Security Protection.. Et après ?

Gunz -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonsoir. J'ai eu l'agréable surprise de tomber sur le virus security protection ce soir. J'ai donc effectué une analyse avec malebyte en mode sans échec qui m'a supprimé pas moins de 35 fichier infectés dont des clés de registre. Je pensais donc avoir supprimé le virus car pouvant de nouveau accéder à des programmes. Cependant à l'ouverture de ma session je me suis rendu compte que mon parefeu zone alarme et mon anti virus nod32 ne fonctionnaient plus. De plus je ne peux pas accéder aux pages internet car je suis irrémédiablement redirigé vers des site d'annonce en ligne.
Que faire s'il vous plaît ? Est ce une conséquence connue ?
En vous remerciant d'avance.

Ps: j'ai suivi les info d'un topic conseillant d'utiliser roguekiller ceci étant même si le programme détecte un processus malveillant il ne parvient pas à le supprimer..

15 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Sauvegarde tes documents et poste le rapport ici de Zaccess Remover : https://www.malekal.com/zeroaccesssirefef-remover/
    1
    1. Gunz
       
      Bonjour. C'est à dire sauvegarder mes documents ? Et il n'y a pas de risque à ce que j'aille sur internet comme ça ? De plus je ne pense pas que je pourrai accéder au site étant donné que je suis redirigé vers le même site d'annonce..
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Si tu as l'infection que je pense, y a rien que ton Wndows se flingue et donc que tu n'accèdes plus à tes documents.
      Donc mets les sur une autre partition ou sauvegarde les si tu peux.
      0
    3. Gunz
       
      Rebonjour, je me connecte depuis un autre pc, en effet mon pc semble ne plus pouvoir se connecter à internet. Lorsque que je branche le cable ethernet reliant la box au pc, la connectivité se bloque au niveau de la lecture de la carte réseau...
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ben ouaip ZAccess fout la grouille sur le réseau....

      Donc tente de passer Zaccess Remover par clef USB.
      0
    5. Gunz
       
      Y'a pas risque à ce que je connecte une clé usb sur le pc ?
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    hum..

    Sauvegarde tes documents importants.

    Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
    0
  3. Gunz
     
    Très bien, l'analyse est en cours.

    Je n'ai pas pu installer de console de récupération comme cela était demandé (pas de connexion).

    Je posterai l'analyse ici dès que possible. Cependant Combofix m'a déjà prévenu que le virus ZeroAccess c'était inséré dans la pile tcp/ip.. Ce qui confirme bien l'infection que vous sembliez diagnostiquer sur mon PC.

    Je posterai l'analyse ASAP.

    Encore merci de votre aide.
    0
  4. Gunz
     
    Voici le rapport de l'analyse.

    http://pjjoint.malekal.com/files.php?id=7u7k5w9j10o15t5i14p13l10r11z11z9o5b13g9v7s8u14o11

    De plus même si cela n'a aucun rapport, je préfère vous informez des problèmes suivant qui peuvent, peut être, vous aidez.

    - Ma connexion internet ne fonctionne toujours pas, même après le redémarrage du PC comme me l'avait conseillé combofix.
    - J'ai un message d'erreur à l'ouverture de ma session disant "Validation failed for c:\\WINDOW\System32\ZoneLabs\vsmon.exe". Je tiens à ajouter que ce .exe avait été identifié par NOD32 comme un virus lors de mon analyse du système en mode sans échec.
    - Enfin je suis dans l'impossibilité de charger ma session utilisateur correctement, en effet lorsque j'ouvre une première fois celle-ci le bureau ne se charge pas, et je suis obligé de fermer la session via "alt+ctrl+suppr" et de la réouvrir. Suite à quoi, la session s'ouvre correctement.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    [HKEY_LOCAL_MACHINE\System\ControlSet005\Services\.cdrom]

    c:\windows\$NtUninstallKB52485$
    c:\windows\$NtUninstallKB52485$\3679294060
    c:\windows\3527747703


    T'as bien eu ZAccess mais il semble plus là ce qui est une bonne nouvelle.

    D'autre part :
    c:\documents and settings\Gigabyte\Application Data\Adobe\plugs
    c:\documents and settings\Gigabyte\Application Data\Adobe\shed


    Trojan.Karagany
    Ca veux dire que tu as eu l'infection par un exploit sur site WEB.
    Tu dois avoir Adobe Reader/Flash ou Java pas à jour qui permet l'infection de ton PC => https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/

    ~~

    A virer :
    2011-09-01 01:55 . 2011-09-01 01:55 4194304 ----a-w- c:\windows\system32\jmqjmrkz.dll
    2011-09-01 01:46 . 2011-09-01 01:46 39558 ----a-w- c:\windows\system32\ajooqxfrtjxfct.exe
    2011-09-01 01:45 . 2011-09-01 02:27 -------- d-----w- c:\documents and settings\All Users\Application Data\pC04903NdIgF04903
    2011-08-30 12:36 . 2011-08-31 01:36 -------- d-----w- c:\documents and settings\Gigabyte\Local Settings\Application Data\dxhr
    2011-08-30 12:35 . 2011-08-30 12:35 -------- d-----w- c:\documents and settings\Gigabyte\Local Settings\Application Data\28050

    Tu peux les envoyer sur http://upload.malekal.com avant stp.

    ~~

    Ton antivirus est mort, désinstalle le et réinstalle, fais un scan complet et vois ce que ça donne.
    A moins que ce soit ZA ton antivirus ? :/

    SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
    0
  7. Gunz
     
    Merci de votre réponse, et désolé de mon impatience.

    Tout d'abord:

    - Comment mettre à jour ces 2 programmes, sachant que ma connectivité est toujours inexistante ? (J'ai essayé de brancher le câble ethernet, toujours bloqué sur la lecture de l'adresse réseau)

    - Comment je fais pour les virer ? Je vais dans le répertoire et je les supprime ?

    Idem pour vous les envoyez, je les prends sur ma clé USB et je les postes sur votre lien ? N'y a t'il aucun risque à manipuler ces 2 fichier sur ma clé USB, sachant que pour vous transmettre ces messages, ainsi que les rapports provenant de mon autre PC, je dois les prendre sur ma clé USB et les transmettre via un autre PC (risque pour la clé usb mais surtout pour le second PC)

    - Mon AV était NOD32, cependant pour lancer le logiciel Combofix, j'ai été forcé de le désinstaller car il m'était impossible de suspendre la protection (pas de réponse du tableau "principal" de NOD32, et quand je cliquais sur le module j'avais un message d'erreur me signifiant qu'il y avait un problème pour joindre le coeur du systeme)

    Me conseillez vous un Anti Virus particulier ? J'avais MSE jusqu'à que je change pour NOD32, cependant pour effectuer un scan sur mon PC je vais devoir télécharger un nouvel AV sur ma clé USB et le réinstaller sur le pc.

    En vous remerciant par avance de vos réponses.
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ha internet est pas revenu :/

    Sur Firefox, y a un proxy enfin pas dit qu'il soit actif.
    Sur Internet Explorer, ça marche ? test.

    Faudrait voir si c'est pas ZA qui fout la grouille.

    En mode sans échec, ça donne quoi ?

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    Si ça marche, désinstalle ZA.

    Sinon c'est que ZAccess a planté qq chose, il endommage qq chose au niveau des résolutions DNS ...

    Si pas mieux, tu as un message d'erreur sur la commande de reset winsock ? => https://www.commentcamarche.net/faq/2743-windows-xp-reparer-la-connexion-reseau-en-ligne-de-commande
    0
  9. Gunz
     
    Supprimer les fichiers nommés précédemment ne permettra pas de rétablir la connectivité?

    Ou alors ces 2 problèmes sont indépendants ?

    A l'heure ou je poste ce message je n'ai pas rien touché dans l'attente de savoir si la manipulation des fichier pouvait présenter un risque pour mon second PC.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      indépendants
      0
  10. Gunz
     
    Effectivement ZA semble mettre le bordel, en effet lorsque je veux le supprimer (ou même le lancer) j'ai toujours le message d'erreur suivant "Validation failed for c:\\WINDOW\System32\ZoneLabs\vsmon.exe" idem en mode sans échec, ce qui m'empêche de le désinstaller.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ben désinstalle déjà pour voir.
      0
    2. Gunz
       
      Voila, enfait j'ai quand même pu le déinstaller en mode sans echec. Le "gestionnaire de sécurité Window" m'indique que c'est maintenant le firewall de window qui à prit le relais.

      Cependant toujours pas d'amélioration vis-à-vis de ma connectivité, même après l'utilisation de la commande de reset winsock.
      0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    En mode normal :

    Menu Démarrer puis executer (ou dans la barre de recherche pour Windows Vista/Seven) et tape : cmd puis clic sur OK.

    Dans la nouvelle fenêtre noire, tape (sans faute!) :
    ipconfig /all > %temp%\testcnx.txt puis appuye sur la touche entrée du clavier
    ping www.google.fr >> %temp%\testcnx.txt puis appuye sur la touche entrée du clavier
    ping 209.85.135.103 >> %temp%\testcnx.txt puis appuye sur la touche entrée du clavier
    Ferme toutes les fenêtres.

    Menu Démarrer puis executer (ou dans la barre de recherche pour Windows Vista/Seven) tape notepad %temp%\testcnx.txt et entrée

    Copie/colle le contenu entier ici dans un nouveau message.
    (ou enregistre le ficheir sur le bureau et transfère par clef USB sur le PC qui a internet)

    SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
    0
  12. Gunz
     
    Voici le fichier demandé.

    Configuration IP de Windows

    Nom de l'hôte . . . . . . . . . . : pc-gigabyte

    Suffixe DNS principal . . . . . . :

    Type de noeud . . . . . . . . . . : Inconnu

    Routage IP activé . . . . . . . . : Non

    Proxy WINS activé . . . . . . . . : Non

    Carte Ethernet Connexion au réseau local:

    Suffixe DNS propre à la connexion :

    Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller

    Adresse physique . . . . . . . . .: 1C-6F-65-37-DB-8B

    DHCP activé. . . . . . . . . . . : Oui

    Configuration automatique activée . . . . : Oui

    Adresse IP. . . . . . . . . . . . : 0.0.0.0

    Masque de sous-réseau . . . . . . : 0.0.0.0

    Passerelle par défaut . . . . . . :

    Serveur DHCP. . . . . . . . . . . : 192.168.0.254

    NetBIOS sur TCPIP. . . . . . . . : Désactivé

    La requ^te Ping n'a pas pu trouver l'h"te www.google.fr. V'rifiez le nom et essayez ... nouveau.

    Envoi d'une requ^te 'ping' sur 209.85.135.103 avec 32 octets de donn'esÿ:

    Impossible de joindre l'h"te de destination.

    Impossible de joindre l'h"te de destination.

    Impossible de joindre l'h"te de destination.

    Impossible de joindre l'h"te de destination.

    Statistiques Ping pour 209.85.135.103:

    Paquetsÿ: envoy's = 4, re#us = 0, perdus = 4 (perte 100%),
    0
    1. Gunz
       
      J'ajoute, même si cela n'a pas de rapport que j'ai voulu réinstaller NOD32 pour effectuer une analyse, mais le systeme refuse l'installation en me disant que le programme n'a pas les droits suffisants pour le faire (je suis administrateur sur mon pc)
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      c'est quoi l'adresse IP de ta box ?
      192.168.0.254 ?
      0
    3. Gunz
       
      Comment je fais pour le savoir ?
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ipconfig /all sur ton autre PC connecté dessus et tu regardes ce que tu as en passerelle par défaut.
      0
    5. Gunz
       
      Oui c'est bien ça mon IP.
      0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ipconfig /renew ça retourne quoi comme erreur ?

    cmd /c sc qc dhcp >%temp%\dhcp.txt
    notepad %temp%\dhcp.txt

    donne le contenu.
    0
    1. Gunz
       
      [SC] GetServiceConfig SUCCESS

      SERVICE_NAME: dhcp
      TYPE : 20 WIN32_SHARE_PROCESS
      START_TYPE : 2 AUTO_START
      ERROR_CONTROL : 1 NORMAL
      BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
      LOAD_ORDER_GROUP : TDI
      TAG : 0
      DISPLAY_NAME : Client DHCP
      DEPENDENCIES : Tcpip
      : Afd
      : NetBT
      SERVICE_START_NAME : LocalSystem
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      et ipconfig?
      0
    3. Gunz
       
      Bonsoir, devant la persistance des problèmes en tout genre (impossible d'installer d'AV, internet etc) j'ai préféré faire un formatage de mon PC pour éradiquer définitivement les risques de "retour".

      En m'excusant du temps que j'ai pu vous faire perdre, et surtout en vous remerciant de votre aide rapide.
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu as bien fait :)
      0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Fais plus attention à l'avenir....

    Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
    Exemple de ce qu'il ne faut pas faire :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.
    0
  15. Gunz
     
    Merci beaucoup pour ces éléments de compréhension ainsi que pour vos conseils.

    J'ai d'ores et déjà installé Secunia PSI sur tous mes PC pour bien tenir mes logiciel à jour (très très utile) et je vais télécharger les plugins pour FF que vous m'aviez conseillé.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      good !
      :)
      0