[Résolu] Infection rootkit ZeroAccess

[man50]

bonjour,

système Windows7 familiale premium sp1.

je viens vers vous aujourd'hui car suite a une infection rootkit zeroaccess decouverte par le passage de combofix(comme je fait tous les mois)

je me suis retrouvé lors du redémarrage avec des soucis de maj de Windows, et de telechargement style ccleaner,glary etc etc..(les concidère comme des virus...)

ce que je ne comprend c est que ni mon antivirus et malware ne l'on pas détecté je n'ai rien télécharger a part un logiciel de musique pour mon fils pour ces cours ..je pense que je suis tombé sur un mauvais logiciel enfin passons...

d'où ma question mon système est il "sauvable ou je réinstalle"?

 

d avance merci pour vos réponses

[Apollo]

Bonjour,

 

1 Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

Télécharger RogueKiller (Site Officiel)

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven/8, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

----------------------------------

 

2) Clique sur Suppression et poste le rapport.

 

------------------

@++

[man50]

bonjour,

merci de prendre un peu de temps pour voir mon souci voici donc les rapports:

1er rapport:

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur : Coxyman [Droits d'admin]

Mode : Recherche -- Date : 06/06/2013 14:12:26

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[84] : NtCreateSection @ 0x82C4213D -> HOOKED (Unknown @ 0x8FFD8736)

SSDT[299] : NtRequestWaitReplyPort @ 0x82C5CB22 -> HOOKED (Unknown @ 0x8FFD8740)

SSDT[316] : NtSetContextThread @ 0x82CFC851 -> HOOKED (Unknown @ 0x8FFD873B)

SSDT[347] : NtSetSecurityObject @ 0x82C207F7 -> HOOKED (Unknown @ 0x8FFD8745)

SSDT[368] : NtSystemDebugControl @ 0x82CA47D2 -> HOOKED (Unknown @ 0x8FFD874A)

SSDT[370] : NtTerminateProcess @ 0x82C79D86 -> HOOKED (Unknown @ 0x8FFD86D7)

S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8FFD875E)

S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8FFD8763)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 www.100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3200826AS ATA Device +++++

--- User ---

[MBR] 25e0cd3a1167d55d921f9481fbbef945

[bSP] cd6fa63a7a0228ba2cd33d3dbaecd512 : Windows 7/8 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 36766 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 75505500 | Size: 153903 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_06062013_141226.txt >>

RKreport[1]_S_06062013_141226.txt

 

2nd rapport avec la suppression:

 

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur : Coxyman [Droits d'admin]

Mode : Suppression -- Date : 06/06/2013 14:14:00

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[84] : NtCreateSection @ 0x82C4213D -> HOOKED (Unknown @ 0x8FFD8736)

SSDT[299] : NtRequestWaitReplyPort @ 0x82C5CB22 -> HOOKED (Unknown @ 0x8FFD8740)

SSDT[316] : NtSetContextThread @ 0x82CFC851 -> HOOKED (Unknown @ 0x8FFD873B)

SSDT[347] : NtSetSecurityObject @ 0x82C207F7 -> HOOKED (Unknown @ 0x8FFD8745)

SSDT[368] : NtSystemDebugControl @ 0x82CA47D2 -> HOOKED (Unknown @ 0x8FFD874A)

SSDT[370] : NtTerminateProcess @ 0x82C79D86 -> HOOKED (Unknown @ 0x8FFD86D7)

S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8FFD875E)

S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8FFD8763)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 www.100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3200826AS ATA Device +++++

--- User ---

[MBR] 25e0cd3a1167d55d921f9481fbbef945

[bSP] cd6fa63a7a0228ba2cd33d3dbaecd512 : Windows 7/8 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 36766 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 75505500 | Size: 153903 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2]_D_06062013_141400.txt >>

RKreport[1]_S_06062013_141226.txt ; RKreport[2]_D_06062013_141400.txt

 

voilà

cordialement

[Apollo]

Re,

 

1) Relance RogueKiller et clique sur Host Raz

Poste le rapport stp.

 

--------------------

2 Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs!

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFT.txt)

 

Héberger sur Accueil de Cjoint.com pour ne pas planter le sujet.

 

--------------------------------

3) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

 

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[man50]

re bonjour,

petite question j ai un second DD sur le pc avec toute mes données pour le travail et mes photos mais celui ci a disparu de mon ordi et plante le bios au redémarrage suite a sft que faire..quand on a pas de bol merci d avance.je post ce rapport sft

 

© CJoint.com, 2012

Modifié le 6 juin 2013 par man50

[Apollo]

Re,

 

SFT ne touche pas aux autres lecteurs que le C et il ne supprime que les fichiers temporaires ou autres inutiles.

 

Le rapport ne montre rien d'autre d'ailleurs.

 

@++

[man50]

bonsoir,

d'accord donc du coup je sens un coup de pas de bol avec ce DD...

si il y aune soultion dans le même temps je suis preneur

voici le rapport de malware:

 

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org

 

Version de la base de données: v2013.06.03.08

 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 10.0.9200.16576

Coxyman :: COXYMAN-PC [administrateur]

 

06/06/2013 18:19:40

mbam-log-2013-06-06 (18-19-40).txt

 

Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 320884

Temps écoulé: 58 minute(s), 44 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 2

C:\Program Files\Microsoft Office\mini-KMS Activator EN\mKMSAct.exe (PUP.Hacktool) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\AutoKMS\AutoKMS.exe (Trojan.AutoKMS) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

cordialement

[Apollo]

Ah, je ne sais pas ce qui s'est passé avec ComboFix, tu ne devrais pas l'employer comme un outil à tout faire; il peut être dangereux s'il a un bug. (c'est déjà arrivé)

 

Je le mentionne d'ailleurs clairement dans ma signature.

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse.

 

 

@++

[man50]

re-bonsoir,

oui j ai bien cru comprendre...

enfin

voila le rapport ZHP:

 

© CJoint.com, 2012

 

cordialement

[Apollo]

Re,

 

1) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS\AutoKMS.exe (.not file.) [0]

O40 - ASIC: Installed Component - S-1-5-21-3654375649-420120372-592638741-1001 - {4406WM8P-BQ7J-2315-U415-HRIETL255EUF} -- Not Hexadécimal CLSID

O43 - CFD: 06/06/2013 - 16:01:32 - [0,001] ----D C:\ProgramData\Media Get LLC

O43 - CFD: 06/06/2013 - 16:01:33 - [0,003] ----D C:\Users\Coxyman\AppData\Roaming\Media Get LLC

O43 - CFD: 06/06/2013 - 16:01:33 - [0,000] ----D C:\Users\Coxyman\AppData\Local\Media Get LLC

C:\ProgramData\Media Get LLC

C:\Users\Coxyman\AppData\Roaming\Media Get LLC

C:\Users\Coxyman\AppData\Local\Media Get LLC

O4 - GS\Desktop: IE Privacy Keeper.lnk . (...) -- D:\logiciel\privacykeeper\IE Privacy Keeper\IE Privacy Keeper\IEPrivacyKeeper.exe (.not file.)

E:\logiciel\malware1\Malwarebytes.Anti-Malware.v1.32.Multilangages.Incl-Keygen.[emule-island.com].rar

[HKCU\Software\Ask.com.tmp]

O69 - SBI: prefs.js [Coxyman - gly9j7iz.default] user_pref("avg.install.userHPSettings", "");

O69 - SBI: prefs.js [Coxyman - gly9j7iz.default] user_pref("avg.install.userSPSettings", "");

[MD5.B28C334C03CEE7C5E829C43AE75DAE5A] [sPRF][06/06/2013] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Coxyman\AppData\Local\Temp\AskSLib.dll [248008]

[HKCU\Software\Ask.com.tmp]

firewallraz

emptytemp

emptyflash

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

--------------------------------

2) Télécharge Junkware Removal Tool sur le bureau: Junkware Removal Tool Download

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Afin de ne pas fausser les rapports, ne passer les outils qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: Accueil de Cjoint.com

 

 

 

 

-------------------------------

3) Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser les rapports, ne passer les outils qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

Logiciels et sponsors : Questions sur la Sécurité Windows

 

-------------------------

 

@++

Modifié le 6 juin 2013 par Apollo