Forum d'Entraide Informatique (FEI)

Site d'assistance et de sécurité informatique
https://www.forum-entraide-informatique.com/support/

INfecté par trojan Win32/Zlob.gen!BL

https://www.forum-entraide-informatique.com/support/viewtopic.php?f=3&t=34832

Page 1 sur 1

INfecté par trojan Win32/Zlob.gen!BL

Posté : mer. 27 déc. 2023 10:21
par guizorg1
Bonjour et joyeux fêtes à tous :super:

Comme mon titre l'indique je suis "infecté" par zlob.gen. Le trojan est détecté par Windows, il indique qu'il est présent dans le fichier smithfraudfix:

TrojanDownloader:Win32/Zlob.gen!BL

file: C:\Users\Utilisateur\Downloads\SmitfraudFix.exe

J'ai eu une dizaine de fenêtres qui se sont ouvertes d'un coup en faisant une manip sur chrome, probablement un téléchargement de fichier. j'avais coupé internet en suivant mais je suppose que le mal était fait :oops:

J'ai essayé les standards Ccleaner Malwarbytes... bon, je savais que ça n'irait pas bien loin. Le fichier est détecté sans arrêt, et n'est pas supprimé par windows. Il s'affole au moindre téléchargement.


Puisse votre gentillesse m'apporter une solution durable :siffle:

Re: INfecté par trojan Win32/Zlob.gen!BL

Posté : mer. 27 déc. 2023 12:53
par did80
Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.

Re: INfecté par trojan Win32/Zlob.gen!BL

Posté : jeu. 28 déc. 2023 11:20
par guizorg1
Bonjour,

Merci de prendre le temps de m'aider !

J'ai raté une étape dans le tutoriel, je n'ai pas coché les cases privée et 21 jours avant de télécharger le rapport txt de ZHP suite. Est ce grave ou problématique pour moi? Je l'ai signalé sur le site C joint.com.. car j'ai pu voir que le fichier est publique.

Ensuite dois-je poster un copier coller du rapport ou le lien de Cjoint ?
Car je ne vois pas l'intérêt du Cjoint si on copie colle ici, ni de le rendre privé ?

Dernière question, comment faire une sauvegarde avant désinfection? :reflexion:

Merci d'avance :?

Re: INfecté par trojan Win32/Zlob.gen!BL

Posté : jeu. 28 déc. 2023 11:38
par guizorg1
https://www.cjoint.com/c/MLCkMfOMmIC


https://www.cjoint.com/c/MLCkIaSr4yC

https://www.cjoint.com/c/MLCkJVicjVC

https://www.cjoint.com/c/MLCkKvoaM0C

Re: INfecté par trojan Win32/Zlob.gen!BL

Posté : jeu. 28 déc. 2023 15:07
par did80
:bonjour:

pour ta question sauvegarder ses données perso sur un autre disque

2/

Si Firefox est votre navigateur, sauvegardez vos marques page , tuto =>

1/ https://support.mozilla.org/fr/kb/resta ... rque-pages

2/ Lance Farbar

Image

Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
cmd: Net stop wuauserv
HKU\S-1-5-21-1310568497-2451621386-692658927-1001\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 8\Dashboard.exe" /autostart /min (Pas de fichier)
HKU\S-1-5-21-1310568497-2451621386-692658927-1001\...\MountPoints2: {6951ef9b-8c2e-11ec-8d59-4ccc6ab1045c} - "D:\HiSuiteDownLoader.exe"
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {98C7FD28-0457-4FC4-B476-AD02B06CF5DA} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
ContextMenuHandlers6: [_MovaviSuite10] -> [CC]{9D700AB0-33CE-4ab3-BD66-3A73CC2CEDE3} => -> Pas de fichier
ContextMenuHandlers6: [_MovaviSuite10] -> [CC]{9D700AB0-33CE-4ab3-BD66-3A73CC2CEDE3} => -> Pas de fichier
FirewallRules: [{0BB9F55C-67C3-4BAA-AED4-EB057610FD97}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{0F83DCEC-ED04-403D-8CBF-3A01EEC9D2CB}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{01886E4A-B4D5-480E-9341-C56D4AF8D431}] => (Allow) C:\Users\Utilisateur\AppData\Local\Programs\Opera\91.0.4516.80\opera.exe => Pas de fichier
FirewallRules: [{BB2B719D-680E-4654-B085-08E8F5755930}] => (Allow) C:\Users\Utilisateur\AppData\Local\Temp\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [{7230FE87-F1B5-4913-A5AA-251501A8B39D}] => (Allow) C:\Users\Utilisateur\AppData\Local\Temp\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [{29B8A179-08AF-4E58-8892-056C095B6190}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\BitTorrent Web\btweb.exe => Pas de fichier
FirewallRules: [{3759999F-4281-4632-94DE-F2B73CA3354E}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\BitTorrent Web\btweb.exe => Pas de fichier
C:\Users\Utilisateur\Downloads\SmitfraudFix.exe
DeleteKey: HKLM\SOFTWARE\c62032b2-0bca-5abc-b458-fd67cfc9e49b
StartRegedit:
Windows Registry Editor Version 5.00
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
EndRegedit:
StartBatch:
For /D %%d In ("%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\Cache2" Del /s /q "%%d\Cache2\*.*")
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\*"
Endbatch:
C:\Windows\Temp\ *.*
C:\Users\CurrentUserName\Appdata\Local\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
cmd: Net start wuauserv
Reboot:
end::

Corrige et heberge le rapport fixlog

@+

Re: INfecté par trojan Win32/Zlob.gen!BL

Posté : sam. 30 déc. 2023 19:13
par guizorg1
Merci, c'est chose faite. Voici le rapport

https://www.cjoint.com/c/MLEsmYULWUt

Re: INfecté par trojan Win32/Zlob.gen!BL

Posté : dim. 31 déc. 2023 06:28
par did80
:bonjour:

windows n'est pas réparé

essaye ceci

https://telecharger.malekal.com/download/sfcfix/

Re: INfecté par trojan Win32/Zlob.gen!BL

Posté : dim. 31 déc. 2023 10:59
par guizorg1
Bonjour,

Le lien ne fonctionne pas, le fichier ne se télécharge pas, son poids est de 0 sur le site. :(

le trojan est tjrs détecté par Windows defender

Re: INfecté par trojan Win32/Zlob.gen!BL

Posté : dim. 31 déc. 2023 13:27
par did80
fonctionne le lien

https://i.goopics.net/5xhscv.png

Re: INfecté par trojan Win32/Zlob.gen!BL

Posté : dim. 7 janv. 2024 12:00
par did80
Bonjour,
Plus de nouvelle?
Alors, je retire le sujet de mes suivis et je verrouille.
En cas de reprise, merci de m'adresser un MP.
Cordialement.
Heures au format UTC+01:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/