Rootkit ZeroAccess - Virus-Infection
Marlap77
Messages postés
5
Statut
Membre
-
kalimusic Messages postés 14619 Statut Contributeur sécurité -
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,
J'ai attrapé un virus (Virus XP Home Security 2012) en allant sur Facebook et je ne sais pas trop comment m'y prendre pour l'éliminer. J'ai lancé Roguekiller.com et voici le rapport obtenu : Quelqu'un peut-il m'aider pour la suite des choses ? Merci à l'avance :
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Marylène [Droits d'admin]
Mode: Suppression -- Date : 17/12/2011 12:11:08
¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : XP Internet Security 2012] kqh.exe -- C:\Documents and Settings\Marylène\Local Settings\Application Data\kqh.exe -> KILLED [TermProc]
[SUSP PATH] TempIadHide3.dll -- C:\DOCUME~1\MARYLN~1\LOCALS~1\TempIadHide3.dll -> UNLOADED
¤¤¤ Entrees de registre: 7 ¤¤¤
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Marylène\Local Settings\Application Data\kqh.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[FILEASSO] HKCR\[...].exe : (OO) -> REPLACED (exefile)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Marylène\Local Settings\Application Data\kqh.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files\internet explorer\IEXPLORE.EXE")
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH|ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 87015bc8ff80a810f441a405e608a165
[BSP] b096a0cfe58e5eb799bc1aee2969256e : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 69207 Mo
1 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 135170910 | Size: 10808 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
J'ai attrapé un virus (Virus XP Home Security 2012) en allant sur Facebook et je ne sais pas trop comment m'y prendre pour l'éliminer. J'ai lancé Roguekiller.com et voici le rapport obtenu : Quelqu'un peut-il m'aider pour la suite des choses ? Merci à l'avance :
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Marylène [Droits d'admin]
Mode: Suppression -- Date : 17/12/2011 12:11:08
¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : XP Internet Security 2012] kqh.exe -- C:\Documents and Settings\Marylène\Local Settings\Application Data\kqh.exe -> KILLED [TermProc]
[SUSP PATH] TempIadHide3.dll -- C:\DOCUME~1\MARYLN~1\LOCALS~1\TempIadHide3.dll -> UNLOADED
¤¤¤ Entrees de registre: 7 ¤¤¤
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Marylène\Local Settings\Application Data\kqh.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[FILEASSO] HKCR\[...].exe : (OO) -> REPLACED (exefile)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Marylène\Local Settings\Application Data\kqh.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files\internet explorer\IEXPLORE.EXE")
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH|ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 87015bc8ff80a810f441a405e608a165
[BSP] b096a0cfe58e5eb799bc1aee2969256e : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 69207 Mo
1 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 135170910 | Size: 10808 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
A voir également:
- Rootkit ZeroAccess - Virus-Infection
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
4 réponses
Bonsoir,
C'est un infection particulièrement coriace ZeroAccess
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
C'est un infection particulièrement coriace ZeroAccess
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Marlap77,
● Ouvre la commande Exécuter en appuyant sur les touches Windows + R
● Ouvre l'invite de commande en tapant cmd puis Ok
● Tape dans la fenêtre noire : netsh int ip reset %systemroot%\resetlog.txt
● Valide par Entrée
● Puis tape start %systemroot%\resetlog.txt
● Valide par Entrée, le rapport s'ouvre.
● Héberge les 2 rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Merci de m'indiquer si tu as retrouvé la connexion et si tu possèdes le CD de XP.
A +
● Ouvre la commande Exécuter en appuyant sur les touches Windows + R
● Ouvre l'invite de commande en tapant cmd puis Ok
● Tape dans la fenêtre noire : netsh int ip reset %systemroot%\resetlog.txt
● Valide par Entrée
● Puis tape start %systemroot%\resetlog.txt
● Valide par Entrée, le rapport s'ouvre.
● Héberge les 2 rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Merci de m'indiquer si tu as retrouvé la connexion et si tu possèdes le CD de XP.
A +
Bonjour,
Voici les 2 liens pour les 2 rapports. Je n'ai toujours pas retrouvé la connexion Internet et je ne possède pas le CD de XP.
https://pjjoint.malekal.com/files.php?id=20111218_m5g13i13k13i6
https://pjjoint.malekal.com/files.php?id=20111218_c15y15z13r15g5
Voici les 2 liens pour les 2 rapports. Je n'ai toujours pas retrouvé la connexion Internet et je ne possède pas le CD de XP.
https://pjjoint.malekal.com/files.php?id=20111218_m5g13i13k13i6
https://pjjoint.malekal.com/files.php?id=20111218_c15y15z13r15g5
Bonjour,
ComboFix a réussi à éliminer pas mal d'infections mais n'a pas pu tout supprimer et ton ordinateur reste très atteint.
Le rapport montre également que ta version de XP n'est pas officielle.
Ce qui explique en partie l'étendue des dégâts occasionnés par les infections et sans doute la perte de la connexion.
Les infections pouvant avoir des effets inattendues sur ce type de système, les outils utilisés également, la réussite de la désinfection sera problématique.
Compte tenu de la charte de CCM, je t'invite à te procurer une licence légale et à réinstaller ton système.
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows
A +
ComboFix a réussi à éliminer pas mal d'infections mais n'a pas pu tout supprimer et ton ordinateur reste très atteint.
Le rapport montre également que ta version de XP n'est pas officielle.
Ce qui explique en partie l'étendue des dégâts occasionnés par les infections et sans doute la perte de la connexion.
Les infections pouvant avoir des effets inattendues sur ce type de système, les outils utilisés également, la réussite de la désinfection sera problématique.
Compte tenu de la charte de CCM, je t'invite à te procurer une licence légale et à réinstaller ton système.
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows
A +
Premièrement, merci pour ton aide.
J'ai lancé ComboFix et j'ai obtenu le raport. «Par contre, je ne sais pas comment "héberger le rapport et te donner le lien", merci de me dire comment faire.
Et en passant, ma connexion Internet ne fonctionne plus et même en appliquant les conseils du tutoriel. J'ai donc utilisé l'ordi de quelqu'un d'autre pour t'envoyer le rapport. Merci à l'avance pour la suite.
As tu redémarré l'ordinateur ?
Si cela ne change rien fait ce qui est indiqué => https://forums.commentcamarche.net/forum/affich-23924218-rootkit-zeroaccess-virus-infection#3
Redémarre et vérifie si tu as la connexion.