Auteur Sujet: ZeroAccess détecté... ?  (Lu 8179 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne domi1968

  • Members
  • *
  • Messages: 188
  • La vérité change si vite...
ZeroAccess détecté... ?
« le: janvier 07, 2012, 14:06:18 »
Bonjour,

Plus d'accès internet, problème de DNS, apparemment ZeroAccess présent sur un pc fixe en XP sp 3... Que dois je faire à cela ?

Merci pour votre aide..

Domi  ::)
Domi1968

Security-X

ZeroAccess détecté... ?
« le: janvier 07, 2012, 14:06:18 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : ZeroAccess détecté... ?
« Réponse #1 le: janvier 07, 2012, 15:44:39 »
Bonjour,

Citer
apparemment ZeroAccess présent sur un pc fixe en XP sp 3

Quelqu'un l'a détecté ? un antivirus ou un outil que tu aurais utilisé ?


Pour voir : (outil à télécharger sur un pc connecté bien sûr puis transfert via usb)

1) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.
  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire),  met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

Poste son contenu dans ta prochaine réponse.


2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau

Hors ligne domi1968

  • Members
  • *
  • Messages: 188
  • La vérité change si vite...
Re : ZeroAccess détecté... ?
« Réponse #2 le: janvier 12, 2012, 19:26:57 »
Merci pour ce début de solution que je vais appliquer dès ce week end.
Domi1968

Hors ligne domi1968

  • Members
  • *
  • Messages: 188
  • La vérité change si vite...
Re : ZeroAccess détecté... ?
« Réponse #3 le: janvier 19, 2012, 12:44:24 »
Bonjour,

Voici les deux rapports demandés...

http://pjjoint.malekal.com/files.php?id=20120119_z7m15t5r10d11

 http://pjjoint.malekal.com/files.php?id=20120119_q5u158j8u10

Merci de ton aide

P.S infection détectée par Roguekiller la première fois par le propriétaire du pc

Domi1968

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : ZeroAccess détecté... ?
« Réponse #4 le: janvier 19, 2012, 14:12:14 »
Re,

Il me manque le rapport Extra.txt s'il te plait.

Hors ligne domi1968

  • Members
  • *
  • Messages: 188
  • La vérité change si vite...
Re : ZeroAccess détecté... ?
« Réponse #5 le: janvier 20, 2012, 18:43:40 »
Désolé,

Voici le fichier manquant.

http://pjjoint.malekal.com/files.php?id=20120120_u12w13g7y12e8

Bonne soirée
Domi1968

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : ZeroAccess détecté... ?
« Réponse #6 le: janvier 20, 2012, 19:07:39 »
Re,

Supprime les programmes suivants (si présents ) :

- J2SE Runtime Environment 5.0 Update 5
- Java(TM) 6 Update 4
- Java(TM) 6 Update 7
- Yontoo Layers Runtime 1.10.01 (lié à des sponsors publicitaire)
- SearchCore for Browsers (adware)
- Windows iLivid Toolbar (idem)


2) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


    :OTL
    SRV - [2011/12/07 17:12:26 | 000,068,648 | R--- | M] (iS3, Inc.) [Auto | Running] -- c:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe -- (szserver)
    DRV - [2011/09/26 11:21:00 | 000,061,328 | R--- | M] (iS3 Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\szkg.sys -- (szkg5)
    DRV - [2011/09/26 11:21:00 | 000,061,328 | R--- | M] (iS3 Inc.) [Kernel | Boot | Stopped] -- C:\WINDOWS\system32\drivers\is3srv.sys -- (is3srv)
    DRV - [2011/08/16 16:48:30 | 000,059,080 | R--- | M] (iS3, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\szkgfs.sys -- (szkgfs)
    CHR - default_search_provider: YouGoo (Enabled)
    CHR - default_search_provider: search_url = http://www.yougoo.fr/meteo?search&q={searchTerms}
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O2 - BHO: (SearchCore for Browsers) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files\SearchCore for Browsers\SearchCore for Browsers\BrowserConnection.dll (Bandoo Media, inc)
    O2 - BHO: (no name) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
    O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
    O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
    O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {D3028143-6145-4318-99D3-3EDCE54A95A9} - No CLSID value found.
    O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - No CLSID value found.
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\control panel present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present
    O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
    O37 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\...exe [@ = exefile] -- Reg Error: Key error. File not found
    [2011/06/18 17:11:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    [2011/06/26 15:48:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HP_Owner\Application Data\searchquband
    [2011/10/27 12:48:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HP_Owner\Application Data\searchqutoolbar
    @Alternate Data Stream - 128 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:8CE601F5
    @Alternate Data Stream - 119 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
    @Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8

    :Files
    ipconfig /flushdns /c
    c:\Program Files\Common Files\iS3
    C:\Program Files\SearchCore for Browsers

    :Commands
    [emptytemp]

  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


3) Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

/!\ Ferme tous tes programmes et déconnecte toi d'internet.

/!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note  : s'il n'apparait pas, il se trouve ici C:\Combofix.txt

Hors ligne domi1968

  • Members
  • *
  • Messages: 188
  • La vérité change si vite...
Domi1968

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : ZeroAccess détecté... ?
« Réponse #8 le: janvier 20, 2012, 21:28:14 »
Re,

Tu as utilisé un outil nommé Sirefef Remover ? un outil contre zeroaccess avant ma prise en charge ?

Comment se comporte le pc maintenant ?

Hors ligne domi1968

  • Members
  • *
  • Messages: 188
  • La vérité change si vite...
Re : ZeroAccess détecté... ?
« Réponse #9 le: janvier 21, 2012, 10:41:20 »
Bonjour,

Visiblement le poste fonctionne de nouveau normalement et même plus rapidement qu'avant, l'accès à internet a été rétabli... merci.

Pour l'utilitaire dont tu parles il était présent sur le bureau, mais je ne l'ai pas personnellement utilisé. En enlevant les rapports et les programmes utilisés je viens de le supprimer.

Reste t'il qq chose à faire de plus ?
Domi1968

Hors ligne domi1968

  • Members
  • *
  • Messages: 188
  • La vérité change si vite...
Re : ZeroAccess détecté... ?
« Réponse #10 le: janvier 21, 2012, 11:45:34 »
Re,

Une question quel est le mode de transmission de ce virus Zero-Access ? Peut on éviter d'être contaminé ?

Domi1968

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : ZeroAccess détecté... ?
« Réponse #11 le: janvier 21, 2012, 18:44:02 »
Re,

zeroaccess :
http://www.malekal.com/2011/08/22/zeroaccesssirefef-remover/

généralement exploit web car Java ou Flash/reader pas à jour.

On va conclure et mettre à jour justement.

Je vais virer les restes laissé par sirefremover :

1) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.

    :Services
    SirefefRemover

    :Commands
    [emptytemp]

  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.



    3) Relance  OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    4) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.


    5) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-systeme-t352.html
    (Fin du tuto)


    7) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Si une des lignes marque "OUT", clique sur Update correspondant à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

Hors ligne domi1968

  • Members
  • *
  • Messages: 188
  • La vérité change si vite...
Re : ZeroAccess détecté... ? (STAND-BY)
« Réponse #12 le: février 22, 2012, 12:27:35 »
Bonjour,

Séjour à l'étranger pour cet ordi temporairement pas sous la main même si j'aurai préféré finir... Dès qu'il revient par là je fais signe...

Merci ...
Domi1968

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : ZeroAccess détecté... ?
« Réponse #13 le: février 23, 2012, 11:53:15 »
Re,

S'il est pas à jour et qu'il navigue avec , on a fait tout cela pour que dalle !!!

Mais bon ...

Hors ligne domi1968

  • Members
  • *
  • Messages: 188
  • La vérité change si vite...
Re : ZeroAccess détecté... ?
« Réponse #14 le: février 23, 2012, 14:44:35 »
La prochaine fois je ne laisse pas repartir l'ordinateur tant que nous ne sommes pas au bout du bout ... 

Message bien reçu...
Domi1968