Un virus bloque l'accés à Internet [Résolu/Fermé]

Signaler
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012
-
 g3n-h@ckm@n -
Bonjour,

Mon pc portable ne parvient plus à se connecter au web (cable ethernet et wifi).
Le modem du pc voit bien le réseau wifi de ma freebox, mais l'état reste à " lecture de l'adresse réseau" . Ma freebox n'a pas de problème car je poste ce message avec un autre pc en wifi dessus.
Avast détecte un Rootkit à tous les démarrages et n'arrive pas à le supprimer.
La protection résidente de Avast reste Desactivée, le bouton Activer est comme gelé.

J'ai remarqué que le PC ne peut plus lire les clés USB.

Merci pour votre aide, cordialement,


110 réponses

Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
861
Salut,

- Télécharge TDSSKiller : https://support.kaspersky.com/downloads/utils/tdsskiller.zip

- Lance-le (Utilisateurs de Vista/Seven => Clic droit puis "Exécuter en tant que administrateur")

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. À la fin de l'analyse, appuie sur une touche de ton choix. Un rapport va s'ouvrir.

- Copie/Colle son contenu dans ta prochaine réponse sur le forum.

N.B : Le rapport se trouve également sous C:\tdsskiller.txt.

Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4 (\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess est détecté règle sur "cure" en haut , et "delete" en bas.

Si tu as des questions sur l'utilisation de TDSSkiller, n'hésite pas à me les poser !

@+

Gabriel.
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Salut Gabriel,
Mon pc ne peut plus se connecter au web donc je ne peux pas faire de téléchargement !

a+
Messages postés
266
Date d'inscription
lundi 28 juin 2010
Statut
Membre
Dernière intervention
18 novembre 2014
35
Et ben tu le téléchargement via ton autre pc, tu le met ensuite sur USB ou CD.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
861
Hello,

On fait en MSE avant pour voir :)

@+
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
861
Ok.

Comment aller en Mode sans échec avec prise en charge réseau :

Redémarre ton ordinateur.
▶ Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le chargement du BIOS.
▶ Tu verras un écran avec options de démarrage apparaître.
▶ Choisis l'option : Mode Sans Échec avec prise en charge réseau, et valide avec "Entrée"
▶ Choisis ton compte habituel, et non Administrateur.

@+

Gabriel.
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Gabriel,
Je suis en mode sans echec avec prise en charge reseau mais ethernet et wifi sont toujours en "LECTURE DE L'ADRESSE RESEAU", donc pas encore moyen de se connecter au web :(

Merci
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
861
Ok ;)

Fais donc Via une clé USB ;)

@+

Gabriel.
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Le pc ne peut plus ouvrir les clés usb ! il propose un formatage à chaque fois qui ne mène à rien...
Le pc lit les cd, je peux essayer de mettre TDSSKiller dessus.

Mais si j'ai bien compris, une fois telechargé, l'executable TDSSKiller se met à jour automatiquement avec le web, et là on va encore être bloqué ???

De plus, comment poster les rapports sans web ni clés usb ?

Merci
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
861
Re,

Ok, sur un CD vierge, ensuite, ne mets pas à jour si demandé (à priori non), et ensuite, tu remets le rapport sur le CD :)

@+

Gabriel.
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Gabriel,
J'ai mis TDSSKILLER sur un CD, je l'est fait tourné sur le pc infecté.
Apparemment il n'a pas essayé de mettre à jour.
Il a scanné en pas longtemps (moins de 1 minute) et a trouvé une seule menace : Rootkit
En passant à l'étape suivante le PC a redémarré.
J'ai choisi toujours sans échec avec prise en charge réseau.
Internet toujours indisponible.
J'ai le rapport disponible, mais le PC ne reconnait pas les cd vierge !
Bref, on dirait que tout les accès vers "l'extérieur" sont bloqués....
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Je peux aussi essayer de recopier des passages du rapport si tu m'indique les passages dont tu as besoin.. HELPPPP !
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
861
Re,

Tu as fait Cure ? Refais un scan et vérifie si le rootikit est supprimé, sinon faire Cure ou Delete :)

Après, fais ceci, toujours via le CD :

/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS/!\


__________________________________________________________
>>>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<<<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : DANGEREUX ! <<<<<<<<

=====================================================

? Surtout, pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. Tout simplement car il ne sera pas détécté par l'infection.

Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\Choisis la version adéquate (32 ou 64 bits)/!\

=>Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

? Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe

? Lance-le : Utilisateurs de Vista et Seven => Clic droit : Éxécuter en tant qu'administrateur.

Une fenêtre apparait : clique sur "Disable"

? Fais redémarrer l'ordinateur si l'outil te le demande.

>> N.B : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" <<

_________________________________________________________

>> Referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Si tu as XP => double clique .
Si tu as Windows Vista ou Windows 7 => clic droit "Éxecuter en tant que Administrateur"

Sur le combofix renommé.

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

? !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....), sauf si l'outil te le demande !!!!! Cela peut planter complètement ton système !!!

? N'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

?? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


Si tu as des questions sur l'utilisation de Combofix, n'hésite pas à me les poser !

@+

Gabriel.
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Gabriel,

Le scan de combofix (renommé) est en cours, il a deja redemarré une fois.
Pendant le scan j'ai eu un message inquiétant :

Votre PC est infecté par Rootkit.ZeroAccess! Il est inséré dans la pile tcp/ip. C'est une infection particulièrement compliquée. etc...

Je poste bientôt la suite

Merci
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Pour info le PC s'éteint brutalement de temps en temps.
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Gabriel,

J'ai le rapport et un fichier log apparu sur mon bureau.
Internet est toujours bloqué (explorer et firefox)
Pas moyen de reconnaitre une clé USB.

Je ne sais pas comment poster le rapport.

Merci,
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

IMPORTANT :

Juste avant le scan de Combofix, un message avertit que Avast n'est pas completement déconnecté, pourtant j'ai bien essayé.
Le scan a quand meme eu lieu mais peut etre pas de la meilleur façon qui soit.

Peux tu me dire comment fermer avast à 100% ?

Merci,
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
861
Re,

Arf... Tu ne trouves aucun moyen de me donner le rapport ?
Sinon, refais TDSSkiller, et donne moi le nom exacte de ce qui est trouvé, et l'action que tu as effectuée ;)

Merci,

Gabriel.
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Salut Gabriel,

J'ai du nouveau :

TDSSKILLER ne trouve aucune menace : NO THREAT FOUND

J'ai carrément désinstallé Avasr et AdAware pour mieux aider combofix à fonctionner correctement

J'ai fait un nouveau scan de combofix qui fonctionne plus vite

J'ai reussi à mettre le rapport sur clé usb, mais pas moyen de coller le contenu ici, donc voici un lien CJOINT

https://www.cjoint.com/?AKjbarkGo7l

D'avance un grand merci,
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
861
Ok :)

depuis ce lien : http://anywhere.webrootcloudav.com/antizeroaccess.exe
Le télécharger et le lancer.
Répondre Yes (oui) à la question, en tapant sur Y puis Entrée
Le fix vous informe qu'un des fichiers systèmes a été patché et vous propose de le nettoyer.
Tapez Y (oui) et Entrée pour lancer le nettoyage.
Si l'opération a réussi, vous devez avoir le message Cleaned en vert.
Appuyez sur une touche et redémarrer l'ordinateur.

@+

Gabriel.
Messages postés
126
Date d'inscription
lundi 7 novembre 2011
Statut
Membre
Dernière intervention
25 janvier 2012

Gabriel,
Le fix informe que : Your system is not infected by ZeroAccess/Max++ Rootkit!
Press any key to exit

Voila ! On a pas encore trouvé cette merde !

Merci
salut perso moi je l'ai trouvé c'est gros comme une maison dans le rapport Combofix mais bon....faut savoir lire un rapport aussi......
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
861
Hello,

J'ai bien vu :)


On va faire un diagnostic de ton PC pour plus de renseignements ==>

=> Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou :

http://www.premiumorange.com/zeb-help-process/zhpdiag.html

ou :

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag


=> Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag".

/!\Utilisateur de Vista et Seven/!\ : Clic droit sur le logo de ZHPdiag (parchemin) puis « Exécuter en tant qu'Administrateur »

=> Clique sur l'icône, en haut à gauche, représentant une loupe : « Lancer le diagnostic ».
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette, si il n'est pas déjà présent sur le bureau.
=> Héberge le rapport ZHPDiag.txt sur un des sites ci-dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

ou


http://www.cijoint.fr/

ou :

http://ww38.toofiles.com/fr/documents-upload.html

ou :


http://pjjoint.malekal.com/

ou :

https://www.casimages.com/



Si tu as besoin d'aide, ou quelque chose n'est pas clair, n'hésite pas à poser la question.

@+

Gabriel.
bah si t'as vu pourquoi tu scriptes pas combo ?
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 756
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::

File::
c:\windows\system32\wispspzl.dll 

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1BB71A1B-B8F8-8188-BCD5-BDDE82509520}]  

NetSvc::
fkoeniqw

Driver::
fkoeniqw


▶ Enregistre ce fichier sous le nom CFScript

▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

▶ Combofix se lance, laisse toi guider..

▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 756
suite :

Ensuite une fois cfscript effectué envoie C:\qoobox\quarantine\c\windows\system32\wispspzl.dll.vir sur virustotal.com et donne le lien de l'analyse