Infection par "zero access"
postodevil
Messages postés
85
Date d'inscription
Statut
Membre
Dernière intervention
-
postodevil Messages postés 85 Date d'inscription Statut Membre Dernière intervention -
postodevil Messages postés 85 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Ayant pris l'habitude de contrôler la sécurité de mon PC, j'exécute de temps à autres des vérifications.
Hier, 03/11/2015, j'ai réalisé 2 analyses avec les outils suivants:
ADWcleaner
Roguekiller
Le premier n'a rien détecté d'important.
le second, en revanche, m'a indiqué une infection importante concernant des fichiers "Uninstall" par le malware "zero access" au niveau des fichiers "host".
J'ai donc procédé à leur élimination au moyen de l'outil de suppression de cet utilitaire.
Puis, j'ai rebooté l'ordi et refais une "passe" de Roguekiller -> RAS.
Pour confirmer j'ai analysé avec "Malwarebytes anti malware" -> RAS
Et avec ma suite résidente "bitdefender total care 2015" avec "analyse customisé" vérifiant tout les fichiers et dossiers -> RAS.
Pour autant, je ne suis pas sûr que "zero access" ai été totalement éliminé.
Merci de me conseiller pour assurer l'éradication totale de ce malware
Postodevil
Ayant pris l'habitude de contrôler la sécurité de mon PC, j'exécute de temps à autres des vérifications.
Hier, 03/11/2015, j'ai réalisé 2 analyses avec les outils suivants:
ADWcleaner
Roguekiller
Le premier n'a rien détecté d'important.
le second, en revanche, m'a indiqué une infection importante concernant des fichiers "Uninstall" par le malware "zero access" au niveau des fichiers "host".
J'ai donc procédé à leur élimination au moyen de l'outil de suppression de cet utilitaire.
Puis, j'ai rebooté l'ordi et refais une "passe" de Roguekiller -> RAS.
Pour confirmer j'ai analysé avec "Malwarebytes anti malware" -> RAS
Et avec ma suite résidente "bitdefender total care 2015" avec "analyse customisé" vérifiant tout les fichiers et dossiers -> RAS.
Pour autant, je ne suis pas sûr que "zero access" ai été totalement éliminé.
Merci de me conseiller pour assurer l'éradication totale de ce malware
Postodevil
A voir également:
- Infection par "zero access"
- Remettre a zero un pc - Guide
- Comment remettre un iphone à zéro - Guide
- Zéro barré clavier ✓ - Forum Windows
- Remettre un pc a zero sans mot de passe - Guide
- Remettre chromecast a zero - Guide
3 réponses
Bonsoir
On peut voir ça ensemble si tu veux ?
ZHPdiag:
===================
Peux-tu également me poster le rapport gras>adwcleaner</gras>
jm
On peut voir ça ensemble si tu veux ?
ZHPdiag:
- Télécharger >ZHPdiag sur le bureau
- Ou utiliser ce lien si le précédent lien ne fonctionne pas
- Une fois téléchargé sur le bureau, lance-le
/!\ Les Utilisateurs de Windows Vista-7-8-10 , Cliquer droit sur l'icône ZHPdiag puis "exécuter en tant qu'Administrateur"
- Cliquer ensuite sur "Scanner"
- Laisser travailler l'outil sans rien toucher même s'il semble bloqué !
- A la fin du scan, le rapport s'affiche et sera enregistré sur le bureau.
- Merci de poster ce rapport dans ta prochaine réponse.
- si tu ne sais pas comment poster un rapport voici une explication >>ICI<<
===================
Peux-tu également me poster le rapport gras>adwcleaner</gras>
- adwcleaner se trouve ( sous C:\AdwCleaner\AdwCleaner[].txt)
jm
postodevil
Messages postés
85
Date d'inscription
Statut
Membre
Dernière intervention
Tu as tout reçu ?
Salut,
Installe RegRun Reanimator (Download Mirror 1 ou 2)
Clic sur "Fix problems".
Clic sur "Scan windows startup...".
Coche la case "Use deep level scanning once (For advanced users)".
Clic sur "Make scan now".
Patiente durant l'analyse.
Clic sur "Fix problems".
Attention, il détecte souvent des faux positifs (des bons fichiers).
Tu peux faire des recherches sur Internet.
Si tu a besoin d'aide, voir plus bas*
Assure toi de ne supprimer que des malwares ou inutiles avec "Get it out", sinon tu peux planter ton système,
Passe avec la flèche pour les autres ou clic sur "False positive" si c'est un item que tu connais.
Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.
Après, regarde si tu vois quelque chose de mauvais ou inutile dans les onglets "Logon" et "Scheduled tasks" de Autoruns
Si tu a besoin d'aide par rapport aux détections de RegRun Reanimator,
Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.
Clic-droit dans le milieu de la fenêtre et choisis "Save to file" pour copier le résultat dans un fichier texte.
Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.
Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.
A la fin, clic sur "Exit".
Poste les résultats contenus dans les fichiers texte dans ton prochain message.
Installe RegRun Reanimator (Download Mirror 1 ou 2)
Clic sur "Fix problems".
Clic sur "Scan windows startup...".
Coche la case "Use deep level scanning once (For advanced users)".
Clic sur "Make scan now".
Patiente durant l'analyse.
Clic sur "Fix problems".
Attention, il détecte souvent des faux positifs (des bons fichiers).
Tu peux faire des recherches sur Internet.
Si tu a besoin d'aide, voir plus bas*
Assure toi de ne supprimer que des malwares ou inutiles avec "Get it out", sinon tu peux planter ton système,
Passe avec la flèche pour les autres ou clic sur "False positive" si c'est un item que tu connais.
Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.
Après, regarde si tu vois quelque chose de mauvais ou inutile dans les onglets "Logon" et "Scheduled tasks" de Autoruns
Si tu a besoin d'aide par rapport aux détections de RegRun Reanimator,
Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.
Clic-droit dans le milieu de la fenêtre et choisis "Save to file" pour copier le résultat dans un fichier texte.
Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.
Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.
A la fin, clic sur "Exit".
Poste les résultats contenus dans les fichiers texte dans ton prochain message.
Salut jmdepise.
On a presque répondu en même temps.
Si c'est le rootkit zero access, RegRun le détecte.
Peut être que Malwarebytes anti-rootkit le supprime.
Mais le rootkit Zero Access détecté avec RegRun, tu peux utiliser Regrun pour le supprimer, mais lancé a partir du mini Windows XP de Hiren's boot CD.
https://forums.commentcamarche.net/forum/affich-37585754-hiren-boot-cd-tutoriel
Tu peux aussi créer une clé USB bootable de Hiren's
https://www.hiren.info/pages/bootcd-on-usb-disk
Tu lance "C:\Program Files (x86)\Greatis\Reanimator\reanimator.exe"
A partir du mini XP de Hiren's et tu analyse (Scan target computer) tu choisis le répertoire de Windows et supprime ce Zero access rootkit.
On a presque répondu en même temps.
Si c'est le rootkit zero access, RegRun le détecte.
Peut être que Malwarebytes anti-rootkit le supprime.
Mais le rootkit Zero Access détecté avec RegRun, tu peux utiliser Regrun pour le supprimer, mais lancé a partir du mini Windows XP de Hiren's boot CD.
https://forums.commentcamarche.net/forum/affich-37585754-hiren-boot-cd-tutoriel
Tu peux aussi créer une clé USB bootable de Hiren's
https://www.hiren.info/pages/bootcd-on-usb-disk
Tu lance "C:\Program Files (x86)\Greatis\Reanimator\reanimator.exe"
A partir du mini XP de Hiren's et tu analyse (Scan target computer) tu choisis le répertoire de Windows et supprime ce Zero access rootkit.
Pas de signe de Zero Access.
Tu pourrais supprimer ça avec RegRun si tu les vois avec Scan Windows Startup...:
C:\DOCUMENTS AND SETTINGS\JJ\APPLICATION DATA\EVERYTHING\
\??\C:\DOCUME~1\JJ\LOCALS~1\Temp\ehdrv.sys
\??\C:\DOCUME~1\JJ\LOCALS~1\Temp\mbr.sys
Mais peut être (pas sur) que le premier est lié au programme de recherche Everything
Les deux autres sont liés a Eset NOD32 et peut ètre que tu a utilisé un programme d'analyse anti rootkit pour le second, ils ont laissé leur traces.
Tu pourrais supprimer ça avec RegRun si tu les vois avec Scan Windows Startup...:
C:\DOCUMENTS AND SETTINGS\JJ\APPLICATION DATA\EVERYTHING\
\??\C:\DOCUME~1\JJ\LOCALS~1\Temp\ehdrv.sys
\??\C:\DOCUME~1\JJ\LOCALS~1\Temp\mbr.sys
Mais peut être (pas sur) que le premier est lié au programme de recherche Everything
Les deux autres sont liés a Eset NOD32 et peut ètre que tu a utilisé un programme d'analyse anti rootkit pour le second, ils ont laissé leur traces.
Je viens de trouver ton message.
Je n'ai rien modifié suite à l'utilisation de "RegRun"
"Everything" constitue t'il une menace?
J'ai utilisé "Eset NOD32" il y a longtemps, sans conséquences néfastes.
Hier, après analyse, j'ai supprimé "RegRun" au moyen de "Revo 2010".
Toutefois, un programme nommé "PARTIZAN" est resté actif.
Ne figurant pas dans "REVO" je l'ai supprimé manuellement.
Du coup, quand je démarre l'ordi, après la reconnaissance du "Hardware" (je suis sous XP)
et la barre de progression du chargement, j'ai un "écran bleu" portant la mention:
"Partizan not found Autocheck skiped" puis il s'éteint et le Pc démarre.
Je voudrais me débarrasser de "l'écran bleu" inutile.
Peux tu m'aider? Merci
Postodevil
Je n'ai rien modifié suite à l'utilisation de "RegRun"
"Everything" constitue t'il une menace?
J'ai utilisé "Eset NOD32" il y a longtemps, sans conséquences néfastes.
Hier, après analyse, j'ai supprimé "RegRun" au moyen de "Revo 2010".
Toutefois, un programme nommé "PARTIZAN" est resté actif.
Ne figurant pas dans "REVO" je l'ai supprimé manuellement.
Du coup, quand je démarre l'ordi, après la reconnaissance du "Hardware" (je suis sous XP)
et la barre de progression du chargement, j'ai un "écran bleu" portant la mention:
"Partizan not found Autocheck skiped" puis il s'éteint et le Pc démarre.
Je voudrais me débarrasser de "l'écran bleu" inutile.
Peux tu m'aider? Merci
Postodevil
Everything n'est peut être pas une menace.
ehdrv.sys et mbr.sys sont des drivers inutiles laissés derrière.
J'ai regardé ton rapport RogueKiller et il les détecte aussi.
Tu peux donc probablement les supprimer avec lui.
Pourquoi a tu désinstallé Reanimator ?
Tu pourrait garder RegRun Reanimator, il pourraitt t'être utile pour trouver et éliminer des malwares, cliquer sur "False positive" pour les éléments sains quand il y en a, il ne les détecterait plus.
Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).
Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:
https://www.cjoint.com/c/DIwp0hjRA6Y
Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.
ehdrv.sys et mbr.sys sont des drivers inutiles laissés derrière.
J'ai regardé ton rapport RogueKiller et il les détecte aussi.
Tu peux donc probablement les supprimer avec lui.
Pourquoi a tu désinstallé Reanimator ?
Tu pourrait garder RegRun Reanimator, il pourraitt t'être utile pour trouver et éliminer des malwares, cliquer sur "False positive" pour les éléments sains quand il y en a, il ne les détecterait plus.
Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).
Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:
https://www.cjoint.com/c/DIwp0hjRA6Y
Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.
Essaie le vrai lien officiel de adwcleaner:
https://toolslib.net/downloads/viewdownload/1-adwcleaner
Si le lien ne fonctionne pas pour remettre ta blé Bootexecute par défaut,
Crée un fichier .reg et exécute le:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,\
00,00
Si tu ouvre Regedit et tu te rends a la clé Bootexecute, tu devriait normalement y trouver ça comme valeut: autocheck autochk *
https://toolslib.net/downloads/viewdownload/1-adwcleaner
Si le lien ne fonctionne pas pour remettre ta blé Bootexecute par défaut,
Crée un fichier .reg et exécute le:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,\
00,00
Si tu ouvre Regedit et tu te rends a la clé Bootexecute, tu devriait normalement y trouver ça comme valeut: autocheck autochk *