Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Rootkit.win32 Zaccess


Messages recommandés

Tout d'abord bonjour à toute votre communauté.

Merci de par certains posts de m'avoir permis de résoudre quelques défaillances,problèmes,et autres bugs de mon compagnon "ordinateur";ainsi que pour l'enrichissement de ma culture informatique . Mais cette fois , il est plus "fort que moi" ..

J'ai un souci avec l'ordi des enfants ..

-pc ne démarre plus en mode "normal"

-du coup plus de connexion internet sur celui-ci

-et un virus nommé "Rootkit.Win32 Zaccess qui ne veut pas disparaitre ..

 

 

j'ai pas mal regardé vos tutos, forums et autres mais rien n'y fait ..

 

étant obliger d'être en mode "sans echec" , je n'arrive pas a installer le logiciel pour poster le log HijackThis

la config de la machine est donc :-windows visa édition familiale premium service pack 2

-pentium® dual CPU [email protected],60 GHz

-systeme d'exploitation 32 bits

-Microsoft baseline security analyser 2.2 sur la machine

 

J'aime chercher , bidouiller etc , mais là, si qqun pouvait m'aider à redonner le pc aux schtroumpfs avant que ça ne soit la " crise" . MERCI D'AVANCE

Modifié par machin13
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Tout d'abord, Sauvegardez vos données sur support externe.

 

Démarrer en mode sans échec

Choisir-> Dernière bonne configuration connue :

Cette option démarre Windows en utilisant une configuration précédente identifiée comme correcte.

Sinon:tenter une restauration système à une date antérieure.

 

Lancer la restauration en ligne de commande

vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

0804151215422955205.jpg

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

 

Et sinon:

Si vous n'avez pas de connexion internet, démarrez en mode sans échec avec opton réseau

ou installez le logiciel sur clé usb à l'aide d'un pc valide.

 

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

 

Cliquer surStart scan pour lancer l'analyse

11092402364444500.jpg

Lorsque l'outil a terminé son travail d'inspection

2727-2-en.png

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

 

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

bonjour, et merci de prendre de votre temps pour m'aider un peu :)

 

Pour commencer -restaurer à la bonne dernière configuration =>echec. ecran bleu et reboot

-la restau par l'invité de commande =>il y a un seul compte sur ce pc , ne me propose donc pas de choix de compte et la fenetre s'ouvre tout de suite . Je ne vois pas ou taper "cmd" et lorsque je lui tapes la ligne de codes dans la fenetre =>" C:\Windows\system32\restore\rstrui.exe' n'est pas reconnu en tant que commande interne ou externe,un programme exucutale ou un fichier de commande ".

 

J'ai donc installé TDSSKILLER (pc fixe et un portable connectés à internet dispo pour faire les manip),et il ne trouve rien .. :(voilà le rapport.

 

- NB : petite info qui a peut être son importance pour vous, depuis que le pc n'arrête pas de reboot ,j'ai du remettre une souris et un clavier en usb ,ceux d'avant qui étaient connectés sur les anciens types de ports ne répondaient plus .. :-?

Modifié par Dylav
Hébergement d'un rapport volumineux ;o)
Lien vers le commentaire
Partager sur d’autres sites

Bonjour machin13,

 

Voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible.

 

Il est donc préférable de faire héberger de tels rapports, par exemple chez icne2cjoint.png

C'est ce que j'ai fait avec le tien ;)

Lien vers le commentaire
Partager sur d’autres sites

bonjour et désolé ,

 

je ne connaissais pas ce genre de "pratiques" , et y remédierai la prochaine fois si besoin :)

Lien vers le commentaire
Partager sur d’autres sites

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

120404090713434053.jpg

validez

La restauration devrait se lancer.

Lien vers le commentaire
Partager sur d’autres sites

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

120404090713434053.jpg

validez

La restauration devrait se lancer.

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher, si nécéssaire p.ex faux positifs)

Cliquer sur Suppression. Cliquer sur r Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

Ensuite:Si Malwarebyte Anti-Malware ne parvient pas à détecter le module, lutilisation de WebRoot ZeroAccess/Sirefef Remover est inutile.

Télécharger Webroot AntiZeroAcces

Lancez le:

Répondre Yes (oui) à la question, en tapant sur Y puis Entrée

 

Si le fix trouve l’infection, des lignes rouges doivent apparaître.

WebRoot_ZeroAccess_Remover.png

WebRoot_ZeroAccess_Remover2.png

Le fix vous informe qu’un des fichiers systèmes a été patché et vous propose de le nettoyer.

Tapez Y (oui) et Entrée pour lancer le nettoyage.

Si l’opération a réussi, vous devez avoir le message Cleaned en vert.

WebRoot_ZeroAccess_Remover4.png

Appuyez sur une touche et redémarrer l’ordinateur.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir et merci pour toutes les infos .J'ai du boulot ! :ninja:

 

Pour les news ...les 2 restaurations n'ont pas fonctionné.reboot et accès refusé.

Petit enchainement sur Roguekiller dont voici les rapports :http://cjoint.com/?BDexhOIaBvQ :chinois:

Là , j'ai les yeux qui piquent un peu , je vais "m'équiper" de MBAM et la suite sera au prochain épisode (je ferai les manip avec le pc portable sous les yeux^^)demain matin.Merci de prendre le temps de venir " à mon secours" :starwar:

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, bonjour :)

 

désolé pour le lien de roguekiller , en faisant copier coller j'arrive a y accéder , j'essaie de le relinker et vais y ajouter le rapport de MBAM que je viens de finir d'effectuer.

 

Voici le rapport de Roguekiller: Lien CJoint.com BDfmAP4WEkH

 

et le rapport de MBAM: Lien CJoint.com BDfmD4cRDee

 

Voilà , en esperant que cela fonctionne, je ne suis pas très pro de ce genre de choses ^^

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...