Forums Zebulon.fr: [Résolu] ZAccess et multi-infection Security Tools et autres - Forums Zebulon.fr

Bonjour,
j'ai réussi (apparemment) à me débarrasser de Security tools grâce aux forums d'entraide. Cependant il ne m'est plus possible de lancer aucun programme antivirus. A l'allumage, j'ai maintenant le message "erreur de chargement de C:\Users\Nathalie\AppData\Local\sthernt.dll le module spécifié est introuvable" et le message "VCM service a cessé de fonctionner et a été arrêté". Je peux à nouveau aller sur firefox mais je suis redirigé sur des programmes comme gomeo.fr.
J'ajoute que j'ai utilisé combofix et je viens de voir sur votre site qu'il ne faut l'utiliser qu'avec des helpers!
Je me sens nue comme un ver sans programme de protection, j'ai donc besoin d'aide d'urgence; merci d'avance !

Ce message a été modifié par greve - 20 septembre 2011 - 07:55 .

Bonjour,

Donnez les liens vers les sujets censés vous désinfecter , svp.

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman
Décompresser le fichier ZHPDiag.fix sur le bureau
puis double-cliquer sur le fichier ZHPDiag.exe pour installer l'outil
Sur le bureau ,il y aura 3 icônes

Sous XP, double clic sur ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Clic sur la Loupe pour lancer le scan
En cas de blocage sur O80, cliquez sur le tournevis pour le décocher
Postez en le rapport ZhpDiag.txt qui apparait sur le bureau
Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
Autre solution:
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Ensuite appuyez sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Bonjour pear et grand merci pour votre réponse !

Que veut dire : "Donnez les liens vers les sujets censés vous désinfecter , SVP". Je suis novice sur le site !
Je n'avais pas vu non plus que vous aviez répondu, peut-être le lien sert-il à m'informer par mail ?
Mon ordinateur ne pouvant lancer aucun programme antivirus, j'ai téléchargé votre programme sur une clé USB à partir de l'ordinateur d'où je vous réponds, car l'ordi infecté ne fonctionne plus qu'en mode sans échec !
Seulement il ne reconnaît pas ma clé USB... que faire ?

Et en plus il s'éteint au bout de quelques minutes !

Bonjour,

Citation

Sur quels sites, précisément, avez vous été aidée .
C'est pour savoir ce qui a été fait pour ne pas le répéter.

Pour votre machine qui s'éteint, essayez de la dépoussiérer( par les ouïes , si c'est un portable.
Ensuite tentez Zhpdiag.
En cas d'échec ou de refus:

Télécharger TDSSKILLER
- Télécharger le .zip sur le Bureau ou clé Usb.
- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;
- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.
Lorsque l'outil a terminé son travail d'inspection
, ("Malicious objects")
si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .
Cliquer sur"Continue"



Si c'est un fichier suspect, l'action par défaut est Skip( sauter)
Cliquer sur"Continue"

S'il vous est demandé de redémarrer:
Cliquer Reboot Now
Sinon cliquer sur Report
Envoyer en réponse:
*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Désolée de poster encore mais je suis tellement désespérée : après plusieurs tentatives, il a fini par lire ma clé USB, j'ai donc installé le programme ZHPDiag, que j'ai pu lancer. Au bout de quelque minutes, où il avait commencé à établir son rapport de loupe, il m'a donné le message "l'ordinal 1108 est introuvable dans la bibliothèque de liens dynamiques wsock32.dll" et, lorsque j'ai fait OK, le programme s'est fermé tout seul.

Dans ZhpDiag,
Cliquer sur le tournevis et décocher le module "O89"

Lancez TdssKiller.

Ce message a été modifié par pear - 05 septembre 2011 - 11:37 .

L'autre site qui m'a aidé, c'esst surlatoile.com ! comme l'ordinateur infecté ne reconnait plus mon mot de passe, je n'ai plus de possibilité de travailler avec les eliminateurs de virus. Je n'arrive pas non plus à reformater (il ne reconnait pas mes DVD vista).
l'autre site comme je vous l'ai dit, m'a recommandé combo fix mais combo fix m'a indiqué que le virus en question etait un virus tres compliqué : rootkil.ZeoAccess placé dans le pile tcp/ip
Faut il que je fasse venir un professionel? ou bien mon portable est il bon à mettre à la casse?
merci d'avance !
nathalie

La dernière version de TdssKiller détruit Zero Access.

Je vous ai demandé de le lancer.

Pour votre Mot de Passe:

Si c'est le mot de passe du Bios:
Mdp du Bios
Tuto passbios
Méthode Zébulon

A lire d'abord
Démarrer en mode sans échec , choisir la session Administrateur
tenter de supprimer le mot de passe par control userpasswords2

Dans Comptes d'utilisateurs :

- cliquer sur le compte avec lequel Windows XP s'ouvrira automatiquement.
- décocher "Les utilisateurs doivent entrer un nom d'utilisateur et un mot de passe..."
- cliquer sur OK

Cette commande permet également de réinitialiser le(s) mot(s) de passe des utilisateurs.
Elle peut s'effectuer en mode normal ou en mode sans échec avec le compte Administrateur.

- sélectionner un utilisateur,
- cliquer sur "Réinitialiser le mot de passe..."

Cette commande permet également de supprimer ou d'ajouter des comptes.

Elle doit être utilisée avec précautions !

Vous avez le message:
Impossible douvrir une session car il y a une limitation de compte
Cela veut dire que vous êtes sous XP Home et essayez d'ouvrir le compte nommé "Administrateur" qui ne peut être accessible qu'en mode sans échec.
Redémarrez en mode sans échec,sur le compte nommé "Administrateur" et là vous devriez pouvoir utiliser control userpasswords2 .

Autres possibilités:
Cette version la plus récente de la méthode de P.Nordhal(100627)
Password & Registry Editor Avec Tuto Intégré en Français

Merci, je suis sous VISTA, et dans toutes les sessions il est impossible de saisir le password !
apparemment je ne pourrai faire entrer un programme antivirus dans le systeme qu'avec une clé usb bootable ! mais il me faut le programme ! est ce que tdskiller existe sous cette forme?

1)Redémarrez en mode sans échec,sur le compte nommé "Administrateur" et là vous devriez pouvoir utiliser control userpasswords2 .

2)-cle-usb-bootable-tutoriel

comment-transformer-n-importe-quelle-cle-usb-en-cd-rom-de-poche


WinToFlash est un logiciel très bien réalisé pour permettre de rendre une clé usb bootable avec l'installation de Windows 7, Vista ou même XP.

Télécharger le programme sur le site de l'éditeur pour être sur d'avoir la dernière version.
WinToFlash

Dézipper et lancer le programme en cliquant sur WinToFlash.exe
Placez votre clé usb.
Elle doit être d'au minimum 4GO pour Windows seven
Laissez vous guider par l'assistant.

Si ,faute de lecteur DVD, vous avez téléchargé l'image CD d'un Windows, il faut monter l'image iso avec un émulateur comme Daemon Tool.


Dans ce cas, vous pouvez lancer Tdsskiller installé sur la clé.

3) autres pistes, Réparer Vista:
Réparer Win7

Accéder à la console WinRE par les Options de démarrage avancées[/url]

Accéder à la console WinRE par lesOptions de démarrage avancées :
Au démarrage , tapoter les touches F8 (F5 pour certaines marques de PC) ou ALT + F10 ou ALT GR + F10
Dans la fenêtre des Options de démarrage avancées
Sélectionner Réparer l’ordinateur et valider

Si cela ne suffisait pas:
Utiliser l'outil Bootrec.exe pour dépanner et résoudre les problèmes de démarrage dans Windows Vista/7:
Dans la fenêtre des Options de démarrage avancées
Sélectionner Invite de commandes et valider
exécuter successivement les commandes suivantes:
bcdedit /export C:\BCD_Backup
C:
cd boot
attrib bcd -s -h -r
ren C:\boot\bcd bcd.old
bootrec /RebuildBcd

4) et si rien n'aboutit:

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)
Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

Télécharger OTLPEStd.exe

Ou à partir de ce lien
sur le Bureau
Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.
Lancez le fichier OTLPEStd.exe ;
Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.
Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Si tout va bien, la machine démarrera sur l'environnement OTLPE
Lors du démarrage de OTLPE.exe il sera demandé à l'utilisateur s'il veut charger le Registre distant et il doit choisir Yes/Oui.
Ensuite, il lui sera demandé s'il veut charger les profils utilisateur distants, et il devra de nouveau choisir Yes/Oui.
Enfin, une liste des profils distants trouvés sera affichée, avec l'option par défaut de les charger tous, et l'utilisateur devra une fois encore choisir Yes/Oui.
S'il ne respecte pas cette procédure, il ne verra pas les comptes d'utilisateur distants.

Double-click sur l'icone OTLPE
A la demande "Do you wish to load the remote registry"->choisir Yes
et "Do you wish to load remote user profile(s) for scanning"->choisir Yes
vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.
Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:


SAVEMBR:0
NetSvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
/md5start
AGP440.sys
ahcix86s.sys
alg.exe
atapi.sys
cdrom.sys
cngaudit.dll
csrss.exe
eNetHook.dll
eventlog.dll
explorer.exe
fxssvc.exe
iastorv.sys
IdeChnDr.sys
iesetup.dll
inseng.dll
KR10N.sys
logevent.dll
lsass.exe
locator.exe
msdtc.exe
mshtml.dll
ndis.sys
netlogon.dll
nvatabus.sys
nvata.sys
nvgts.sys
nvstor.sys
nvstor32.sys
pngfilt.dll
rdpclip.exe
SafeBoot.sys
scecli.dll
sceclt.dll
spoolsv.exe
snmptrap.exe
sppsvc.exe
taskhost.exe
taskeng.exe
tcpip.sys
UI0Detect.exe
usbscan.sys
usbprint.sys
userinit.exe
vaxscsi.sys
vds.exe
viamraid.sys
ViPrt.sys
volsnap.sys
vssvc.exe
WatAdminSvc.exe
wbengine.exe
webcheck.dll
wininit.exe
winlogon.exe
WmiApSrv.exe
wmpnetwk.exe
wscntfy.exe
/md5stop

CREATERESTOREPOINT


Clic sur Analyse (Run Scan)
le scan terminé , le fichier se trouve là C:\OTL.txt
Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
ou Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Ensuite appuyez sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Pour cela,Cliquer sur Insérer un rapport,en bas de page,à gauche[/url] et cliquer sur Parcourir pour trouver le rapport sur votre bureau

Ce message a été modifié par pear - 08 septembre 2011 - 09:00 .