[Résolu] Virus Smart Fortress / ZeroAccess

DadooNum · le 16 avril 2012

--- 16-04-2012 à 12h53 ---

Bonjour à tous,

Je suis apparemment infecté par les virus Smart Fortress 2012 et ZeroAccess.

Je ne suis pas sûr d'avoir completement supprimé SF 2012 avec Avast et suis perdu avec ZeroAccess.

J'ai regardé un certain nombre de forum et suis tombé sur RogueKiller et c'est comme ça que j'ai découvert ZeroAccess.

Mon gros problème est que je n'ai plus aucun accès au reseau réseau local (Internet fonctionne).

Tout ça est il lié ???

Ci joint le dernier rapport Roguekiller si cela peut aider :

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: numelec [Droits d'admin]

Mode: Recherche -- Date: 16/04/2012 12:38:45

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC530 -> HOOKED (d347bus.sys @ 0xB7F8E818)

SSDT[41] : NtCreateKey @ 0x806240F0 -> HOOKED (d347bus.sys @ 0xB7F8E7D0)

SSDT[45] : NtCreatePagingFile @ 0x805AB9EE -> HOOKED (d347bus.sys @ 0xB7F82A20)

SSDT[71] : NtEnumerateKey @ 0x8062493C -> HOOKED (d347bus.sys @ 0xB7F832A8)

SSDT[73] : NtEnumerateValueKey @ 0x80624BA6 -> HOOKED (d347bus.sys @ 0xB7F8E910)

SSDT[119] : NtOpenKey @ 0x806254CE -> HOOKED (d347bus.sys @ 0xB7F8E794)

SSDT[160] : NtQueryKey @ 0x80625810 -> HOOKED (d347bus.sys @ 0xB7F832C8)

SSDT[177] : NtQueryValueKey @ 0x80622314 -> HOOKED (d347bus.sys @ 0xB7F8E866)

SSDT[241] : NtSetSystemPowerState @ 0x80653E18 -> HOOKED (d347bus.sys @ 0xB7F8E0B0)

_INLINE_ : NtCreatePagingFile -> HOOKED (d347bus.sys @ 0xB7F965C4)

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 mpa.one.microsoft.com

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HD753LJ +++++

--- User ---

[MBR] 83d21979f1bca489a7472afac19fe694

[bSP] 9ea93bfacf471b7fbb4d9d1055d1c197 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 715394 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Merci d'avance pour vos réponses

Dadoo

--- 16-04-2012 à 18h43 ---

(re)bonjour,

Concernant les problemes de connexion reseau c'est résolu.

Avast ayant détecté un virus dans le fichier/composant appelé netBT (lié au TCP/IP) il l'avait placé en quarantaine.

La restauration n'a rien fait.

Le probleme a été résolu avec Microsoftfixit5.

Pour l'instant tout est stable mais jusqu'à quand ???

J'aimerai pouvoir supprimer de façon définitive SF 2012 et ZeroAccess !!

Merci d'avance de vos réponses.

Dadoo

-édit- Dans cette section, il ne faut pas multiplier les messages dans ton sujet avant d'avoir été pris en charge : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs. Tu peux en revanche utiliser le bouton "Modifier" que tu trouves en bas à droite du premier message…

J'ai fusionné tes deux messages.

Modifié le 3 mai 2012 par DadooNum

bernard53 · le 23 avril 2012

Bonjour

Relance RoqueKiller puis

Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad

Ensuite pour voir un peu plus.

Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

A la fin de l'installation ZHPDiag va se lancer....

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

DadooNum · le 23 avril 2012

Bonjour Bernard53,

Merci pour ta réponse.

Voici le rapport RogueKiller récupéré après un Scan + Supprimer.

----------