Security-X
Forum Security-X => Désinfections => Discussion démarrée par: domi1968 le janvier 07, 2012, 14:06:18
-
Bonjour,
Plus d'accès internet, problème de DNS, apparemment ZeroAccess présent sur un pc fixe en XP sp 3... Que dois je faire à cela ?
Merci pour votre aide..
Domi ::)
-
Bonjour,
apparemment ZeroAccess présent sur un pc fixe en XP sp 3
Quelqu'un l'a détecté ? un antivirus ou un outil que tu aurais utilisé ?
Pour voir : (outil à télécharger sur un pc connecté bien sûr puis transfert via usb)
1) Télécharge TDSSKiller (http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip) de Kaspersky sur ton bureau.
- Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
- Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
- Clique alors sur le bouton "Start Scan".
- Laisse le scan s'effectuer.
- Dans la fenêtre de résultat :
- Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
- Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
- Pour la partie "Suspicious object" laisse sur "Skip"
- /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
- Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
- Clique enfin sur "Continue"
- Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
- Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
2) Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
- Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Note : Les rapports sont aussi enregistrés sur le bureau
-
Merci pour ce début de solution que je vais appliquer dès ce week end.
-
Bonjour,
Voici les deux rapports demandés...
http://pjjoint.malekal.com/files.php?id=20120119_z7m15t5r10d11
http://pjjoint.malekal.com/files.php?id=20120119_q5u158j8u10
Merci de ton aide
P.S infection détectée par Roguekiller la première fois par le propriétaire du pc
-
Re,
Il me manque le rapport Extra.txt s'il te plait.
-
Désolé,
Voici le fichier manquant.
http://pjjoint.malekal.com/files.php?id=20120120_u12w13g7y12e8
Bonne soirée
-
Re,
Supprime les programmes suivants (si présents ) :
- J2SE Runtime Environment 5.0 Update 5
- Java(TM) 6 Update 4
- Java(TM) 6 Update 7
- Yontoo Layers Runtime 1.10.01 (lié à des sponsors publicitaire)
- SearchCore for Browsers (adware)
- Windows iLivid Toolbar (idem)
2) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
SRV - [2011/12/07 17:12:26 | 000,068,648 | R--- | M] (iS3, Inc.) [Auto | Running] -- c:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe -- (szserver)
DRV - [2011/09/26 11:21:00 | 000,061,328 | R--- | M] (iS3 Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\szkg.sys -- (szkg5)
DRV - [2011/09/26 11:21:00 | 000,061,328 | R--- | M] (iS3 Inc.) [Kernel | Boot | Stopped] -- C:\WINDOWS\system32\drivers\is3srv.sys -- (is3srv)
DRV - [2011/08/16 16:48:30 | 000,059,080 | R--- | M] (iS3, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\szkgfs.sys -- (szkgfs)
CHR - default_search_provider: YouGoo (Enabled)
CHR - default_search_provider: search_url = http://www.yougoo.fr/meteo?search&q={searchTerms}
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (SearchCore for Browsers) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files\SearchCore for Browsers\SearchCore for Browsers\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (no name) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {D3028143-6145-4318-99D3-3EDCE54A95A9} - No CLSID value found.
O3 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\..\Toolbar\WebBrowser: (no name) - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\control panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O37 - HKU\S-1-5-21-1518887716-1529261402-468512711-1008\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2011/06/18 17:11:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
[2011/06/26 15:48:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HP_Owner\Application Data\searchquband
[2011/10/27 12:48:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HP_Owner\Application Data\searchqutoolbar
@Alternate Data Stream - 128 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:8CE601F5
@Alternate Data Stream - 119 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8
:Files
ipconfig /flushdns /c
c:\Program Files\Common Files\iS3
C:\Program Files\SearchCore for Browsers
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
3) Télécharge ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) (de sUBs) sur ton bureau (! pas ailleurs!).
/!\ Ferme tous tes programmes et déconnecte toi d'internet.
/!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\
- Double clique sur Combofix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)
Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire
- Valide les conditions d'utilisations
- L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
- S'il est demandé d'installer la console de récupération, accepte.
- Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
- Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.
Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
-
Suite...
http://pjjoint.malekal.com/files.php?id=20120120_j14c10d14i10p12
http://pjjoint.malekal.com/files.php?id=20120120_d15i8q13m5w10
Merci encore
-
Re,
Tu as utilisé un outil nommé Sirefef Remover ? un outil contre zeroaccess avant ma prise en charge ?
Comment se comporte le pc maintenant ?
-
Bonjour,
Visiblement le poste fonctionne de nouveau normalement et même plus rapidement qu'avant, l'accès à internet a été rétabli... merci.
Pour l'utilitaire dont tu parles il était présent sur le bureau, mais je ne l'ai pas personnellement utilisé. En enlevant les rapports et les programmes utilisés je viens de le supprimer.
Reste t'il qq chose à faire de plus ?
-
Re,
Une question quel est le mode de transmission de ce virus Zero-Access ? Peut on éviter d'être contaminé ?
-
Re,
zeroaccess :
http://www.malekal.com/2011/08/22/zeroaccesssirefef-remover/
généralement exploit web car Java ou Flash/reader pas à jour.
On va conclure et mettre à jour justement.
Je vais virer les restes laissé par sirefremover :
1) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:Services
SirefefRemover
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
2) Télécharge AdwCleaner (http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner) (de Xplode) sur ton Bureau.
/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\
- Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Suppression.
- Valide l'avertissement.
- Si le pc demande à redémarrer, accepte.
- Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
3) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
4) Désinstalle AdwCleaner :
- Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"
- Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.
5) Purge de la restauration système :
Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :
XP :
http://www.inforumatique.fr/forum/la-restauration-du-systeme-t352.html
(Fin du tuto)
7) Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Si une des lignes marque "OUT", clique sur Update correspondant à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
-
Bonjour,
Séjour à l'étranger pour cet ordi temporairement pas sous la main même si j'aurai préféré finir... Dès qu'il revient par là je fais signe...
Merci ...
-
Re,
S'il est pas à jour et qu'il navigue avec , on a fait tout cela pour que dalle !!!
Mais bon ...
-
La prochaine fois je ne laisse pas repartir l'ordinateur tant que nous ne sommes pas au bout du bout ...
Message bien reçu...