[Résolu] Infection et problèmes ZeroAccess

[Bobybol]

Bonjour à tous, et tout d'abord merci à ceux qui prendrons la peine de lire mon " pavé " et qui accepteront de m'aider

J'espère que grâce à vous, j'arriverai enfin à me débarrasser de tous les problèmes qui surviennent sur ma machine en ce moment.

 

Entrons plutôt dans le vif du sujet !

 

Tout d'abord, je suis sur une machine qui tourne sous windows Vista 32-Bits édition familiale premium, achetée en grande surface il y a de cela quasiment 6 ans. ( Et qui m'a très loyalement servit jusqu'ici ! ). Je n'ai cependant ni CD de réinstallation, ni de clé produit afin de réactiver Windows en cas de réinstallation... ( Rien ne m'a été donné lors de l'achat de la bête ) mais continuons plutôt !

Samedi en rentrant des cours, j'eus la stupeur de voir qu'un problème était survenu sur mon PC : la fonction de protection des protocols POP3 et HTTP de Nod32 ( je crois que c'était ça ) ne fonctionnait plus ! Sur le coup je ne m'inquiète pas trop, je me décide de mettre à jour mon antivirus ( qui était Nod32 4 ) pour une version plus récente ( La version 6 ). De plus, les téléchargements m’étaient devenus impossible, tant sur Google Chrome que sur IE ( Echec lors de l'analyse antivirus )

Après plusieurs déboires pour réussir à l'installer ( il m'a fallut 3 jours, honte à moi .. ), il s'installa enfin ! Cependant les problèmes n'étaient toujours pas reglés.

Quelques temps après, je constatai que j'étais en fait infecté par un " ZeroAccesTrojan " ou " Siriefef " je ne sais pas comment vous aimez le dénommer

Je me suis servis de l'outil de suppresion Nod32 pour le supprimer, avec succès.

Cependant, quelques temps après, j'ai constasté plusieurs problèmes dans mon systèmes qui n'étaient pas là avant, et surtout au niveau des services Windows.

- L’accès au centre et services de sécurité Windows m'étaients devenus impossible ( Windows Defender, Pare-feu etc.. )

- Le " BITS " avait disparu de mes services, rendant par la même occasion impossible les mises à jour par Windows Update.

- Le Service Audio ne se lançait plus automatiquement au démarrage de Windows, bien qu'il fut sur " automatique "

- La connexion Internet ne se faisait plus automatiquement, j'étais obligé de tout le temps redémarrer le service client DHCP pour que la connexion se fasse

- Le thème Windows Vista ne se lançait plus non plus automatiquement au démarrage de Windows, obligé de redémmarer le service thème pour qu'il se lance, bien qu'il soit sur position " automatique " pour le démarrage.

- Maintenant je n'ai plus du tout de son, et le Service Audio Windows est impossible à lancer, suite à un remplacement du fichier " audiosrv.dll "

- Le gestionnaire des périphériques ne m'affiche plus rien, et mon PC est ralenti " de ouf " , la consommation de RAM étant passée de 50% en moyenne à 90% maintenant...

 

Alors ces problèmes ne sont pas tous survenus en même temps, quand un est réparé, un autre survient, etc..

 

Pour tenter de réparer, j'ai essayé pleins de choses :

- J'ai téléchargé différente clé-registre correspondante pour tenter de remplacer les miennes au cas où elles auraient été deffectueuses, mais sans réels succès.

- J'ai utilisé l'outil " Windows Repair - Tweaking.com " qui a le mérite de m'avoir réparé le pare-feu windows ainsi que le centre de sécurité.

- J'ai même essayé ComboFix, mais qui ne m'a pas réellement apporté grand chose non plus...

 

Des scans Malwarebytes, Spybot S&D et Nod32 ont été effectués, un coup de CC Cleaner aussi.

Le dernier log ComboFix peut être mis à votre disposition si vous le souhaitez, et le scan HijackThis arrivera surement dans la journée de demain

J'aimerai donc récupérer un fonctionnement de Windows normal, réparer le gestionnaire des tâches, récupérer un fonctionnement audio normal, ainsi que tous ce que vous arriverez sûrement à dénicher

J'ai aussi la possibilité de vous laisser le contrôle de mon ordinateur via TealViewer si jamais cela serait plus préférable pour certains.

 

Si quelqu'un aurait des solutions pour m'aider à rétablir une machine propre, saine et sans problèmes, je suis preneur

 

Et encore une fois, merci d'avance pour votre futur aide !

Modifié le 26 mai 2013 par Bobybol

[pear]

Bonjour,

 

Votre infection ressemble au "nouveau" Zero Access", bien plus ravageur.

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

En cas de blocage Renommer RogueKiller.exe -> winlogon.exe

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes que vous avez volontairement modifiées

(Si vous n'avez rien modifié ,vous n'avez donc pas de raison valable d'en décocher. )

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des index)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Il y aura 6 rapports à fournir après le nettoyage.

 

 

Télécharger Farbar Service Scanner sur le bureau

Lancez-le en tant qu'administrateur

Cochez toutes les cases proposées

Cliquez sur Scan

Copiez/collez le contenu du rapport FSS.txt

[Bobybol]

Bonsoir Pear, et merci d'avoir bien voulu prendre en charge mon problème

 

Voici le premier log RogueKiller : © CJoint.com, 2012

 

Voici le rapport registre : © CJoint.com, 2012

 

Le rapport Host RAZ : © CJoint.com, 2012

 

Le rapport Proxy RAZ : © CJoint.com, 2012

 

Le rapport DNS RAZ : © CJoint.com, 2012

 

Le rapport Racc. RAZ : © CJoint.com, 2012

 

Si un rapport ne convient pas, faites le moi savoir

Et quand je tente de faire " Restaurer " sur les Index SSDT, j'ai sois " L'index est légitime ", sois " Impossible de restaurer la Shadow SSDT " ou encore " Cannot fix IRP Hook ", cela est-il normal ?

 

 

Et voici le rapport FSS : http://cjoint.com/?CExvYUbeMpQ

 

Sinon j'ai déjà l'impression qu'après l’exécution de ces deux programmes, mon ordinateur est un peu plus légé et rapide. Ce n'est peut être qu'un effet placebo

[Edit] : En fait après reboot de la machine, c'est redevenu aussi lent qu'avant

[Edit 2] : Quelques légères améliorations sont quand même constatées

 

Merci encore ! J'attends vos prochaines instructions, et vous souhaite un bon courage pour analyser tout ça !

Et encore une fois, si l'un des rapports ne convient pas ou n'est pas le bon, faites moi signe, je réparerai cela !

 

Bonne soirée

Modifié le 23 mai 2013 par Bobybol

[pear]

quand je tente de faire " Restaurer " sur les Index SSDT, j'ai sois " L'index est légitime ", sois " Impossible de restaurer la Shadow SSDT " ou encore " Cannot fix IRP Hook ", cela est-il normal ?

Cette partie de la procédure vous a échappé:

 

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

 

Revenons à l'essentiel!

Il y a des services endommagés:

 

1)Télécharger FRST de Farbar sur le bureau

Dans le Bloc-notes (Démarrer -> Tous les programmes -> Accessoires -> Bloc-notes)

Copier/coller le textei ci-dessous :

start

DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

Folder: c:\Program Files\Windows Defender

Folder: c:\Program Files\Windows Defender\fr-FR

end

 

Enregistrer le fichier sur le Bureau (au même endroit que FRST) sous fixlist.txt

Fermer toutes les applications, y compris le navigateur

Double-clic sur FRST64.exe

/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Sur le menu principal, cliquer une seule fois sur Fix et patienter le temps de la correction

 

L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.

 

 

2)Services Repair

 

Téléchargez Services Repair de Eset sur le Bureau

Fermez toutes les applications, y compris le navigateur

Double-clique sur ServicesRepair.exe pour lancer l'application

/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Valider par Yes pour confirmer le lancement de l'outil

Laissez l'outil travailler (cela peut prendre quelques minutes)

Valider par Yes pour redémarrer le PC

Au redémarrage, le dossier CC Support a été crée sur le bureau

Postez le rapport SvcRepair.txt, qui se trouve dans CC Support\Logs dans la prochaine réponse

 

 

3)Télécharger Farbar Service Scanner sur le bureau

Lancez-le en tant qu'administrateur

Cochez toutes les cases proposées

Cliquez sur Scan

Copiez/collez le contenu du rapport FSS.txt

[Bobybol]

Bonsoir Pear

 

Je dois vous avouer que je ne comprends pas trop la partie de la procédure sur les index SSDT, pourriez vous me l'expliquer un peu mieux ? :S

 

Sinon voici les logs

 

Pour FRST, la version de votre lien était pour les systèmes 64bits. J'ai donc téléchargé la version 32bits, j’espère que cela ne change rien ?

 

Log FRST : © CJoint.com, 2012

 

Log Services Repair : © CJoint.com, 2012

 

Log FSS : © CJoint.com, 2012

 

Je n'ai pas l'impression que ces programmes aient réparés les services, mais peut être que je me trompe !

 

Bonne soirée à vous en tout cas, et merci

[pear]

Vérificateur des fichiers système pour résoudre les problèmes des fichiers système manquants ou endommagés sur Windows Vista ou Windows 7

 

 

1) Ouvrez une invite de commandes avec élévation de privilèges.

Pour ce faire, cliquez sur Démarrer-> Tous les programmes->Accessoires->Clic sur Invite de commande et Exécuter en tant qu'administrateur.

Si vous êtes invité à donner un mot de passe administrateur ou à confirmer une opération, tapez le mot de passe ou cliquez sur Autoriser.

À l'invite de commandes,copiez/collez la commande suivante et valdez:

sfc /scannow

La commande sfc /scannow vérifie tous les fichiers système protégés et remplace les versions incorrectes par des versions Microsoft appropriées.

 

2)Pour déterminer quels fichiers ne peuvent pas être réparés par l'outil Vérificateur des fichiers système :

 

Ouvrez une Invite de commande et Exécuter en tant qu'administrateur.

À l'invite de commandes,copiez/collez la commande suivante

findstr /c: "[sR]" %windir%\Logs\CBS\CBS.log > %userprofile%\Desktop\sfcdetails.txt

Validez

ou

Télécharger cbslog.bat

Enregistrez-le sur le Bureau

Clic droit sur cbslog.bat

Le rapport sfcdetailsrepair.txt s'affiche,

 

 

 

 

 

1)WinDefend Service is not running. Checking service configuration:

ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll FILE IS MISSING AND SHOULD BE RESTORED.

Si vous utilisez un autre antivirus, passez.

Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist.

DE même si vous avez désinstallé le service de sécurité de Vista, passez wscsvc Service is not running.

 

Sinon, vous trouverez là le nécessaire:

Registry network keys - Smartest Computing

Attention qu'il faut parfois aussi un fichier Legacy

 

2)wuauserv Service is not running.

C'est Windows Update. il doit être lancé en automatique

ATTENTION!=====> C:\Windows\system32\qmgr.dll FILE IS MISSING AND SHOULD BE RESTORED.

 

Voici un lien Microsoft Fixit pour réparer les problèmes d'Update

http://go.microsoft.com/?linkid=9767096&entrypointid=MATSKB

 

Vérification des services:

Ces services doivent être lancés en automatique

Dhcp Service is not running.

 

Mise à jour Automatique(Wuauserv)

Service de cryptographie(Cryptsvc)

Service de Tranfert Intelligent(Bits)

Windows Installer(MSIServer)

Pour le faire Démarrer->Exécuter->Service.msc

Il peut être nécessaire de désactiver Antivirus et Parefeu

 

Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

- Démarrer->Panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Désactiver l'UAC

Démarrer->Exécuter

Dans la fenêtre d'invite de commande qui apparaît, tapez les commandes suivantes,une à une et validez par <Entrée>

net stop wuauserv

regsvr32 wuapi.dll

regsvr32 wups.dll

regsvr32 wuaueng.dll

regsvr32 wucltui.dll

regsvr32 atl.dll

regsvr32 MSXML3.dll

net start wuauserv

 

redémarrez et testez.

[Bobybol]

Bonjour Pear

 

Alors pas mal de choses à dire :

 

En premier lieu, la commande " sfc / scannow " ne fonctionne pas, au bout de 96% d'analyses, la fenêtre me dit " la protection des ressources windows a trouvé des fichiers endommagés mais n'a pas réussi à tous les réparer " ...

 

Ensuite j'ai lancé le cbslog.bat " et voici le rapport qui en est sorti : © CJoint.com, 2012

 

Sinon l'outil de réparation Update de Microsoft n'a pas marché.

 

Les services " Mise à jour Automatique(Wuauserv) " et " Service de Tranfert Intelligent(Bits) " ne se trouvent pas dans " Services.msc "

 

Et deux messages d’erreurs sont survenu pour l'execution de " regsvr32 wucltui.dll " " regsvr32 atl.dll " dans " Exécuter "

 

Merci à vous, bonne journée

[pear]

Essayez cette méthode:

 

http://www.forum-vista.net/forum/topic11536.html

[Bobybol]

Bonsoir Pear

 

J'ai finalement opté pour une réinstallation d'usine de ma machine, mon frère m'ayant ramené de quoi pouvoir procéder à cela.

 

Merci beaucoup à vous en tout cas d'avoir prit la peine de m'aider

 

Un grand merci à vous et à l'équipe de Zebulon !

Bonne continuation