Infection par "zero access"

postodevil Messages postés 89 Statut Membre -  
postodevil Messages postés 89 Statut Membre -
Bonjour,

Ayant pris l'habitude de contrôler la sécurité de mon PC, j'exécute de temps à autres des vérifications.

Hier, 03/11/2015, j'ai réalisé 2 analyses avec les outils suivants:
ADWcleaner
Roguekiller

Le premier n'a rien détecté d'important.
le second, en revanche, m'a indiqué une infection importante concernant des fichiers "Uninstall" par le malware "zero access" au niveau des fichiers "host".

J'ai donc procédé à leur élimination au moyen de l'outil de suppression de cet utilitaire.

Puis, j'ai rebooté l'ordi et refais une "passe" de Roguekiller -> RAS.

Pour confirmer j'ai analysé avec "Malwarebytes anti malware" -> RAS

Et avec ma suite résidente "bitdefender total care 2015" avec "analyse customisé" vérifiant tout les fichiers et dossiers -> RAS.

Pour autant, je ne suis pas sûr que "zero access" ai été totalement éliminé.

Merci de me conseiller pour assurer l'éradication totale de ce malware

Postodevil

3 réponses

Résumé de la discussion

Plusieurs outils de sécurité ont été utilisés pour vérifier une possible infection Zero Access sur Windows XP et confirmer l'éradication d'un rootkit détecté par RogueKiller et ADWCleaner. Des conseils avancent que RegRun peut détecter et supprimer Zero Access, parfois via le démarrage minimal ou des outils comme Reanimator depuis Hiren's Boot CD, Malwarebytes anti-rootkit peut aussi intervenir. D'autres intervenants signalent que certains antivirus ou outils d'analyse laissent des traces et que des essais répétés avec ADWcleaner ou des analyses personnalisées peuvent rester insuffisants, nécessitant une approche multi-outils. En cas de doute persistant, la solution citée inclut l'utilisation de RegRun et Reanimator depuis un support bootable, pour scanner et supprimer le rootkit Zero Access lorsque les outils standard échouent.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Bonsoir
    On peut voir ça ensemble si tu veux ?

    ZHPdiag:
    • Télécharger >ZHPdiag sur le bureau
      • Ou utiliser ce lien si le précédent lien ne fonctionne pas
    • Une fois téléchargé sur le bureau, lance-le
    • /!\ Les Utilisateurs de Windows Vista-7-8-10 , Cliquer droit sur l'icône ZHPdiag puis "exécuter en tant qu'Administrateur"
    • Cliquer ensuite sur "Scanner"
    • Laisser travailler l'outil sans rien toucher même s'il semble bloqué !
    • A la fin du scan, le rapport s'affiche et sera enregistré sur le bureau.
    • Merci de poster ce rapport dans ta prochaine réponse.
    • si tu ne sais pas comment poster un rapport voici une explication >>ICI<<


    ===================
    Peux-tu également me poster le rapport gras>adwcleaner</gras>
    • adwcleaner se trouve ( sous C:\AdwCleaner\AdwCleaner[].txt)


    jm
    0
    1. postodevil Messages postés 89 Statut Membre
       
      Tu as tout reçu ?
      0
  2. fabul Messages postés 42158 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    Salut,

    Installe RegRun Reanimator (Download Mirror 1 ou 2)

    Clic sur "Fix problems".

    Clic sur "Scan windows startup...".

    Coche la case "Use deep level scanning once (For advanced users)".

    Clic sur "Make scan now".

    Patiente durant l'analyse.

    Clic sur "Fix problems".

    Attention, il détecte souvent des faux positifs (des bons fichiers).

    Tu peux faire des recherches sur Internet.

    Si tu a besoin d'aide, voir plus bas*

    Assure toi de ne supprimer que des malwares ou inutiles avec "Get it out", sinon tu peux planter ton système,

    Passe avec la flèche pour les autres ou clic sur "False positive" si c'est un item que tu connais.

    Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.

    Après, regarde si tu vois quelque chose de mauvais ou inutile dans les onglets "Logon" et "Scheduled tasks" de Autoruns

    Si tu a besoin d'aide par rapport aux détections de RegRun Reanimator,

    Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.

    Clic-droit dans le milieu de la fenêtre et choisis "Save to file" pour copier le résultat dans un fichier texte.

    Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.

    Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

    A la fin, clic sur "Exit".

    Poste les résultats contenus dans les fichiers texte dans ton prochain message.
    0
    1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      Salut fabul

      je te laisse la main ;)

      jm
      0
    2. fabul Messages postés 42158 Date d'inscription   Statut Modérateur Dernière intervention   6 066
       
      Salut jmdepise.

      On a presque répondu en même temps.

      Si c'est le rootkit zero access, RegRun le détecte.

      Peut être que Malwarebytes anti-rootkit le supprime.

      Mais le rootkit Zero Access détecté avec RegRun, tu peux utiliser Regrun pour le supprimer, mais lancé a partir du mini Windows XP de Hiren's boot CD.

      https://forums.commentcamarche.net/forum/affich-37585754-hiren-boot-cd-tutoriel

      Tu peux aussi créer une clé USB bootable de Hiren's

      https://www.hiren.info/pages/bootcd-on-usb-disk

      Tu lance "C:\Program Files (x86)\Greatis\Reanimator\reanimator.exe"

      A partir du mini XP de Hiren's et tu analyse (Scan target computer) tu choisis le répertoire de Windows et supprime ce Zero access rootkit.
      0
    3. postodevil Messages postés 89 Statut Membre
       
      Bon, je fais quoi les amis ?
      0
    4. fabul Messages postés 42158 Date d'inscription   Statut Modérateur Dernière intervention   6 066
       
      Comme tu veux.

      Par contre je n'ai jamais essayé ZHP contre Zero access, donc je sais pas.

      Mais il peut souvent détecter des saletés.
      0
    5. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      Tu peux suivre Fabul ;)
      Je ne maitrise pas cet outil RegRun ...
      • Zhpdiag pour voir ce qu'il y a dedans ;) ensuite on voit ...
      0
  3. fabul Messages postés 42158 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    Pas de signe de Zero Access.

    Tu pourrais supprimer ça avec RegRun si tu les vois avec Scan Windows Startup...:

    C:\DOCUMENTS AND SETTINGS\JJ\APPLICATION DATA\EVERYTHING\

    \??\C:\DOCUME~1\JJ\LOCALS~1\Temp\ehdrv.sys

    \??\C:\DOCUME~1\JJ\LOCALS~1\Temp\mbr.sys

    Mais peut être (pas sur) que le premier est lié au programme de recherche Everything

    Les deux autres sont liés a Eset NOD32 et peut ètre que tu a utilisé un programme d'analyse anti rootkit pour le second, ils ont laissé leur traces.
    0
    1. postodevil Messages postés 89 Statut Membre
       
      Je viens de trouver ton message.

      Je n'ai rien modifié suite à l'utilisation de "RegRun"

      "Everything" constitue t'il une menace?

      J'ai utilisé "Eset NOD32" il y a longtemps, sans conséquences néfastes.

      Hier, après analyse, j'ai supprimé "RegRun" au moyen de "Revo 2010".

      Toutefois, un programme nommé "PARTIZAN" est resté actif.

      Ne figurant pas dans "REVO" je l'ai supprimé manuellement.

      Du coup, quand je démarre l'ordi, après la reconnaissance du "Hardware" (je suis sous XP)
      et la barre de progression du chargement, j'ai un "écran bleu" portant la mention:

      "Partizan not found Autocheck skiped" puis il s'éteint et le Pc démarre.

      Je voudrais me débarrasser de "l'écran bleu" inutile.

      Peux tu m'aider? Merci

      Postodevil
      0
    2. fabul Messages postés 42158 Date d'inscription   Statut Modérateur Dernière intervention   6 066
       
      Everything n'est peut être pas une menace.

      ehdrv.sys et mbr.sys sont des drivers inutiles laissés derrière.

      J'ai regardé ton rapport RogueKiller et il les détecte aussi.

      Tu peux donc probablement les supprimer avec lui.

      Pourquoi a tu désinstallé Reanimator ?

      Tu pourrait garder RegRun Reanimator, il pourraitt t'être utile pour trouver et éliminer des malwares, cliquer sur "False positive" pour les éléments sains quand il y en a, il ne les détecterait plus.

      Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).

      Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:

      https://www.cjoint.com/c/DIwp0hjRA6Y

      Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.
      0
    3. postodevil > fabul Messages postés 42158 Date d'inscription   Statut Modérateur Dernière intervention  
       
      Le lien que tu me donnes n'est pas accessible pour le moment.

      Par ailleurs, je viens de télécharger la dernière version de ADWcleaner et elle ne fonctionne pas. as tu le même problème ?

      Merci
      0
    4. fabul Messages postés 42158 Date d'inscription   Statut Modérateur Dernière intervention   6 066
       
      Essaie le vrai lien officiel de adwcleaner:

      https://toolslib.net/downloads/viewdownload/1-adwcleaner


      Si le lien ne fonctionne pas pour remettre ta blé Bootexecute par défaut,

      Crée un fichier .reg et exécute le:

      REGEDIT4

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
      "BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,\
      00,00



      Si tu ouvre Regedit et tu te rends a la clé Bootexecute, tu devriait normalement y trouver ça comme valeut: autocheck autochk *
      0
    5. postodevil Messages postés 89 Statut Membre > fabul Messages postés 42158 Date d'inscription   Statut Modérateur Dernière intervention  
       
      Pour ADW cleaner c'est bien là que l'ai téléchargé, et ça marche pas!

      J'ai exécuté la clé mais mais pas de "Bootexecute" là ou tu me l'indiques !

      Quoi faire?
      0