Rootkit Zero Access
LM64
-
Chris 94 Messages postés 54087 Date d'inscription Statut Modérateur Dernière intervention -
Chris 94 Messages postés 54087 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour,
J'ai attrapé un faux antivirus, nommé internet security, qui m'empechait de lancer n'importe quel programme. J'ai finalement réussi à supprimer l'application en démarrant mon ordinateur en mode sans échec.
J'ai ensuite téléchargé RogueKiller qui me dit que mon ordinateur est contaminé par un rootkill, Zero Access.
Il me donne le rapport suivant :
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: L X [Droits d'admin]
Mode: Recherche -- Date: 06/03/2012 16:44:45
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD7500BPVT-60HXZT1 ATA Device +++++
--- User ---
[MBR] 0ba5972388631d26d8de49a20f750da2
[BSP] 23851cc63735054844d25220d5841607 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 700169 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1434355712 | Size: 14932 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
J'ai donc appris que Zero Access redirigeait mon navigateur internet vers des sites implantant sur mon ordinateur le virus internet security. Et c'est bien le cas, vu que dès que je clique sur un lien après une recherche google, mon navigateur me redirige, ma seul solution pour ne pas re récupérer internet security est de fermer mon navigateur.
J'ai vu que dans mon cas, et c'est ce que conseillait RogueKiller, pour éliminer Zero Access, il fallait télécharger TDSSKiller, je l'ai fait et celui-ci ne trouve aucune menace sur mon ordinateur...
Pourtant le virus est toujours là, mon navigateur internet essaye toujours de me rediriger et plante régulièrement.
Si quelqu'un peut m'aider, merci d'avance.
J'ai attrapé un faux antivirus, nommé internet security, qui m'empechait de lancer n'importe quel programme. J'ai finalement réussi à supprimer l'application en démarrant mon ordinateur en mode sans échec.
J'ai ensuite téléchargé RogueKiller qui me dit que mon ordinateur est contaminé par un rootkill, Zero Access.
Il me donne le rapport suivant :
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: L X [Droits d'admin]
Mode: Recherche -- Date: 06/03/2012 16:44:45
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD7500BPVT-60HXZT1 ATA Device +++++
--- User ---
[MBR] 0ba5972388631d26d8de49a20f750da2
[BSP] 23851cc63735054844d25220d5841607 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 700169 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1434355712 | Size: 14932 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
J'ai donc appris que Zero Access redirigeait mon navigateur internet vers des sites implantant sur mon ordinateur le virus internet security. Et c'est bien le cas, vu que dès que je clique sur un lien après une recherche google, mon navigateur me redirige, ma seul solution pour ne pas re récupérer internet security est de fermer mon navigateur.
J'ai vu que dans mon cas, et c'est ce que conseillait RogueKiller, pour éliminer Zero Access, il fallait télécharger TDSSKiller, je l'ai fait et celui-ci ne trouve aucune menace sur mon ordinateur...
Pourtant le virus est toujours là, mon navigateur internet essaye toujours de me rediriger et plante régulièrement.
Si quelqu'un peut m'aider, merci d'avance.
A voir également:
- Rootkit Zero Access
- Remettre a zero un pc - Guide
- Comment remettre un iphone à zéro - Guide
- Zéro barré clavier ✓ - Forum Windows
- Remettre un pc a zero sans mot de passe - Guide
- Remettre chromecast a zero - Guide
6 réponses
Bonjour,
Sur du 64bits, c'est parfois coriace zeroaccess
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
1. Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarrer l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Sur du 64bits, c'est parfois coriace zeroaccess
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
1. Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarrer l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Merci beaucoup pour ton aide.
J'ai suivi toute les étapes et j'ai hébergé le rapport, voici le lien : http://cjoint.com/?3CgspnC843C
a+
J'ai suivi toute les étapes et j'ai hébergé le rapport, voici le lien : http://cjoint.com/?3CgspnC843C
a+
re,
1. Ouvre le bloc-note et copie/colle les instructions en citation :
? Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
? Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
? Patiente pendant le travail de l'outil et la création du rapport.
2. héberge le rapport et poste le lien.
Encore des redirections ?
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
1. Ouvre le bloc-note et copie/colle les instructions en citation :
KillAll::
Folder::
c:\windows\system32\%APPDATA%
c:\users\L X\AppData\Local\c5a05768
Firefox::
FF - ProfilePath - c:\users\L X\AppData\Roaming\Mozilla\Firefox\Profiles\0jstoj53.default\
FF - prefs.js: keyword.URL - hxxp://mp3tubetoolbar.com/?tmp=nemo_results_removelink2&q=
FF - user.js: keyword.URL - hxxp://mp3tubetoolbar.com/?tmp=nemo_results_removelink2&q=
? Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
? Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
? Patiente pendant le travail de l'outil et la création du rapport.
2. héberge le rapport et poste le lien.
Encore des redirections ?
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Voici le rapport : supprimé par la Modération (données perso)
Et merci, plus de redirections pour le moment :)
Et merci, plus de redirections pour le moment :)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok,
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Désactive puis Réactive la restauration système
3. Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour :
Tutoriel SX Check&Update
C'est important, c'est par là qu'arrive les infections.
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne continuation
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Désactive puis Réactive la restauration système
3. Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour :
Tutoriel SX Check&Update
C'est important, c'est par là qu'arrive les infections.
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne continuation
@LM64, bonjour,
Tu as réitéré une demande de suppression de ce fil en raison de données personnelles qui y seraient visibles.
A ta première demande, j'avais supprimé un nom de famille qui trainait, un rapport qui en contenait effectivement et j'ai constaté que le rapport posté sur cjoint n'existait plus.
La politique de CCM est de ne supprimer, dans la mesure du possible, que les données sensibles, pas des discussions entières. S'il reste des scories, merci de les signaler avec précision. NB : un prénom n'est pas une donnée personnelle assez caractéristique pour entrainer une suppression ; je vais néanmoins retirer celui qui reste.
Tu as réitéré une demande de suppression de ce fil en raison de données personnelles qui y seraient visibles.
A ta première demande, j'avais supprimé un nom de famille qui trainait, un rapport qui en contenait effectivement et j'ai constaté que le rapport posté sur cjoint n'existait plus.
La politique de CCM est de ne supprimer, dans la mesure du possible, que les données sensibles, pas des discussions entières. S'il reste des scories, merci de les signaler avec précision. NB : un prénom n'est pas une donnée personnelle assez caractéristique pour entrainer une suppression ; je vais néanmoins retirer celui qui reste.