zeroaccess rootkit activity 4

Question

Bonjour, 

Depuis ce matin, j'ai un message de Norton qui me dit "détection d'une menace nécessitant une suppression manuelle : system infected : zeroaccess rootkit activity 4.

Comment puis-je faire pour supprimer ce "virus" ?

Merci pour votre réponse.

Configuration: Windows XP / Internet Explorer 8.0

kalimusic · Answer

Bonjour,

Télécharge ZeroAccessRemover (de Webroot) sur ton Bureau.

 Ferme toutes tes applications en cours 

&#x25CF;  Lance ZeroAccessRemover.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Confirme la demande de scan par "Y" 
&#x25CF; Valide par [Entrée]

&#9656; Si l'infection est détectée, l'outil te propose de lancer le nettoyage : 

&#x25CF; Confirme par "Y"  & valide par [Entrée]
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Au message "Cleaned", appuie sur une touche pour redémarrer le pc.
&#x25CF;  Un rapport "AntiZeroAccess_Log.txt " a été crée sur ton bureau, copie-colle le dans ta prochaine réponse.

A +

kalimusic · Answer

re,

Norton dit toujours que tu es infecté ?
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
%systemroot%\*. /mp /s 
%systemroot%\assembly	mp\*.* /s 
hklm\system\CurrentControlSet\Services\lanmanserver\parameters /s 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

severine236 · Answer

Voici les liens,

http://pjjoint.malekal.com/files.php?id=OTL_20120208_p8k14m1411m12

je n'arrive pas pour le 2ème, je ferme internet et je réessaye

severine236 · Answer

http://cjoint.com/?BBioXQ6kM3F

kalimusic · Answer

Je vois que tu as utilisé TDSSKiller, l'outil avait trouvé quelque chose ?

A +

severine236 · Answer

Virus.Win32.ZAccess.c
Service Redbook
Malware objet, high risk

kalimusic · Answer

Relance TDSSKiller.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
&#9656; Service Redbook => Cure
&#9656; Pour "Suspicious object" laisse sur "Skip"
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

2. Héberge le rapport et donne le le lien

A +

severine236 · Answer

Voici le lien de tdsskiller

http://cjoint.com/?BBipy5HG590

kalimusic · Answer

re,

Pour les rapports suivants, ne crée pas de pdf, sinon je ne pourrais pas faire de recherche directe sur les éléments et de copié/collé pour écrire les scripts de désinfection.

 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération si tu es sous XP
&#x25CF; Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
&#x25CF; Il est possible que l'outil est besoin de redémarrer l'ordinateur.

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 
&#x25CF; Héberge le rapport et donne moi le lien. 

!! Réactive les protections résidentes de ton PC !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

severine236 · Answer

pourquoi me demandes tu de sauvegarder mes doc les + importants, il y a un risque ?

Si je fais une sauvegarde le virus sera t il sur mon disque dur externe ?

kalimusic · Answer

Tu es infecté par Zaccess qui a compromis l'intégrité du pc en ajoutant des services et fichiers malicieux, en modifiant des fichiers système et en supprimant le service des mises à jour de ton antivirus.
Bien que l'infection soit identifiée et puisse être traitée, on ne sait jamais à l'avance comment le pc peut réagir au traitement de celle-ci.
De toute façon, une sauvegarde de ses documents est un principe de précaution immuable en informatique, infection ou pas. 

Non, pas ce type de virus, tu peux sauvegarder sur ton DD

A +

severine236 · Answer

http://pjjoint.malekal.com/files.php?id=20120208_v12d13i12q6j9

kalimusic · Answer

re,

ComboFix semble avoir réglé le problème. 

Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport , coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

/md5start
afd.sys
mrxsmb.sys
cdrom.sys
serial.sys
redbook.sys
/md5stop
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.

A +

severine236 · Answer

Bonjour,

Désolé pour l'absence mais il s'agit de mon ordi professionnel. Donc me voilà de retour. Ce matin en allumant le PC le message de Norton était tjs là.

Voici le lien de l'analyse OTL
http://pjjoint.malekal.com/files.php?id=OTL_20120209_h15d5m13j5q14

Merci

kalimusic · Answer

Bonjour severine236,

L'alerte de Norton concerne quel fichier et dans quel répertoire ?

== == == == ==

Télécharge MBRScan (de Eric_71) sur ton Bureau.

&#x25CF;  Lance MbrScan.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton "Report" 
&#x25CF;  Héberge le rapport et donne moi le lien.

Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécessaire.


A +

severine236 · Answer

Bonjour, j'ai bien désactivé mon parefeux mais j'ai un message comme quoi le chemin d'accès est refusé.

severine236 · Answer

message : vous ne disposez pas des autorisations appropriées pour avoir accès à l'élément

severine236 · Answer

Nouveau message de norton : system infected : tidserv activity 2

severine236 · Answer

Kalimusic es tu tjs ok pour m'aider ?
Tu m'as pas oublié hein.....

kalimusic · Answer

severine236, 

Pour avancer, il savoir où Norton localise cette menace. 
Tu pourras le retrouver dans le journal. 

Elle est d'ailleurs différente de celle que tu avais au début : zeroaccess rootkit activity 4. 

Et le rapport de MBRScan. 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

severine236 · Answer

Bonjour, voici la localisation de l'attaque :
- ordi attaquant : d5uhm9fbln5jxw.com (83.133.119.154,80)
- adresse : ETS-OEADE576B07 (192.168.1.10,1294)
- adresse source : 83.133.119.154
- description trafic : TCP, www-http ceci à 9h11

- ordi attaquant : 1x6a8i1zwlhx17jj8.com (83.133.119.155,80)
- adresse : ETS-OEADE576B07 (192.168.1.10,1248) ceci à 9h10

- ordi attaquant : m0fyqtee75otg15mrmc.com (83.133.124.195, 80)
- adresse : ETS-OEADE576B07 (192.168.1.10,1243)  ceci à 9h10

Pour ce qui est du rapport MBRScan je ne peux pas car message comme quoi le chemin d'accès n'est pas valide

Que dois-je faire ?

severine236 · Answer

Bonjour,
Quelqu'un peut il m'aider ?

Cordialement,

g3n-h@ckm@n · Answer

salut pour avancer :

télécharge ceci :


http://dl.dropbox.com/u/21363431/Part_Look.exe

lance l'outil puis choisis l'option Look et héberge Part_Look.txt qui se trouvera sur ton bureau sur http://pjjoint.Malekal.com puis donne le lien

kalimusic · Answer

Bonjour severine236,

Je continue à t'aider mais visiblement nous n'avons pas les mêmes créneaux de connexion sur le forum.

Commence par faire ce qui est ici : https://forums.commentcamarche.net/forum/affich-24401172-zeroaccess-rootkit-activity-4?page=2#32

A +

severine236 · Answer

Bonjour,
Je ne peux pas ouvrir le lien

Que dois-je faire ?
Je suis les indication de g3n-h@ckm@n ?

A+

kalimusic · Answer

Bonjour à tous les deux,

Quel lien tu ne peux pas ouvrir ? Celui-ci ?

http://dl.dropbox.com/u/21363431/Part_Look.exe

Si c'est le cas, utilise cet outil :

Télécharge aswMBR sur ton Bureau.

&#x25CF; Lance  aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Refuse la demande de mise à jour
&#x25CF; Clique sur le bouton Scan
&#x25CF; Patiente pendant l'analyse
&#x25CF; Clique sur Save log 
&#x25CF; Enregistre le rapport sur le Bureau. 
&#x25CF; Copie/colle le rapport dans ton prochain message.

A +

severine236 · Answer

Bonjour, voici le lien du rapport aswMBR

http://cjoint.com/?BBnjOmAymOg

severine236 · Answer

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software Run date: 2012-02-13 09:19:44 ----------------------------- 09:19:44.078 OS Version: Windows 5.1.2600 Service Pack 3 09:19:44.078 Number of processors: 2 586 0x1706 09:19:44.078 ComputerName: ETS-0EADE576B07 UserName: Ets Suire 09:19:45.062 Initialize success 09:20:00.578 Disk 0 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 09:20:00.578 Disk 0 Vendor: Maxtor_6Y080L0 YAR41BW0 Size: 78167MB BusType: 3 09:20:00.578 Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-e 09:20:00.578 Disk 1 Vendor: WDC_WD1600AAJS-00L7A0 01.03E01 Size: 152627MB BusType: 3 09:20:00.593 Disk 1 MBR read successfully 09:20:00.593 Disk 1 MBR scan 09:20:00.593 Disk 1 Windows XP default MBR code 09:20:00.593 Disk 1 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152625 MB offset 63 09:20:00.609 Disk 1 scanning sectors +312576705 09:20:00.687 Disk 1 scanning C:\WINDOWS\system32\drivers 09:20:07.015 File: C:\WINDOWS\system32\drivers etbt.sys **SUSPICIOUS** 09:20:09.703 Disk 1 trace - called modules: 09:20:09.718 ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xba25bfc0]<< 09:20:09.718 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0x8a569ab8] 09:20:09.718 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> [0x8a0125d0] 09:20:09.718 \Driver\00001807[0x8a2bf230] -> IRP_MJ_CREATE -> 0xba25bfc0 09:20:09.718 Scan finished successfully 09:22:32.062 Disk 1 MBR has been saved successfully to "C:\Documents and Settings\Ets Suire\Bureau\MBR.dat" 09:22:32.093 The log file has been saved successfully to "C:\Documents and Settings\Ets Suire\Bureau\aswMBR.txt" C'est aussi simple comme ça !!! Désolé je ne suis pas très douée !!!

severine236 · Answer

Re-bonjour,
En effet, je pense qu'on n'a pas les mêmes créneaux. Je suis sur mon PC de 9h à 17h30.
Je vois que g3n-h@ckm@n est sur le site en ce moment, il peut peut être (sans vouloir offenser personne bien sûr) nous donner un coup de main ?

A+

kalimusic · Answer

Bonjour,

1. Analyse le fichier => C:\WINDOWS\system32\drivers
etbt.sys
sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal

2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle :

/md5start
netbt.sys
/md5stop 
&#x25CF; Clique sur le bouton Aucun puis Analyse.
&#x25CF; Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.  
&#x25CF; Copie/colle le dans ton prochain message.  

A +

severine236 · Answer

Bonjour, https://www.virustotal.com/file/7932b71f98b4122be88f576bf6d745a757ae378a48924b7f4358837b75640a82/analysis/1329216339/ OTL logfile created on: 14/02/2012 11:50:58 - Run 3 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Documents and Settings\Ets Suire\Bureau Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy 1,99 Gb Total Physical Memory | 0,99 Gb Available Physical Memory | 49,62% Memory free 3,84 Gb Paging File | 2,76 Gb Available in Paging File | 72,05% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 149,05 Gb Total Space | 119,99 Gb Free Space | 80,50% Space Free | Partition Type: NTFS Drive D: | 76,32 Gb Total Space | 57,21 Gb Free Space | 74,96% Space Free | Partition Type: NTFS Computer Name: ETS-0EADE576B07 | User Name: Ets Suire | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days [color=#E56717]========== Custom Scans ==========/color [color=#A23BEC]< MD5 for: NETBT.SYS >/color [2008/04/14 13:00:00 | 000,162,816 | ---- | M] () MD5=40E65C560013869F14ECEB904F15390D -- C:\Documents and Settings\Administrateur\Application Data\FixTDSS\Archive etbt.sys [2008/04/14 13:00:00 | 000,162,816 | ---- | M] (Microsoft Corporation) MD5=74B2B2F5BEA5E9A3DC021D685551BD3D -- C:\WINDOWS\system32\dllcache etbt.sys [2008/04/14 13:00:00 | 000,162,816 | ---- | M] (Microsoft Corporation) MD5=74B2B2F5BEA5E9A3DC021D685551BD3D -- C:\WINDOWS\system32\drivers etbt.sys < End of report >

kalimusic · Answer

Bonjour, 

Le driver est ok, pour moi tu n'es plus infecté. 
Norton trouve des infections lors des scans ? 

Pour vérifier : 
Supprime ta version de MbrScan. 
Re-télécharge le sur ton Bureau. 
Désactive Temporairement Norton 
voir ici => https://forums.commentcamarche.net/forum/affich-24401172-zeroaccess-rootkit-activity-4#22 

Héberge le rapport et poste le lien 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

severine236 · Answer

http://pjjoint.malekal.com/files.php?id=20120214_u12v14c12c813

a+

kalimusic · Answer

re,

Relance OTL 

&#x25CF;  Dans la section Rapport , coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.

Encore des soucis ?

A +

severine236 · Answer

Bonjour, 

Je suis désolée pour l'absence plus longue que prévue.

Voici le lien du rapport OTL

http://pjjoint.malekal.com/files.php?id=OTL_20120216_e6r13c8e13n13

A+

kalimusic · Answer

Bonjour,

Quel résultat avec les différents outils que tu as utilisés entre temps ?

A +

Zeroaccess rootkit activity 4

36 réponses

Votre réponse

Discussions similaires

Newsletters