ZeroAccess

Question

Bonjour,

Suite à ce qui nous semble une invasion de virus , j'ai besoin de votre aide.

Grâce à Roguekiller et Malwarebytes anti malwares j'ai réussi à supprimer la majorité , reste un le Zeroaccess découvert par Roguekiller lors du scan et qui m'amène donc sur cette page pour en venir à bout :http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html

J'ai suivi les indications de la vidéo plusieurs fois , rien à faire les deux fichiers reviennent à chaque fois , je n'ai d'ailleurs jamais trouvé cette fameuse clé de registre comme montré dans la vidéo.

Voici un des derniers rapports

RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Alaric [Droits d'admin]
Mode : Recherche -- Date : 31/08/2012 22:43:20

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS547564A9E384 +++++
--- User ---
[MBR] b93c566e4e7cacfab81e07c966de89ac
[BSP] 20d296690b683fe4f72e5e506b633a09 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 592719 Mo
2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 1216962560 | Size: 16260 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[12].txt >>
RKreport[10].txt ; RKreport[11].txt ; RKreport[12].txt ; RKreport[1].txt ; RKreport[2].txt ;
RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt ;
RKreport[8].txt ; RKreport[9].txt

Comme vous l'aurez deviné je ne m'y connais que peu en informatique et je ne sais plus quoi testé ou faire pour me debarrasser de cette saleté.

Je suis pourtant avertie de la necessité de maintenir certains logiciels à jour et je viens d'acheter protection renforcée chez Avira , juste avant nous avions la version pendant 1mois de MCafee security vendu avec le portable (qui a 1mois donc ! )

Pourriez vous nous venir en aide SVP ?!

Bonne soirée

Afficher la suite

emy31 · Answer

Je viens de regarder les tout premiers rapports sur lesquels apparaissent tout les virus qui ont apparement bien été supprimé , il apparait même sur le 3eme rapport cette fameuse clé de registre zeroaccess qui disparait par la suite , je ne comprends donc pas pourquoi ces fichiers réapparaissent tout le temps ...

Si besoin je copie colle les rapports ...

kalimusic · Answer

Bonsoir,

== == == == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
 == == == == == == == == == == == == == == == == == == == == == == == ==

1. Télécharge  ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.

IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération (sous XP)
&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 

 Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

Notes :

&#9656; Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
&#9656; Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
&#9656; Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.

Aide : Comment utiliser ComboFix

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

emy31 · Answer

Merci de ta réponse

Voilà 

https://www.cjoint.com/?BHFx7bd8gdt

kalimusic · Answer

ok,

Pour ZeroAccess, c'est réglé, mais ton pc regorge de logiciels indésirables en tout genre. 
Il faut être vigilant quand on installe un programme, faire attention aux conditions d'utilisation et aux cases pré-cochées.
Bannir les diverses barres d'outils ou moteurs de recherches, etc....proposées lors de l'installation : https://forum.malekal.com/viewtopic.php?t=33776&start= 

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.   
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le point d'interrogation ? et coche la case :
/DisableAskDetection
Si tu souhaite conserver la barre d'outil Avira search free toolbar
&#x25CF; Ferme impérativement le navigateur ainsi que les applications en cours.
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

Poste le rapport, A +

emy31 · Answer

Merci beaucoup...je pensais aussi avoir merdé en voulant à tout prix installer un logiciel retouche photo que je ne trouvais pas sur telecharger.com  , j'étais tombée sur un site qui m'a fait installé des barres de recherche et depuis que des soucis même en essayant de les enlever , je serais beaucoup plus méfiante à l'avenir et je vais me renseigner plus sur les trucs , astuces et conseils pour une meilleure securité...

Je passe à la suite et je vous poste le rapport

emy31 · Answer

Voilà le lien du rapport pour Adwcleaner

https://www.cjoint.com/?BIbaJRubacE

kalimusic · Answer

Bonjour,

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
C:\$recycle.bin\*.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS /s
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

emy31 · Answer

Bonjour ,

Voici les liens :

https://www.cjoint.com/?BIbkmEbLBiA

https://www.cjoint.com/?BIbknzQv7xH

kalimusic · Answer

re,

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

 == == == == == == == == == == == == == == == == == == == == == ==

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles  

2. Télécharge  Farbar Service Scanner sur ton Bureau.
&#x25CF; Coche les cases suivantes :

Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services
&#x25CF;  Clique sur "Scan".
&#x25CF; Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

3. Héberge les 2 rapports et poste les liens.

A +

emy31 · Answer

Lien OTL :

https://www.cjoint.com/?BIblfKXosbN

Lien FSS :

https://www.cjoint.com/?BIbliWAlBaM

kalimusic · Answer

ok,

1. Reconfigure Google Chrome en supprimant les éléments suivants :
Ask, start.funmoods, etc...
Google Chrome : Paramétrage moteur de recherche et suppression d'extensions

2. Télécharge sur ton bureau les 2 fichiers suivants :

BITS.reg (6.14K)
SharedAccess.reg (338.82K)

&#x25CF; Double clique sur les fichiers et accepte la fusion du registre.
&#x25CF; Redémarre impérativement l'ordinateur ensuite.

3. Relance  Farbar Service Scanner et fait un nouveau scan
&#x25CF;  Un nouveau rapport  FSS.txt va s'ouvrir.

4. Relance OTL 

&#x25CF;  Coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir. 

5.  Héberge les rapports et donne moi les liens.

A +

emy31 · Answer

Je suis allée dans la clé sur google chrome pour supprimer les extensions comme demandé , il me dit qu'il n'y pas d'extension (pourtant quand j'ouvre Google c'est start.funwoods qui s'ouvre )

J'ai téléchargé sur le bureau les 2fichiers , double clique sur sharedaccess qui me met un message d'erreur et ne veut pas s'ouvrir (impossible d'importer...erreur d'accès au registre) , pas de soucis avec Bits.reg

Je supprimes les fichiers et je recommence ?!

kalimusic · Answer

re,

Pour Chrome, tape dans la barre d'adresse chrome://chrome/settings/  pour modifier les paramètres de la page d'accueil.

**

Recommence avec ce fichier : SharedAccess.reg (354.3K)

A +

emy31 · Answer

re, 

Je suis allée donc sur la barre d'adresse , dans extensions toujours rien d'installé.
Dans "ouvrir une page ou un ensemble de pages spécifiques" j'ai supprimé funwoods et mis google à la place .

Et moteur de recherche j'ai remis google (à la place de ask) 

J'ai recommencé à le dernier lien de SharedAccess et même message , il veut pas :/

kalimusic · Answer

ok,,

Passe au point 3 a 4 de ce message > https://forums.commentcamarche.net/forum/affich-25979252-zeroaccess#11

A +

emy31 · Answer

Voilà ,

otl :

https://www.cjoint.com/?BIbpQQlQsIi

fss :

https://www.cjoint.com/?BIbpRYZqEQ6

kalimusic · Answer

ok,

Je vois encore du funmoods dans Chrome :
CHR - homepage: hxxp://start.funmoods.com
Regarde si tu peux l'enlever.

Le pare-feu de Windows est il actif ? aide voir ici

Relance Farbar Service Scanner 
Copie/colle sharedaccess dans le champs Search:
Clique sur le bouton Export Service
Héberge le et donne le lien. 

A +

emy31 · Answer

Le lien FSS https://www.cjoint.com/?BIbrVg6BmqS

Pour le pare feu il me demande de mettre à jour les paramètres , quand je clique sur "utiliser les paramètres recommandés" , j'attends mais rien ne change.

Pour funmoods , j'ai refait le tour et je ne le vois plus apparaitre , ou es ce que je peux regarder pour le trouver ??

Merci pour ton suivi...

kalimusic · Answer

Pour Chrome :

https://support.google.com/chrome/answer/95314?hl=fr 
https://support.google.com/chrome/answer/95426?hl=fr&p=cpn_search_engine

**********

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

 == == == == == == == == == == == == == == == == == == == == == ==

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

2. Relance  Farbar Service Scanner
&#x25CF; Coche les cases suivantes :

Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services
&#x25CF;  Clique sur "Scan".

3. Héberge les rapports et donne moi les liens. 

A +

emy31 · Answer

Voilà ;

OTL : https://www.cjoint.com/?BIbt4XHhHEq

FSS : https://www.cjoint.com/?BIbt6CxQtPa

J'ai regardé sur les liens et comme tout à l'heure je n'ai que Google chrome , ask , yahoo , bing qui apparaissent éventuellement en proposition , j'ai pas trouvé funwoods

kalimusic · Answer

Tu peux enlever Ask aussi, start.funmoods.com est toujours en page d'accueil ou tu as pu mettre celle de ton choix ?

Le script OTL n'a pas réussi à réparer le service sharedaccess dans le registre.

Dans un premier temps fait ceci, vérifie et répare les fichiers système via la console WinRE en passant par les options de démarrage avancées
Tuto : http://www.chantal11.com/2010/09/verifier-reparer-fichiers-systeme-sfc-scannow-console-winre-windows-7-vist/

A +

emy31 · Answer

Bonjour,

Je viens d'enlever Ask.
J'ai remis google en page d'acceuil et supprimé funwoods hier matin , depuis je ne l'ai plus vu apparaitre nul part.

Pour réparer j'utilise l'invit de commande ? (sinon j'ai réparation du démarrage mais ca me semblait pas coller)

Bonne journée

kalimusic · Answer

Bonjour,

Oui, en invite de commande mais en passant par les options de démarrage avancées 
http://www.chantal11.com/2010/05/windows-7-ne-demarre-plus-reparer-avec-environnement-winre-options-demarrage-avancees/

A+

ZeroAccess

23 réponses

Votre réponse

Newsletters