cheval de Troie recueille automatiquement les Internet Explorer , FTP , POP3 ou les mots de passe qui sont contenus dans Protected Storage ( PStore ) . Cependant , la méthode la plus efficace pour la collecte d'informations est par la surveillance des sites Web inclus dans le fichier de configuration , parfois intercepter les pages Web légitimes et l'insertion des champs supplémentaires ( par exemple en ajoutant une date de champ de la naissance à une page Web de la banque qui à l'origine a seulement demandé un nom d'utilisateur et mot de passe ) .

En outre , Trojan.Zbot contacte un serveur de commande et de contrôle et se rend disponible pour effectuer des fonctions supplémentaires . Cela permet à un attaquant distant de commander le cheval de Troie de télécharger et d'exécuter d'autres fichiers , arrêter ou redémarrer l'ordinateur , ou même supprimer des fichiers système , ce qui rend l'ordinateur inutilisable....

Dommage

Niveau de dommage: Haut
Élément déclencheur: En cliquant sur ​​les liens dans les e-mails non sollicités.
Charge utile: Ouvre une porte arrière (backdoor), rassemble des informations de l'ordinateur, dérobe des informations sensibles, peut télécharger des fichiers supplémentaires.

Australien



Modifié par Anonyme le 01/01/2015 12:29
Ekalb
 Posté le 01/01/2015 à 12:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

je suis d'accord mais là c'est un email venant de fedex (bien sur un faux) qui a été la porte d'entrée.

Peut-être... mais bon quand on voit ce qu'il y a sur le PC...les portes d'entrée sont multiples.

Les infections directement par mail je n'y crois pas trop (le plus souvent c'est du hameçonnage).

Voir aussi https://forum.pcastuces.com/chercher.asp?r=&auteur=gab1&FORUM_ID=0&SSCAT=0

Ce n'est pas la 1re fois qu'il a été averti.



Modifié par Ekalb le 01/01/2015 12:23
Labougie
 Posté le 01/01/2015 à 12:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello,

Je vous rejoins tous les 2.

  • Injection par mail fedex
  • Crackeuse déjà avertie

Ensuite nous nous demandons pourquoi nous sommes si peu motivé.

labougie

Pat6868
 Posté le 01/01/2015 à 12:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Pour se prémunir de ce genre de désagrément, il faut effectivement ne pas cliquer sur n'importe quoi, mais

Comment se fait-il que l'antivirus (AVG) n'ai pas bronché/bloqué cette attaque

Est-ce qu'il y a eu plusieurs portes d'entrées (crack+mail)

Vos expériences éclairées aiderons tous les astuciens, 2015 devrait commencer mieux que ça...

Anonyme
 Posté le 01/01/2015 à 12:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re.

Et bonjour Labougie.

effectivement je viens de lire l'historique mis en lien par Ekalb, le dernier passage chez nous montre aussi un Windows 8 Pro qui était piraté par kms; et à l'époque qui n'avait pas été vu par l'assistant.

Donc devant cette récidive évidente >> Formatage pédagogique préconisé, changement de tous les mots de passe par des nouveaux qui soient "fort et complexe" et rapprochement rapide auprès de sa banque si achats en lignes ou consultations de compte bancaire.

Après réflexion je prend pas le sujet.

Australien



Modifié par Anonyme le 01/01/2015 12:44
Labougie
 Posté le 01/01/2015 à 12:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pour faire simple, le rootkit a caché le bot en maintenant à distance la protection. La protection est sans doute en + désactivée.

Là, ce sont de belles bestioles.

Cracks + P2P + probablement FEDEX@, une belle attaque contrôlée à distance pour attaquer n'importe qui, n'importe ou. La machine est sans doute devenue un zoombi

labougie

Sir Australian



Modifié par Labougie le 01/01/2015 12:44
Pat6868
 Posté le 01/01/2015 à 12:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Merci Labougie,

L'idéal serait le formatage pour tout supprimer ?

A ce niveau d’infection, c'est ce que je ferais!

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
14,81 €Carte mémoire SDXC UHS-I U3 SanDisk Extreme Plus 128 Go (jusqu'à 160 Mo/s) à 14,81 €
Valable jusqu'au 27 Juin

Amazon fait une belle promotion sur la carte mémoire SDXC UHS-I U3 SanDisk Extreme Plus d'une capacité de 128 Go qui passe à 14,81 € alors qu'on trouve la carte ailleurs à partir de 30 €. Cette carte mémoire offre des vitesses jusqu'à 160 Mo/s en lecture et 90 Mo/s en écriture et intègre des mécanismes afin de gérer l'usure des cellules de la carte et augmenter ainsi sa durée de vie. Une valeur sûre pour les plus exigeants.

Elle résiste aux températures extrêmes, à l'eau, aux chocs et aux rayons X.


> Voir l'offre
67,91 €Casque Logitech G Pro à 67,91 € livré
Valable jusqu'au 26 Juin

Amazon Espagne fait une promotion sur le casque Logitech G Pro qui passe à 62,38 € (avec la TVA ajustée). Comptez 5,53 € pour la livraison en France soit un total de 67,91 € livré alors qu'on le trouve ailleurs à partir de 90 €. Conçu en collaboration avec de nombreux joueurs professionnels sur divers genres de jeux, le Logitech G Pro Gaming Headset va vous permettre d'entendre les sons de votre jeu avec précision. Il est doté de transducteurs Pro-G de 50 mm et d'un microphone de qualité professionnelle.


> Voir l'offre
33,79 €Clé USB Sandisk Ultra Go 256 Go à double connectique USB 3.1 Type A et C à 33,79 €
Valable jusqu'au 26 Juin

Amazon fait une promotion sur la clé USB Sandisk Ultra Go 256 Go à double connectique USB 3.1 Type A et C qui passe à 33,79 €. Cette clé USB  dispose d'un connecteur USB Type C et d'un connecteur classique de type A. Grâce à elle, transférez en toute simplicité et rapidement (jusqu'à 150 Mo/s) vos fichiers entre vos smartphones, tablettes et ordinateurs. On la trouve ailleurs à plus de 45 €.


> Voir l'offre

Sujets relatifs
SPYWARE ZBOT détecté par ZHPDiag
Infecté de la tête au pied ... Virus/spyware/RAT
Virus variante de WIN32/spy.zbot.zr
Virus ou spyware?
Virus Worm, Spyware.OnlineGames
Explorer+Progs lents - Pilotes/Virus/Spyware ?
"trustedsoftware" virus ? spyware?
Virus ou spyware "antivirus studio 2010"
anti virus et spyware
virus ou spyware ou disque dur hs ?
Plus de sujets relatifs à virus spyware.zbot.ed
 > Tous les forums > Forum Sécurité