[Résolu] Infection rootkit ZeroAccess

[man50]

bonsoir,

voici donc les différents rapports

 

ZHP:

Rapport de ZHPFix 2013.6.4.1 par Nicolas Coolman, Update du 04/06/2013

Fichier d'export Registre :

Run by Coxyman at 06/06/2013 20:42:54

High Elevated Privileges : OK

Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)

 

Corbeille vidée

 

========== Module(s) mémoire ==========

SUPPRIME Memory Module: C:\Users\Coxyman\AppData\Local\Temp\AskSLib.dll

 

========== Clé(s) du Registre ==========

ABSENT Key: CLSID ASIC: \SOFTWARE\Microsoft\Active Setup\Installed Components\S-1-5-21-3654375649-420120372-592638741-1001 - {4406WM8P-BQ7J-2315-U415-HRIETL255EUF}

SUPPRIME Key: HKCU\Software\Ask.com.tmp

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope

SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope

SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP

SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP

SUPPRIME FirewallRaz (Public) : NetPres-In-TCP

SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP

SUPPRIME FirewallRaz (Private) : TCP Query User{7497B4AC-6BA0-48BF-A9BF-64CBFA18165E}E:\logiciel\emule\emule.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{C075AF97-63FC-4218-822A-758A4BA87D98}E:\logiciel\emule\emule.exe

SUPPRIME FirewallRaz (Private) : TCP Query User{3D080EB8-7E2D-4074-974D-BE32B5D1642B}E:\jeux\call of duty 4 - modern warfare\iw3mp.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{5CB55587-0905-44ED-B083-8C617279A779}E:\jeux\call of duty 4 - modern warfare\iw3mp.exe

 

========== Préférences navigateur ==========

SUPPRIME Mozilla Pref: user_pref("avg.install.userHPSettings", "");

SUPPRIME Mozilla Pref: user_pref("avg.install.userSPSettings", "");

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\ProgramData\Media Get LLC

SUPPRIME Folder: C:\Users\Coxyman\AppData\Roaming\Media Get LLC

SUPPRIME Folder: C:\Users\Coxyman\AppData\Local\Media Get LLC

SUPPRIME Temporaires Windows

SUPPRIME Flash Cookies

 

========== Fichier(s) ==========

ABSENT Folder/File: c:\programdata\media get llc

ABSENT Folder/File: c:\users\coxyman\appdata\roaming\media get llc

ABSENT Folder/File: c:\users\coxyman\appdata\local\media get llc

SUPPRIME File: c:\users\coxyman\desktop\ie privacy keeper.lnk

ABSENT File: d:\logiciel\privacykeeper\ie privacy keeper\ie privacy keeper\ieprivacykeeper.exe

ABSENT Folder/File: e:\logiciel\malware1\malwarebytes.anti-malware.v1.32.multilangages.incl-keygen.

SUPPRIME File*: c:\users\coxyman\appdata\local\temp\askslib.dll

SUPPRIME Temporaires Windows

 

JRT:

© CJoint.com, 2012

 

ADWCLEANER:

# AdwCleaner v2.301 - Rapport créé le 06/06/2013 à 21:25:46

# Mis à jour le 16/05/2013 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)

# Nom d'utilisateur : Coxyman - COXYMAN-PC

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Coxyman\Desktop\AdwCleaner-2.301.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [Registre] *****

 

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v10.0.9200.16576

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v21.0 (fr)

 

Fichier : C:\Users\Coxyman\AppData\Roaming\Mozilla\Firefox\Profiles\gly9j7iz.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v27.0.1453.94

 

Fichier : C:\Users\Coxyman\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s5].txt - [965 octets] - [06/06/2013 21:25:46]

 

########## EOF - C:\AdwCleaner[s5].txt - [1024 octets] ##########

 

cordialement

[Apollo]

Pour moi, cela a l'air bon mais tu peux toujours faire une analyse avec ceci: Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français ou Apollo Et Compagnie :: Analyser avec DrWeb CureIt.

 

------------------------------

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

--------------------------

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

 

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

 

 

Delfix s'auto-détruira ensuite.

 

++

[man50]

bonsoir,

merci de toute ses information mais j ai toujours un souci.

je m'explique,

je souhaite mettre a jour ccleaner mais lors de la maj et du telechargement je ne sais quel logiciel concidère que ce fichier télécharger comme un virus

"CCsetup4 ce programme contenait un virus et a été supprimé"

la maj de Windows n'est tjrs pas possible...

j'ai été sur votre lien Apollo Et Compagnie :: A vérifier de temps en temps, important! pensant que cela était bon mais lors de la maj de adobe reader voila ce qu' il me met (il le telecharge mais c est lors de l execution ou enregistrement que cela coince..)'install-reader11....contenait un virus et a été supprimé.

pour le reste c est la meme chose...

désolé de vous poser toutes ces questions.

quand a mon DD cité dans un post plus haut y a t il une solution ou il est foutu...

cordialement

[Apollo]

Pour le disque dur secondaire ou externe, je n'en sais rien; en sécurité on ne doit pas faire d'automédication, exactement comme en cas de maladie.

 

Il y a des conseillers en sécurité ici et ailleurs qui sont là pour aider les gens; ils ont l'habitude de ce genre de "boulot".

 

C'est trop sérieux et certains outils ne sont pas à mettre dans toutes les mains; il faut être formé pour les utiliser et créer des scripts quand c'est nécessaire.

 

Aucun des téléchargements que je propose ne contient évidement de virus!

 

Sur un pc propre, grave un cd live: Apollo Et Compagnie :: Rescue Disk Kaspersky et démarre le pc avec le cd inséré dans le lecteur, il devrait booter dessus pour analyser et désinfecter le plus gros.

 

Si cela ne devait rien arranger, je ne vois plus que le formatage...

 

Bonne fin de soirée.

 

++

Modifié le 6 juin 2013 par Apollo

[man50]

bonjour, merci pour toutes ses informations et le temps pris pour essayer de me depanner

le pc est trop infecter je penche pour une remise propre du système

cordialement