Zeroaccess [résolu]

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

Bonjour, J'ai moi aussi un gros problème avec zeroaccess depuis cet après midi :
Tout d'abord je suis sous Windows 7 et mon antivirus est McAfee...
McAfee m'a tout d'abord prévenu qu'il y avais zeroaccess sur mon pc et qu'il fallait que je le redémarre pour qu'il puisse le supprimer, chose faite mais zeroaccess étais toujours présent, je l'ai encore redémarré mais toujours pareil! J'ai donc décidé de lancer une analyse mais au bout de 5 min McAfee m'a prévenu que mon pare-feu était désactivé, je
l'ai réactivé mais la 10 secondes plus tard il s'est encore désactivé tout seul! De plus, mon ventilateur tourne a bloc et internet rame comme jamais. J'ai cherché un peu et j'ai vu ce post...
J'ai fait une recherche avec roguekiller et mon rapport donne cela :

Code:: RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Bilette [Droits d'admin]
Mode: Recherche -- Date: 21/07/2012 04:07:09

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 11 ¤¤¤
[SUSP PATH] {320B1624-C4AC-4EEE-9C66-1331E54784E2}.job @ : C:\Users\Bilette\Desktop\sims 3\Crack\TS3.exe -> FOUND
[SUSP PATH] {EB6E24A1-B94F-4D00-91C5-3D97E1EFAFB6}.job @ : C:\Users\Bilette\Desktop\sims 3\Crack\TS3.exe -> FOUND
[SUSP PATH] {F6B70875-EABB-4139-A6BE-8465A7901851}.job @ : C:\Users\Bilette\Desktop\sims 3\Crack\TS3.exe -> FOUND
[IFEO] HKLM\[...]\Image File Execution Options : brastk.exe (svchost.exe) -> FOUND
[IFEO] HKLM\[...]\Image File Execution Options : mrt.exe (svchost.exe) -> FOUND
[IFEO] HKLM\[...]\Image File Execution Options : msseces.exe (svchost.exe) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{1e060fac-1fd1-474c-9011-30ce5dd8e92b}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\windows\installer\{1e060fac-1fd1-474c-9011-30ce5dd8e92b}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{1e060fac-1fd1-474c-9011-30ce5dd8e92b}\L --> FOUND
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_32\desktop.ini --> FOUND
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_64\desktop.ini --> FOUND

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 0cd6ad52f5165f1aee84dad147ddf121
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 14997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30716280 | Size: 119232 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 274904280 | Size: 342706 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: ST9500325AS +++++
--- User ---
[MBR] 0a6cc66336465dea0cf0c37fdbefbfd7
[BSP] e6c2cebec9d5914c6fe029aa4b621d92 : Windows Vista/7 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238468 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 488384512 | Size: 238468 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Merci d'avance pour votre aide

Bonjour,

McAfee ne sert à rien avec ce genre d'infection, tout comme la plupart des antivirus classiques.

Fais ceci pour voir :
1) relance roguekiller, et clic sur suppression, puis poste le rapport

2) télécharge sur ton bureau http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip , dezippe le
tu as aussi directement l'executable là : http://support.kaspersky.com/fr/downloads/utils/tdsskiller.exe
lance le programme et clique sur Start scan
Laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
Si des fichiers infectés sont trouvées, une fenêtre va s'ouvrir, Vérifies que :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l'option cochée sur Skip
Si Rootkit.Win32.ZAccess. est détecté règle sur cure en haut , et delete en bas
Clique sur Continue puis sur Reboot now pour redémarrer le PC si c'est proposé.
Héberge le rapport généré et colle le lien dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom
C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

3) pour verifier la présence du rootkit :
Télécharger ZHPDiag http://telechargement.zebulon.fr/zhpdiag.html
Double-cliquer sur ZHPDiag.exe puis suivre les étapes de l'installation.
Cocher la case "Exécuter ZHPDiag" à la fin de l'installation puis cliquer sur "Terminer".
L'installation est terminée, 3 icônes sont créées sur le bureau.
Double-cliquer sur le raccourci portant le nom "ZHPDiag"
Cliquer sur le tournevis (icône "options" à droite) et cliquer sur "tous"
Choisir l'option "Lancer le diagnostic" (1ère loupe en haut a gauche).
ZHPDiag va alors analyser le contenu de l'ordinateur à la recherche
d'informations sur le système d'exploitation, la base de registre...
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

Merci bcp de ta reponse Smile

les 2 lien de rapports sont :
http://cjoint.com/?BGvmBeUU2Sx
http://cjoint.com/?BGvmCgN3bVE
je te poste le rapport de zhpdiag une fois qu'il est terminé...

Après roguekiller tu as redémarrer?
Il y a un petit bug avec le rapport de TDSSkiller, rien ne s'affiche. Il faudrait que tu l'héberge a nouveau. Mais avant, on verra ce que dit zhpdiag.

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

voici le lien zhpdiag
http://cjoint.com/?BGvmSv0zAho
merci

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

Non je n'ai pas redémarré puisqu'il ne me le proposait pas.

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

voici le nouveau rapport TDSSkiller :
http://cjoint.com/?BGvmYQFenwg

Rien d'alarmant sur le rapport de TDSSkiller. Tu as bien 2 disques durs avec chacun 2 partitions? (les lecteurs C, D, F, et G)

Certains éléments seront supprimés seulement après un redémarrage d'après le rapport de Roguekiller, donc si zhpdiag n'est pas en cours tu peux redémarrer et faire l'analyse après. Si zhpdiag est déjà en cours, n'utilise pas trop ton pc pour eviter de bloquer le programme.

J'attends le rapport pour te donner la suite Clin d oeil

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

d'accord, je vais peut être te paraitre bête mais pour l'analyse après redémarrage tu parle de zhpdiag ou de roguekiller? content

je parle du scan avec zhpdiag (qui va nous donner un aperçu de l'etat du pc.)

Et ca n'est pas bête du tout, tu as raison de demander, ca eviter de faire des bétises. Si tu as d'autres questions, n'hésite pas, j'y répondrai avec plaisir.

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

voici le rapport Smile

http://cjoint.com/?BGvnwu4bhf2

Télécharger et installer : Malwarebyte's Anti-Malware
http://www.malwarebytes.org/
A la fin de l'installation, veiller à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
Lancer MBAM et laisser les Mises à jour se télécharger
Puis aller dans l'onglet "Recherche", cocher "Exécuter un examen complet" puis "Rechercher"
Sélectionner les disques durs" puis cliquer sur "Lancer l'examen"
ATTENTION : Les scan complet peut prendre plusieurs heures.
A la fin du scan, si des infections sont détectées, cliquer sur Afficher les résultats
Cocher tous les éléments détectés puis clique sur Supprimer la sélection
Enregistrer le rapport
S'il t'est demandé de redémarrer, clique sur Yes
Poster le rapport après la suppression.(poster le rapport, même si rien n'est détecté.)
Si il est long, l'héberger sur http://www.cjoint.com et poster le lien.

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

j'ai déjà fait une recherche hier mais pas entièrement... mon pc plantais...
Je vais en refaire une complète et je t’envoie ça... merci

Surtout laisse le scan finir, meme si il dure plus de 4h et que tu as l'impression qu'il scanne le même dossier en boucle (ma premiere analyse a duré 8h)

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

Enfin fini Smile

voici le rapport de mbam :
http://cjoint.com/?BGvsJHPgTIa et je te refait un zhpdiag que je te poste tout de suite

Bonne initiative le rapport zhpdiag Clin d oeil

Ce rapport est plutot intéressant. Apparemment tu avait recupéré Security Shield, un faux logiciel de protection qui voit des problèmes fictifs, mais aussi des adwares suite a des téléchargements sur softonic (évite ce site et également 01net qui ne vaut pas mieux) et il semblerait qu'une infection, probablement Security shield ou zeroaccess, ai modifié beaucoup de réglages sur le pc (malwarebytes les a rétabli)

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

ok ok et oui j'avais bien security shield sur mon pc et j'avais bien galéré a le supprimer mais si tu le vois c'est qu'il ne devait pas totalement l’être... Pour info, avant le scan mbam, quand je démarrais le pc j'avais 2 messages d'erreur de McAfee pour des virus, maintenant je n'en ai plus qu'un. Et oui je vais me calmer avec ces sites car là j'en ai vraiment marre de ces virus Diabolique

.
voici le rapport : http://cjoint.com/?BGvs0Wav6G9

Pour security shield, il faut passer roguekiller pour le desactiver mais malwarebytes pour supprimer les fichiers et eviter qu'ils revienne. Maintenant c'est fait, tu devrait être tranquille.

Plus de trace de zeroaccess apparement, qui t'indiquait l'infection? McAfee? Si oui, il s'affole encore?

Desinstalle si tu peux : angrybirds, imbooster (ou imminent selon son nom dans le panneaiu de config), babylon, Ilivid Player, searchqu toolbar, nosibay, crazy loader, open candy, white smoke

ensuite Télécharger AdwCleaner ( d'Xplode ) sur le bureau.
http://general-changelog-team.fr/fr/outils/3-adwcleaner
Si tu l'as déjà, desinstalle le et retelecharge la derniere version
Sous XP double-clic sur le fichier d'execution.
Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
Cliquer sur Suppression
Patienter le temps du scan, le rapport doit s'ouvrir spontanément à la fin.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt
Poster le rapport sur le forum
si il est long, l'héberger sur http://www.cjoint.com et poster le lien.

et Télécharger UsbFix (créé par El Desaparecido) sur le Bureau
http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html
Si l'antivirus affiche une alerte, désactiver l'antivirus temporairement (il n'y a aucun risque)
Brancher toutes les sources de données externes au PC (clef USB, disque dur externe, etc...) sans les ouvrir
Double-cliquer sur UsbFix.exe
Cliquez sur Recherche
Laisser travailler l'outil jusqu'à la fin complète du scan
À la fin du scan, un rapport va s'afficher, poster le contenu sur le forum
Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt )
Si il est long, l'héberger sur http://www.cjoint.com et poster le lien.

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

Alors angrybirds et imbooster sont supprimés mais babylon, Ilivid Player, searchqu toolbar, nosibay, crazy loader, open candy et white smoke n'apparaissent ni dans ma liste de programme du panneau de config ni dans mes 2 dossiers "programmes X86" et "programmes" dans C:! Aurais tu une idée pour les supprimer?

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

Et oui c'est bien McAfee qui me signale le message

Ils sont probablements désinstallé mais peut-être pas entièrement, fais la suppression avec Adwcleaner pour qu'il supprime les restes et poste le rapport.

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

Et non il ne s'affole pas spécialement, il m'affiche ce msg au démarrage, j'ai donc le choix entre "redémarrer tout de suite" ou "ulterieurement" et vu que quand je redémarre il me l'affiche toujours je choisi ulterieurement

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

ok je le fais de suite...

Adwcleaner te demandera surement de redémarrer, accepte. Et si tu peux, fait une capture du message et heberge la.
Sinon, donne moi le nom du fichier detecté et de l'infection si McAfee te l'indique, Ca ne m'etonnerait pas qu'il se trompe.

Aladdin/Jasmine Messages : 117 Réputation : 0 Age : 35

voici le rapport de adwcleaner : http://cjoint.com/?BGvt2sRerlf

» Problème trojan zeroaccess [résolu]
» [résolu]Backgroundcontainer.dll
» [résolu]Une m***e sur mon PC
» [résolu]J ai été hack need help
» Virus?! [résolu]