mon pc est infecté par les virus de type win32:Zaccess-PB et + Résolu/Fermé

Question

Bonjour, 

Mon Pc est à priori infecté par 4 ou 5 virus , pourtant, j'ai avast (version gratuite) et j'ai réalisé la procédure mentionnée sur votre site pour désinfecter avec  le soft malwarebytes; mais rien n'y fait, les virus ressurgissent et se propagent... comment procéder pour éliminer ces malwares ?

je joins le fichier de Malwarebytes, et je tiens à dispo ceux de OTL et ZHP

Merci pour votre aide à venir

ps : malwarebytes a beau supprimer les virus, ils reviennent

les virus seraient :
win32:trojan-gen
win32:malware-gen
win32:ZAccess-PB ( le plus actif !)
win32:sirefef-PL
_________

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.08.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
jp :: ASUS [administrateur]

Protection: Activé

08/05/2013 20:47:58
MBAM-log-2013-05-08 (20-55-13).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 266490
Temps écoulé: 5 minute(s), 23 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 22
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz1CFA.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz2054.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz33B0.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz41EB.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz51AA.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz5DBB.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz61D8.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz62C1.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz67B5.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz7DEC.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz843A.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz930B.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rz9FB.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rzB13A.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rzBF23.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rzC5C7.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rzCADF.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rzD76F.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rzDAF7.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rzE137.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rzEB1A.tmp (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{0aa4304e-7d09-68a8-0c17-afc2d4f71a43}\U	rzEE46.tmp (Rootkit.0Access) -> Aucune action effectuée.

(fin)
_________



Configuration: Windows 7 / Firefox 20.0

2011N2 · Answer

Salut,

Pourrais-tu poster ZHPdiag ?

Merci,

Gabriel.

jp lucky · Answer

Bonjour 

Voici le lien vers le fichier combofix qu'un autre membre m'a demandé et que j'ai lancé 



https://www.cjoint.com/?3Ejl763tnfz 

rem : Je dois relancer un ZHPdiag ?

merci

2011N2 · Answer

Salut,

Ok pour ComboFix.
Oui, poste moi le dernier ZHPdiag que tu as fait (en l'hébergeant aussi).

Dis moi si tu veux que je te donne la procédure.

@+

Gabriel.

jp lucky · Answer

et voici le dernier fichier ZHPdiag que je viens de lancer :

http://cjoint.com/?3EjnUA92qno 

j'ai désintallé avast au profit de Avira
et supprimer également malewarebytes

j'ai installé également ccleaner : celui ci me donne beaucoup de fichiers en erreurs sur la base registre. Ne sachant pas à quoi cela correspond , je n'ai rien fait (pas de réparation)

merci,

2011N2 · Answer

Re,

Bien.
Non, garde Malwarebytes', il est efficace, tu peux faire régulièrement des scan (je t'en dirait plus lors de la finalisation).
Ok pour Avast et Avira, si tu le préfères, tant mieux. :)

Ccleaner, laisse le de côté pour l'instant, on s'en occupera également lors de la finalisation.

- Télécharge sur le bureau RogueKiller (par tigzy).
- Quitte tous les programmes en cours. 
- Lance RogueKiller.exe
- Attends la fin du Prescan... 
- Clique sur Scan. 
- À la fin du scan, clique sur Rapport et copie/colle le contenu dans ta prochaine réponse.

Aide en vidéo : https://www.youtube.com/watch?v=YuwS6dMAYvQ&feature=youtu.be

Si tu as des questions, n'hésite pas à les poser !

@+

Gabriel.

2011N2 · Answer

Re,

Oui ZeroAccess est toujours là.

- Quitte tous les programmes en cours. 
- Relance RogueKiller.exe.
- Attends la fin du Prescan... 
- Clique sur Scan. 
- À la fin du scan, clique sur Suppression.
- Patiente...
- À la fin de la suppression, clique sur Rapport et copie/colle le contenu dans ta prochaine réponse.

Aide en vidéo : https://www.youtube.com/watch?v=v83OWU-Frvs&feature=youtu.be

Si tu as des questions, n'hésite pas à les poser !

@+

Gabriel.

2011N2 · Answer

Re,

- Télécharge TDSSKiller : https://support.kaspersky.com/downloads/utils/tdsskiller.zip

- Lance-le (Utilisateurs de Vista/Seven => Clique droit puis "Exécuter en tant que administrateur") 

L'outil va télécharger automatiquement la dernière version de TDSSKiller.

- Clique sur "Start Scan".

Patiente pendant le scan. À la fin de l'analyse, appuie sur Report (en haut à droite du logiciel). Un rapport va s'ouvrir. 

- Copie/Colle son contenu dans ta prochaine réponse sur le forum.

Note : Le rapport se trouve également sous C:	dsskiller.txt. 

Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée. 
Si TDSS.tdl4 (\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée. 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess est détecté règle sur "cure" en haut, et "delete" en bas.

Aide en vidéo : https://www.youtube.com/watch?v=-JhW3Okri0Y&feature=youtu.be

Si tu as des questions, n'hésite pas à me les poser !

@+

Gabriel.

2011N2 · Answer

Re,

Ok. Redémarre le PC puis ouvre Malwarebytes', mets le à jour (onglet mise à jour) et fais un examen complet sur tous les disques.
Poste moi le rapport.

@+

Gabriel.

2011N2 · Answer

Re,

Bien.
As-tu le rapport de Avira ?

Redémarre ton PC, puis fais moi un nouveau rapport ZHPdiag.

Merci,

Gabriel.

2011N2 · Answer

Re,

Ok.
Tu peux juste faire une nouvelle recherche avec RogueKiller ?

Merci,

Gabriel.

2011N2 · Answer

Re,

On a bientôt finit oui. :)

Plus de traces de Zaccess ?

Fais une analyse complète avec ton antivirus.

(Ce n'est pas terminé pour autant :) )

@+

Gabriel.

2011N2 · Answer

Re,

Bien.

Rends-toi sur cette page
Clique sur "Choose File"
Vas sur ton disque chercher ce fichier à cet emplacement :

C:\Windows\MBR.exe 

Clique ensuite sur le bouton "Scan It".

Patiente le temps de l'analyse qui dépend de la taille du fichier.

Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio).

Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse.

Puis fais de même pour celui-ci : C:\Windows\PEV.exe

@+

Gabriel.

2011N2 · Answer

Salut,

Oui bien sûr tu peux faire ce qui est ci-dessus. :)

@+

Gabriel.

2011N2 · Answer

En fait là ce sont des analyses précédentes (elles datent de y'a 23 heures) sur des fichiers similaires de d'autres utilisateurs.
Pourrais-tu refaire en faisant une nouvelle analyse ? Pour ce, tu cliques sur Reanalyse.

@+

Gabriel.

2011N2 · Answer

Re,

Ok.

- Copie les lignes qui sont à l'intérieur de ce lien (Ctrl + A puis Ctrl + C) : https://dl.dropboxusercontent.com/u/32869654/Pour%20jp%20lucky.txt


- Ouvre ZHPfix, icone seringue (Vista/7/8 : "Exécuter en tant qu'administrateur").
- Colle les lignes helpers si elles ne sont déjà présentes. Pour ce, clique sur la balise document (Coller le presse papier), à droite de l'appareil photo.
- Clique sur Go.
- Clique sur Oui pour confirmer le nettoyage des données.
- Copie le rapport, et colle-le dans la prochaine réponse sur le forum.

P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clique sur Nouvelle tâche puis tape explorer.exe. Le bureau devrait normalent réapparaître.

/!\ Attention, ta corbeille va être vidée. Vérifie qu'il n'y ait aucun fichier supprimé par mégarde à l'intérieur. /!\

Aide en vidéo ici : https://www.youtube.com/watch?v=8gBWXPow8s0&feature=youtu.be


Si tu as des questions, n'hésite pas à me les poser.

@+

Gabriel.

2011N2 · Answer

Re,

Bien.
Peux-tu me faire un dernier ZHPdiag pour voir s'il n'y a plus rien ?

Merci,

Gabriel.

2011N2 · Answer

Re, 

Ok, on va refaire ZHPfix en mode sans échec. Concernant les lignes à copier dans le lien, enregistre les auparavant, étant donné que tu n'auras pas accès à internet en mode sans échec.

Pour aller en Mode sans échec : 

Redémarre ton ordinateur. 
Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le chargement du BIOS.  
Tu verras un écran avec options de démarrage apparaître.  
Choisis la première option : Mode Sans Échec, et valide avec "Entrée"  
Choisis ton compte habituel, et non Administrateur. 

(Attention : pas de connexion possible en mode sans échec, donc copie ou imprime bien la manipe pour éviter les erreurs...) 


Puis : 

- Copie les lignes qui sont à l'intérieur de ce lien (Ctrl + A puis Ctrl + C) : https://dl.dropboxusercontent.com/u/32869654/Pour%20jp%20lucky%202.txt 


- Ouvre ZHPfix, icone seringue (Vista/7/8 : "Exécuter en tant qu'administrateur"). 
- Colle les lignes helpers si elles ne sont déjà présentes. Pour ce, clique sur la balise document (Coller le presse papier), à droite de l'appareil photo. 
- Clique sur Go. 
- Clique sur Oui pour confirmer le nettoyage des données. 
- Copie le rapport, et colle-le dans la prochaine réponse sur le forum. 

P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clique sur Nouvelle tâche puis tape explorer.exe. Le bureau devrait normalent réapparaître. 

/!\ Attention, ta corbeille va être vidée. Vérifie qu'il n'y ait aucun fichier supprimé par mégarde à l'intérieur. /!\ 

Aide en vidéo ici : https://www.youtube.com/watch?v=8gBWXPow8s0&feature=youtu.be 


Si tu as des questions, n'hésite pas à me les poser. 

@+ 

Gabriel.

2011N2 · Answer

Re,

Ok.
Tout va bien sur le PC, on finalise ?

@+

Gabriel.

2011N2 · Answer

Ok. ;)

Concernant Malwarebytes'Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer chaque scan.

1- Nous allons mettre à jour ton pc.

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles-ci corrigent des failles de sécurité qui peuvent parfois être exploitées par un programme malveillant.

1ère étape : Java

Vérifie ici ta version de Java, et télécharge la nouvelle version si la tienne n'est pas à jour.

2ème étape : Adobe Reader

- Si tu utilises Adobe Reader, il est important qu'il soit à jour.
- S'il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC (Voir ici )
- Pour vérifier qu'Adobe Reader est bien à jour, lance le puis clique sur Aide -> Rechercher les mises à jour

3ème étape : Mise à jour des logiciels

- Il est également primordial de garder tous tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
- Télécharge le Ici
- Un tutoriel pour son utilisation est disponible Ici.


2- Vacciner les supports amovibles

- Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
- Télécharge USBfix puis lance le. (Clique droit/Exéuter en tent qu'administrateur pour Vista/7).
- Branche tout tes médias amovibles (Clé USB, Disque dur externe, carte SD, etc...) puis sélectionne l'option Vacciner.
- Appuie sur Ok au message de confirmation.
- Une fois la vaccination terminée, relance Usbfix et choisis l'option Désinstaller.

Note : Si ton anvirus émet une alerte, désactive le momentanément (il s'agit d'un faux positif)


3- DelFix

- Télécharge DelFix sur ton bureau.
- Lance le.
-Clique sur Suppression.
- Patiente pendant le scan jusqu'à l'ouverture du rapport.
- Copie/Colle le contenu du rapport dans ta prochaine réponse.
-Relance Delfix et clique sur Désinstallation.

Note : Le rapport se trouve également sous C:DelFixSuppr


4- Optimisation

1ère étape : Suppression des fichiers inutiles

- Télécharge CCleaner
- Installe le, puis lance le.
- Va dans l'onglet Options puis Avancé et décoche Effacer uniquement les fichiers[...].
- Cliques sur l'onglet Nettoyeur puis cliques sur Analyser. À la fin de l'analyse, clique sur Nettoyer.
- Rends toi à l'onglet Registre puis cliques sur Chercher les erreurs. Cliques ensuite sur Corriger les erreurs séléctionnées.
- Accepte la sauvegarde puis enregistre la dans tes documents (tu pourras la supprimer si aucun problème n'apparaît après la suppression).
- Clique ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer
- Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

- Télécharge Defraggler.
- Un tutoriel pour son utilisation est disponible ici.

3ème étape : Vérification des disques

- Ouvre l'explorateur, puis fais un clique droit sur ta partition principale (généralement C: )
- Clique sur Propriété puis sur l'onglet Outils
- Clique sur Vérifier maintenant puis coche les deux cases présentes.
- Clique sur Démarrer (Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage)

4ème étape : Désactivation des programmes au démarrage

- Clique sur Démarrer puis Exécuter.
- Tape msconfig et valide par ok.
- À l'onglet Démarrage, décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu / Ordinateur (programmes acer...).
- Clique sur Appliquer puis ok et redémarre ton PC.


4- Purge de la restauration système


La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

- Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

- Tutoriels :

Windows XP
Windows Vista
Windows 7


5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?


6- Security Check

Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

- Télécharge Security Check (de Screen317) sur ton bureau.
- Lance le, patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse.
- Une fois le rapport posté, tu peux supprimer Security Check.

7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire
- Entretenir son ordinateur (performances)
- Entretenir son ordinateur (matériel)

@+

Gabriel.

2011N2 · Answer

Salut,

Ok c'est bon pour ça. ;)

Où en es-tu dans la procédure ?

@+

Gabriel.

2011N2 · Answer

Re,

Ok super, oui tout est ok. Je passe ce sujet en résolu.

Concernant USBfix, les supports vaccinés c'est bon, plus besoin d'y toucher.
En revanche, pour ceux que tu n'as pas encore vacciné, oui tu peux le faire lorsque tu les brancheras.

J'ai compris ta question mais je n'ai pas bien compris si tu parlais de ceux que tu avais déjà vacciné. Dis moi si j'ai répondu à ton interrogation.

Et merci à toi d'avoir suivi la désinfection jusqu'au bout.

Gabriel.

Mon pc est infecté par les virus de type win32:Zaccess-PB et +

21 réponses