> Tous les forums > Forum Sécurité
 virus spyware.zbot.ed
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
gab1
  Posté le 30/12/2014 @ 20:59 
Aller en bas de la page 
Petite astucienne

bonjour jai recu un email venant de fedex et je crois que jai un virus dans mon ordi quelqu'un pourrait m'aider svp merci bcp

Publicité
Pat6868
 Posté le 30/12/2014 à 21:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir,

tu pourrais nous dire ce que dit ce message?

Billkool
 Posté le 30/12/2014 à 21:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Si,tu penses être infecté,clique sur le lien de ma signature Aide au diagnostic d'un pc infecté et poste les 3 rapports demandés.
Patiente le temps que l'on te prenne en charge.

@ +

gab1
 Posté le 30/12/2014 à 22:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : mbam.txt

gab1
 Posté le 30/12/2014 à 22:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : AdwCleaner[S0].txt

gab1
 Posté le 31/12/2014 à 00:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

gab1
 Posté le 31/12/2014 à 00:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

voici mes 3 rapports merci bcp

Pierre95
 Posté le 31/12/2014 à 09:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour gab1,

qBittorrent 3.1.9.2 v3.1.9.2 =>P2P.BitTorrent

µTorrent v2.2.1 =>P2P.µTorrent

O4 - GS\Desktop [Public]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O4 - GS\QuickLaunch [karina]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O4 - GS\Desktop [karina]: qBittorrent.lnk . (...) -- C:\Program Files (x86)\qBittorrent\qbittorrent.exe =>P2P.BitTorrent

O4 - HKCU\..\Run: [uTorrent] . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O4 - HKUS\S-1-5-21-2607259514-1458383681-2146510391-1001\..\Run: [uTorrent] . (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O45 - LFCP:[MD5.27651093CF5359F82406534F6DC44EA4] - 2014-12-27 - 18:53:36 ---A- - C:\Windows\Prefetch\QBITTORRENT.EXE-E16051E4.pf =>P2P.BitTorrent

[MD5.0DB5813B033CC1BAA1B0085B25B153B4] [SPRF][2014-07-15] (.The qBittorrent project - qBittorrent - A Bittorrent Client.) -- C:\Users\karina\Desktop\qbittorrent_3.1.9.2_setup.exe [10509452] =>P2P.BitTorrent

[MD5.22DA0DDAF1BF9E0FB5C705319024429B] [SPRF][2014-06-13] (.BitTorrent, Inc. - µTorrent.) -- C:\Users\karina\Desktop\utorrent_2.2.1.exe [399224] =>P2P.BitTorrent

O87 - FAEL: "{B0234CE1-BDC1-4C04-ADF6-FF7ED2035840}" | In - None - P6 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

O87 - FAEL: "{68CF72D2-7AE9-444D-812A-B8D6B09EAE7C}" | In - None - P17 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe =>P2P.BitTorrent

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:uTorrent =>P2P.BitTorrent^

C:\Users\karina\Desktop\qbittorrent_3.1.9.2_setup.exe =>P2P.BitTorrent^

C:\Users\karina\Desktop\utorrent_2.2.1.exe =>P2P.BitTorrent^

Du P2P !!!!

MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\WINDOWS\AutoKMS\AutoKMS.exe (.not file.) [0] =>Trojan.AutoKMS

Une trace d' émulateur pour pirater un produit Microsoft !!!

mais aussi

O81 - IFC: Internet Feature Controls [HKCU] [FEATURE_BROWSER_EMULATION] -- svchost.exe =>Rootkit.TDSS

Un rootkit, et Zbot ( du lourd) trop dur pour moi !!!

Je préfère jeter l'éponge avant que le match commence

Attends qu'un autre helper ou un membre du Groupe Sécurité te prenne en charge ou te donne son avis

Pierre



Modifié par Pierre95 le 31/12/2014 09:17
gab1
 Posté le 31/12/2014 à 13:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

jespere que quelqu'un pourra m'aider :(

Publicité
Evasion60
 Posté le 31/12/2014 à 18:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

..et pour compléter le tout, un logiciel cracké =>

---\\ Enumère les fichiers Crack & Keygen (CKF) (O82)
C:\Users\karina\AVS4YOU.Software.AIO.Installation.Package.v2.6.1.114.Cracked.MERRY.XMAS-F4CG\f4-avssetup26.exe



Modifié par Evasion60 le 31/12/2014 18:18
gab1
 Posté le 31/12/2014 à 22:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

gab1
 Posté le 31/12/2014 à 22:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour , voila je vous renvoi un autre rapport j'ai tout désinstaller les fichiers utorrent bittorent et tous les autres donc maintenant quelqu'un peux me venir en aide svp je vous remercie bcp

Pat6868
 Posté le 31/12/2014 à 22:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonsoir gab1,

j'espère que tu as compris que tu as été infecté (entre autre) par ces Crack & Keygen que tu as installé et utilisé!

Après la désinfection, il ne faudra plus rien installer de tel, je te le recommande.

Je ne sais pas si tu auras encore de l'aide ce soir, les membres du Groupe Sécurité réveillonnent certainement.

Bonne année 2015

gab1
 Posté le 31/12/2014 à 22:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

mci bcp :(

gab1
 Posté le 31/12/2014 à 22:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

jai supprimé aussi avs4you

gab1
 Posté le 31/12/2014 à 22:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

gab1
 Posté le 31/12/2014 à 23:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

Publicité
gab1
 Posté le 31/12/2014 à 23:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

ca cest le dernier rapport :)

Ekalb
 Posté le 01/01/2015 à 08:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Il faut assumer et ne pas demander à d'autres de passer leur temps à réparer des dégâts dus à des fraudes ou des tentatives de fraudes.

Anonyme
 Posté le 01/01/2015 à 12:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Ekalb a écrit :

Bonjour,

Il faut assumer et ne pas demander à d'autres de passer leur temps à réparer des dégâts dus à des fraudes ou des tentatives de fraudes.

Bonjour

je suis d'accord mais là c'est un email venant de fedex (bien sur un faux) qui a été la porte d'entrée.

C'est vraiment du lourd...un Zbot et un TDSS

gab1

Attendez votre assistant "Evasion60" du Groupe Sécurité s'il souhaite vous prendre en charge.

Ne faites aucunes transactions bancaires avec la machine, elle est vraiment compromise ainsi que surement tous vos mots de passe....il me semble que la bestiole est encore active au démarrage de la machine.

Source : http://www.symantec.com/security_response/writeup.jsp?docid=2010-011016-3514-99
Traduction fr : Australien

Trojan.Zbot , également appelé Zeus , est un cheval de Troie qui tente de dérober des informations confidentielles de l'ordinateur infecté . Il peut également télécharger des fichiers de configuration et les mises à jour à partir d'Internet . Le cheval de Troie est créé en utilisant un ensemble d'outils de renforcement des Trojan .

infection

Les fichiers Trojan.Zbot qui sont utilisés pour compromettre les ordinateurs sont générées en utilisant une trousse d'outils qui est disponible dans les marchés pour les criminels en ligne . La boîte à outils permet à un attaquant un degré élevé de contrôle sur les fonctionnalités de l'exécutable final qui est distribué aux ordinateurs ciblés .

Le cheval de Troie lui-même est principalement distribué par des campagnes de spam et drive-by downloads , mais compte tenu de sa polyvalence , d'autres vecteurs peuvent également être utilisés . L'utilisateur peut recevoir un message électronique prétendant provenir des organisations telles que la FDIC , IRS , MySpace , Facebook ou Microsoft . Le corps du message avertit l'utilisateur d'un problème avec leur information financière , compte en ligne ou un logiciel et suggère qu'ils visitent un lien fourni dans le courriel . L'ordinateur est compromis si l'utilisateur visite le lien , s'il n'est pas protégé.


fonctionnalité

Ce cheval de Troie a été principalement conçu pour dérober des informations confidentielles sur les ordinateurs qu'il compromet . Il vise spécifiquement les informations système , les informations d'identification en ligne , et les coordonnées bancaires , mais peut être personnalisé grâce à la boîte à outils pour recueillir toutes sortes d'informations . Cela se fait en adaptant les fichiers de configuration qui sont compilés dans le programme d'installation de Troie par l'attaquant . Ceux-ci peuvent être mis à jour plus tard pour cibler d'autres informations , si l'attaquant le souhaite .

Les informations confidentielles sont recueillies par le biais de multiples méthodes . Lors de l'exécution du cheval de Troie recueille automatiquement les Internet Explorer , FTP , POP3 ou les mots de passe qui sont contenus dans Protected Storage ( PStore ) . Cependant , la méthode la plus efficace pour la collecte d'informations est par la surveillance des sites Web inclus dans le fichier de configuration , parfois intercepter les pages Web légitimes et l'insertion des champs supplémentaires ( par exemple en ajoutant une date de champ de la naissance à une page Web de la banque qui à l'origine a seulement demandé un nom d'utilisateur et mot de passe ) .

En outre , Trojan.Zbot contacte un serveur de commande et de contrôle et se rend disponible pour effectuer des fonctions supplémentaires . Cela permet à un attaquant distant de commander le cheval de Troie de télécharger et d'exécuter d'autres fichiers , arrêter ou redémarrer l'ordinateur , ou même supprimer des fichiers système , ce qui rend l'ordinateur inutilisable....

Dommage

Niveau de dommage: Haut
Élément déclencheur: En cliquant sur ​​les liens dans les e-mails non sollicités.
Charge utile: Ouvre une porte arrière (backdoor), rassemble des informations de l'ordinateur, dérobe des informations sensibles, peut télécharger des fichiers supplémentaires.

Australien



Modifié par Anonyme le 01/01/2015 12:29
Ekalb
 Posté le 01/01/2015 à 12:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

je suis d'accord mais là c'est un email venant de fedex (bien sur un faux) qui a été la porte d'entrée.

Peut-être... mais bon quand on voit ce qu'il y a sur le PC...les portes d'entrée sont multiples.

Les infections directement par mail je n'y crois pas trop (le plus souvent c'est du hameçonnage).

Voir aussi https://forum.pcastuces.com/chercher.asp?r=&auteur=gab1&FORUM_ID=0&SSCAT=0

Ce n'est pas la 1re fois qu'il a été averti.



Modifié par Ekalb le 01/01/2015 12:23
Labougie
 Posté le 01/01/2015 à 12:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello,

Je vous rejoins tous les 2.

  • Injection par mail fedex
  • Crackeuse déjà avertie

Ensuite nous nous demandons pourquoi nous sommes si peu motivé.

labougie

Pat6868
 Posté le 01/01/2015 à 12:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Pour se prémunir de ce genre de désagrément, il faut effectivement ne pas cliquer sur n'importe quoi, mais

Comment se fait-il que l'antivirus (AVG) n'ai pas bronché/bloqué cette attaque

Est-ce qu'il y a eu plusieurs portes d'entrées (crack+mail)

Vos expériences éclairées aiderons tous les astuciens, 2015 devrait commencer mieux que ça...

Anonyme
 Posté le 01/01/2015 à 12:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re.

Et bonjour Labougie.

effectivement je viens de lire l'historique mis en lien par Ekalb, le dernier passage chez nous montre aussi un Windows 8 Pro qui était piraté par kms; et à l'époque qui n'avait pas été vu par l'assistant.

Donc devant cette récidive évidente >> Formatage pédagogique préconisé, changement de tous les mots de passe par des nouveaux qui soient "fort et complexe" et rapprochement rapide auprès de sa banque si achats en lignes ou consultations de compte bancaire.

Après réflexion je prend pas le sujet.

Australien



Modifié par Anonyme le 01/01/2015 12:44
Labougie
 Posté le 01/01/2015 à 12:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pour faire simple, le rootkit a caché le bot en maintenant à distance la protection. La protection est sans doute en + désactivée.

Là, ce sont de belles bestioles.

Cracks + P2P + probablement FEDEX@, une belle attaque contrôlée à distance pour attaquer n'importe qui, n'importe ou. La machine est sans doute devenue un zoombi

labougie

Sir Australian



Modifié par Labougie le 01/01/2015 12:44
Pat6868
 Posté le 01/01/2015 à 12:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Merci Labougie,

L'idéal serait le formatage pour tout supprimer ?

A ce niveau d’infection, c'est ce que je ferais!

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
SPYWARE ZBOT détecté par ZHPDiag
Infecté de la tête au pied ... Virus/spyware/RAT
Virus variante de WIN32/spy.zbot.zr
Virus ou spyware?
Virus Worm, Spyware.OnlineGames
Explorer+Progs lents - Pilotes/Virus/Spyware ?
"trustedsoftware" virus ? spyware?
Virus ou spyware "antivirus studio 2010"
anti virus et spyware
virus ou spyware ou disque dur hs ?
Plus de sujets relatifs à virus spyware.zbot.ed
 > Tous les forums > Forum Sécurité