Zero Access [résolu]

Invité

Bonsoir,
Merci d'avance pour votre aide.
Voici mon problème, je suis au moins infecté par "Zero Access".
Malwarebytes'Anti-malware ne trouve rien en mode rapide mais bloque en mode complet sur le fichier :
C:\windows\system32\config\systemprofile\appdata\local\microsoft\internet explorer\DOMStore\W21ZR80L\www.mcclatchydc[1].xml

Combofix bloque également : partie 48.

Depuis 15 jours, j'ai été infecté par trois virus (Pub sonore, réapparition du bureau contre "rançon" et gendarmerie) qui ont apparemment disparu avec l'utilisation de Malwarebytes'Anti-malware.

Ci-joint le dernier rapport de Roguekiller :

Code:: RogueKiller V7.6.3 [08/07/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Erwan [Droits d'admin]
Mode: Recherche -- Date: 10/07/2012 19:48:31

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 3 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{B171549D-EC58-45C0-AC87-1A03D490C942} : NameServer (212.27.53.252,212.27.54.252) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{B171549D-EC58-45C0-AC87-1A03D490C942} : NameServer (212.27.53.252,212.27.54.252) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_32\desktop.ini --> FOUND
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_64\desktop.ini --> FOUND

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD3200BEVT-22ZCT0 +++++
--- User ---
[MBR] 540a13d4c8685ffd43b91bc5d0fd0cd3
[BSP] a212117bbe7ac560838190b7570bea84 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12288 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25167872 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 25372672 | Size: 292846 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : >
RKreport[1].txt

Bonsoir,

Relance roguekiller et clic sur scan
une fois le scan terminé, clic sur suppression et poste le rapport .

Ensuite fait ceci :
Télécharger ZHPDiag http://telechargement.zebulon.fr/zhpdiag.html
Double-cliquer sur ZHPDiag.exe puis suivre les étapes de l'installation.
Cocher la case "Exécuter ZHPDiag" à la fin de l'installation puis cliquer sur "Terminer".
L'installation est terminée, 3 icônes sont créées sur le bureau.
Double-cliquer sur le raccourci portant le nom "ZHPDiag"
Cliquer sur le tournevis (icône "options" à droite) et cliquer sur "tous"
Choisir l'option "Lancer le diagnostic" (1ère loupe en haut a gauche).
ZHPDiag va alors analyser le contenu de l'ordinateur à la recherche d'informations sur le système d'exploitation, la base de registre...
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

Invité

Merci beaucoup pour votre réactivité..
Voici le rapport roguekiller : http://cjoint.com/?BGkvQ2bC48Y
Voici le rapport ZHPDiag : http://cjoint.com/?BGkvLDKPf0A

Tu as redemarré le pc après avoir supprimé avec Roguekiller?
Si ce n'est pas deja fait, fait le puis refait un scan avec roguekiller pour voir si il a bien supprimé les fichiers.

Ensuite fait ceci : télécharge sur ton bureau http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip , dezippe le
tu as aussi directement l'executable là : http://support.kaspersky.com/fr/downloads/utils/tdsskiller.exe
lance le programme et clique sur Start scan
Laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
Si des fichiers infectés sont trouvées, une fenêtre va s'ouvrir, Vérifies que :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l'option cochée sur Skip
Si Rootkit.Win32.ZAccess. est détecté règle sur cure en haut , et delete en bas
Clique sur Continue puis sur Reboot now pour redémarrer le PC si c'est proposé.
Héberge
le rapport sur www.cjoint.com et colle le lien dans ta prochaine réponse (Il est
aussi sauvegardé à la racine de ta partition système sous le nom
C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de
l'outil, HH.MM.SS heure de passage).

Invité

Les fichiers son toujours là sur RK : http://cjoint.com/?BGkwAtsUmQ6
rien sur tdss : http://cjoint.com/?BGkwIQrESdz
Malwarebytes'Anti-malware bloque toujours ainsi que combofix

Le probleme c'est que si c'est une infection recente, tdsskiller ne fera rien tant que malwarebytes n'aura pas supprimé le fichier responsable de la reapparition du rootkit.

Heureusement, ca n'est pas les outils qui manquent pour nettoyer, et on a plusieurs possibilité.

Télécharge Webroot ZeroAccess Remover depuis ce lien : http://anywhere.webrootcloudav.com/antizeroaccess.exe
Execute le programme
Répond Yes (oui) à la question, en tapant sur Y puis Entrée
Si le programme trouve l’infection, des lignes rouges doivent apparaître comme ici : http://www.malekal.com/wp-content/uploads/WebRoot_ZeroAccess_Remover.png
Le programme t'informe qu’un des fichiers systèmes a été patché et vous propose de le nettoyer. comme cela : http://www.malekal.com/wp-content/uploads/WebRoot_ZeroAccess_Remover3.png
Tape Y (oui) et Entrée pour lancer le nettoyage.
Si l’opération a réussi, tu dois avoir le message Cleaned en vert. comme là : http://www.malekal.com/wp-content/uploads/WebRoot_ZeroAccess_Remover4.png
Appuye sur une touche pour quitter et redémarre l’ordinateur.

Si tu as bien un rootkit de detecté et supprimé avec le message CLEANED en vert, refais un scan zhpdiag, si webroot ne donne rien, fait ceci :

Telecharge yorkyt.exe sur ton bureau et lance le
Le programme te demandera de redemarrer pour installer un driver, puis redemarrer une seconde fois pour desinfecter
Après la desinfection, un message s'affichera, il te suffira de valider et tu devrais pouvoir retrouver ton bureau

Edit : tu peux me dire qui detecte l'infection?

Invité

Message d'erreur : Webroot ZeroAccess ne marche que pour les systeme 32 bits, je suis en 64

Essaye yorkyt, il est censé etre performant mais malheureusement je ne l'ai pas encore testé moi meme

sinon il y a gmer :
Tu peux télécharger Gmer depuis la page http://www.gmer.net/#files en cliquant sur Download EXE. Ceci permet de télécharger le programme renommé de facon aléatoire pour tromper les rootkits qui peuvent reconnaitre le programme.

ATTENTION : Avant de lancer Gmer, désactives toutes les protections du pc (antivirus, antispywares, pare-feu).
Un pré-scan se fera au lancement, puis tu peux lancer le scan complet.
Le scan se fait à partir de l’onglet Rootkit puis en cliquant sur le bouton Scan en bas à droite.

En effectuant un clic droit sur la fenêtre, il est possible de choisir le type de scan. Pour un scan rapide, choisis l'option "Only non MS files". Cela évite de lister les fichiers légitimes de microsoft mais détecte
la quasi totalité des infections.

Les informations sur le scan s’affichent alors, les éléments détectés comme rootkit apparaissent en rouge dans chaque section.
Sur ces lignes rouges:
- Services: Clique droit puis delete service
- Process: Clique droit puis kill process
- Adl, file: Clique droit puis delete files

Tuto : http://www.malekal.com/tutorial_GMER.php

Le bouton Copy permet de récupérer le rapport pour effectuer un copier/coller.
Le bouton Save permet l’enregistrement du rapport sur le disque au format texte.
Héberge le rapport et colle le lien sur le forum.

Invité

Suite à tes conseils,
J'ai exécuté Yorkyt, une fenêtre m'a indiqué que le ménage était fini après un reboot (pas d'interface ni de rapport)
j'ai relancé Roguekiller, voici les résultats :http://cjoint.com/?BGlbadrhCBa
et zhpdiag :http://cjoint.com/?BGlbbeyRYnk
A priori toujours des infections
J'ai exécuté Gmer, il a bloqué

Decidemment il est coriace celui la.
Tu as la dernière version de combofix?
Tu as renommé combofix au moment de le télécharger?
En scan rapide Malwarebyte plante aussi?
Tu as essayer combofix et malwarebytes en mode sans echec?
Est ce que combofix a collé un rapport dans ton lecteur C ? Si oui, poste le moi meme si il est incomplet

Edit : je vais me coucher, essaye combofix en mode sans echec (retelecharge le et change son nom lors du téléchargement pour tromper l'infection), et malwarebytes aussi, mais seulement un scan rapide. En scan rapide, malwarebytes devrait tout de même detecter le rootkit et pouvoir partiellement le supprimer pou l'empecher de revenir.

Invité

Bonjour,
Suite de la procédure :
J'ai fait tourner cette nuit Combofix en mode sans échec, voici le rapport :http://cjoint.com/?BGljppOq6xT
Puis après reboot et toujours en mode sans échec, j'ai relancé malwarebytes en mode complet, il bloque toujours sur la même partition de fichier mais .xml différent (C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Internet Explorer\DOMStore\W21ZR80L\.xml]www.powerlineblog[1].xml)
Le Pc a planté, j'ai rebooté.
J'ai relancé Roguekiller, toujours le même rapport d'erreur : http://cjoint.com/?BGljvZW1J2o
NOT REMOVED, USE DNSFIX
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!

En mode rapide, malwarebytes ne trouve rien : http://cjoint.com/?BGljN1YDfvn

Invité

petite erreur c'est C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Internet Explorer\DOMStore\W21ZR80L\www.powerlineblog[1].xml ou malwarebytes plante. Je ne sais pas ce que c'est que ce répertoire.

Megaman/Megawoman Messages : 237 Réputation : 5

Apparement c'est un répertoire d' Internet explorer qui agit sur ton "profil système". Après je peux faire une suggestion : DOMStore = magasin, achat, boutique = achat en ligne, téléchargement?

Invité

Bonjour,
Mes fichiers ne sont pas cachés et pourtant je ne trouve pas ce dossier.
Après ce chemin, je ne vois plus rien dans le répertoire:
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\

Bon on a deja avancé un peu, combofix a fat du ménage.

Puisque l'infection revient on va passer au CD live.

Telecharge http://www.malekal.com/download/UBCD4WinBuilder.iso et grave l'image sur un cd avec par exemple DeepBurner qui est tres simple a utiliser.

ATTENTION : grave bien le fichier iso en tant qu'image pour pouvoir demarrer dessus.

Ensuite, suis ce tuto a partir de la 2e capture d'ecran : http://www.malekal.com/2011/10/19/zaccess-sur-windows-64-bits-consrv-winsrv/

Si tu as des questions ou que tu ne comprends pas quelque chose, demande moi

Invité

Merci pour les infos, par contre je n'ai pas de lecteur cd sur le pc.

Alors ca c'est evidemment problematique.
Ton pc te permet de demarrer sur une clé usb?

Invité

Je pense que oui, je vais voir dans le bios...

C'est peut-être faisable à partir d'une clef USB bootable non?

oui justement c'est ce qu'on va voir ^^
Si le bios permet de demarrer sur une clé usb, fais ceci : http://fspsa.free.fr/ubcd4win.htm#ubusb et ensuite reprend le tuto pour supprimer l'infection : http://www.malekal.com/2011/10/19/zaccess-sur-windows-64-bits-consrv-winsrv/

Invité

C'est mort ...

USB HDD
USB CDROM
USB FDD

Je vais devoir acheter un disque dur externe (il m'en faut un de toute façon) ou me faire prêter un lecteur de CD externe

mais non c'est tout bon, j'ai la même chose sur mon pc, il suffit de trouver celui qui reconnaitra la clé usb Clin d oeil

C'est mal foutu parce qu'on pense qu'a des disque dur externes, mais il me semble que FDD c'est Fast disk drive, donc peut-être que celui la reconnaitra la clé (tu peux de toute facon deja preparer la clé et ensuite esayer les trois, ca n'endommgera pas le pc)

Mais il faut une clé usb vierge parce qu'elle sera probablement formatée et si possible une taille de 1Go ou plus (je ne sais pas quelle taille prends ubcd sur la clé mais j'ai une clé bootable moi qui fait 500Mo)

J'allais dire, je crois que sur le FDD ça passe.

Invité

Je n'arrive pas à créer le fichier de démarrage.
Impossible de trouver le fichier i386

Invité

En fait je ne risque pas de le trouver, sous seven il n'y en a pas