[Résolu] Rootkit.win32 Zaccess

[machin13]

Tout d'abord bonjour à toute votre communauté.

Merci de par certains posts de m'avoir permis de résoudre quelques défaillances,problèmes,et autres bugs de mon compagnon "ordinateur";ainsi que pour l'enrichissement de ma culture informatique . Mais cette fois , il est plus "fort que moi" ..

J'ai un souci avec l'ordi des enfants ..

-pc ne démarre plus en mode "normal"

-du coup plus de connexion internet sur celui-ci

-et un virus nommé "Rootkit.Win32 Zaccess qui ne veut pas disparaitre ..

 

 

j'ai pas mal regardé vos tutos, forums et autres mais rien n'y fait ..

 

étant obliger d'être en mode "sans echec" , je n'arrive pas a installer le logiciel pour poster le log HijackThis

la config de la machine est donc :-windows visa édition familiale premium service pack 2

-pentium® dual CPU E2140@1,60 GHz

-systeme d'exploitation 32 bits

-Microsoft baseline security analyser 2.2 sur la machine

 

J'aime chercher , bidouiller etc , mais là, si qqun pouvait m'aider à redonner le pc aux schtroumpfs avant que ça ne soit la " crise" . MERCI D'AVANCE

Modifié le 16 avril 2012 par machin13

[pear]

Bonjour,

 

Tout d'abord, Sauvegardez vos données sur support externe.

 

Démarrer en mode sans échec

Choisir-> Dernière bonne configuration connue :

Cette option démarre Windows en utilisant une configuration précédente identifiée comme correcte.

Sinon:tenter une restauration système à une date antérieure.

 

Lancer la restauration en ligne de commande

vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

 

Et sinon:

Si vous n'avez pas de connexion internet, démarrez en mode sans échec avec opton réseau

ou installez le logiciel sur clé usb à l'aide d'un pc valide.

 

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

 

Cliquer surStart scan pour lancer l'analyse

Lorsque l'outil a terminé son travail d'inspection

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

 

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

Modifié le 4 avril 2012 par pear

[machin13]

bonjour, et merci de prendre de votre temps pour m'aider un peu

 

Pour commencer -restaurer à la bonne dernière configuration =>echec. ecran bleu et reboot

-la restau par l'invité de commande =>il y a un seul compte sur ce pc , ne me propose donc pas de choix de compte et la fenetre s'ouvre tout de suite . Je ne vois pas ou taper "cmd" et lorsque je lui tapes la ligne de codes dans la fenetre =>" C:\Windows\system32\restore\rstrui.exe' n'est pas reconnu en tant que commande interne ou externe,un programme exucutale ou un fichier de commande ".

 

J'ai donc installé TDSSKILLER (pc fixe et un portable connectés à internet dispo pour faire les manip),et il ne trouve rien .. voilà le rapport.

 

- NB : petite info qui a peut être son importance pour vous, depuis que le pc n'arrête pas de reboot ,j'ai du remettre une souris et un clavier en usb ,ceux d'avant qui étaient connectés sur les anciens types de ports ne répondaient plus ..

Modifié le 4 avril 2012 par Dylav
Hébergement d'un rapport volumineux ;o)

[Dylav]

Bonjour machin13,

 

Voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible.

 

Il est donc préférable de faire héberger de tels rapports, par exemple chez

C'est ce que j'ai fait avec le tien

[machin13]

bonjour et désolé ,

 

je ne connaissais pas ce genre de "pratiques" , et y remédierai la prochaine fois si besoin

[pear]

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

[pear]

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher, si nécéssaire p.ex faux positifs)

Cliquer sur Suppression. Cliquer sur r Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

Ensuite:Si Malwarebyte Anti-Malware ne parvient pas à détecter le module, l’utilisation de WebRoot ZeroAccess/Sirefef Remover est inutile.

Télécharger Webroot AntiZeroAcces

Lancez le:

Répondre Yes (oui) à la question, en tapant sur Y puis Entrée

 

Si le fix trouve l’infection, des lignes rouges doivent apparaître.

Le fix vous informe qu’un des fichiers systèmes a été patché et vous propose de le nettoyer.

Tapez Y (oui) et Entrée pour lancer le nettoyage.

Si l’opération a réussi, vous devez avoir le message Cleaned en vert.

Appuyez sur une touche et redémarrer l’ordinateur.

[machin13]

Bonsoir et merci pour toutes les infos .J'ai du boulot !

 

Pour les news ...les 2 restaurations n'ont pas fonctionné.reboot et accès refusé.

Petit enchainement sur Roguekiller dont voici les rapports :http://cjoint.com/?BDexhOIaBvQ

Là , j'ai les yeux qui piquent un peu , je vais "m'équiper" de MBAM et la suite sera au prochain épisode (je ferai les manip avec le pc portable sous les yeux^^)demain matin.Merci de prendre le temps de venir " à mon secours"

[pear]

Pas de lien pour Rogue Killer !!

[machin13]

Bonjour, bonjour

 

désolé pour le lien de roguekiller , en faisant copier coller j'arrive a y accéder , j'essaie de le relinker et vais y ajouter le rapport de MBAM que je viens de finir d'effectuer.

 

Voici le rapport de Roguekiller: Lien CJoint.com BDfmAP4WEkH

 

et le rapport de MBAM: Lien CJoint.com BDfmD4cRDee

 

Voilà , en esperant que cela fonctionne, je ne suis pas très pro de ce genre de choses ^^