Zeroaccess [résolu]

Regarde dans le lecteur C si tu as le dossier Qoobox, et dis moi ce qui est dedans. Si combofix a fait une sauvegarde du registre on va simplement la lancer pour reparer les degats.

Edit : tu as essayé les commandes que j'ai ajouté au message précédent?

comment la réinstallé? ce sont 2 pc portables avec un bouton pour l'activer ou la désactiver

Ah ok c'est une carte wifi integré. Il se peut que ce soit juste l'association au modem qui soit coupé, on verra ca après, regarde mon message precedent

Une fois qoobox ouvert j'ai :
BackEnv : dossier vide
LastRun : dossier vide
Quarantine : Registry_backups : dossier vide ; un fichier texte nommé catchme contenant juste la date et l'heure
Test : dossier vide
TestC : dossier vide

Bon ok, il n'a même pas pu creer de sauvegarde du registre.

Clic sur le menu demarrer/programmes/accessoires/outils systeme/restauration du systeme
Choisi un point de restauration et lance la restauration systeme, ca remettra les reglage et la connexion internet reviendra. Evidemment ca risque de faire revenir des infections, mais on s'en occupera.

les commandes n'ont pas marchées je vais essayer une restauration systeme...

bonne nouvelle internet remarche et la restauration date de aujourd’hui a 21h donc normalment pas de réinfection en vue

Une question chef : si j'avais tout bêtement fait une restauration directement après avoir eu le msg me disant qu'il y avait zeroaccess, mon pc n'aurait plus était infecté ou je vois encore la vie en rose?

Je pense que tu vois un peu la vie en rose effectivement ^^
Tout depend si l'infection etait encore présente au moment du point de restauration, on va voir ca :

Pour commencer dans le menu demarrer, tape regedit dans la recherche
clic droit/executer en tant qu'admin sur le resultat qui s'affiche.
Ca va ouvrir l'editeur de registre, ouvre le menu fichier, puis selectionne Exporter.
En bas selection "tout" et choisi un nom a la sauvegarde ainsi qu'un emplacement. Ca va sauvegarder tout le registre (ce que combofix aurat du faire). Patiente un peu, la sauvegarde doit faire entre 150 et 300 Mo selon ton registre. Ca permettra de reparer si il y a un soucis.

Ensuite, refait une analyse avec roguekiller pour voir si il y a toujours zeroaccess.
Si roguekiller ne voit plus zeroaccess, il y a de fortes chances qu'au moins cette infections soit partie (et on aura fait le plus dur), on pourra donc faire usbfix si tu veux continuer.

voici le rapport : http://cjoint.com/?BGwaef4Pj6u

Et oui je suis encore pret a nettoyer mon pc, dsl de te monopoliser de puis 11h du mat !!!!!!! un grand merci a toi de te donner tant de mal

tu as sauvegardé le registre?
Avant de retenter combofix on va essayer d'autres choses.

Télécharge Webroot ZeroAccess Remover depuis ce lien : http://anywhere.webrootcloudav.com/antizeroaccess.exe
Execute le programme
Répond Yes (oui) à la question, en tapant sur Y puis Entrée
Si le programme trouve l’infection, des lignes rouges doivent apparaître comme ici : http://www.malekal.com/wp-content/uploads/WebRoot_ZeroAccess_Remover.png
Le programme t'informe qu’un des fichiers systèmes a été patché et vous propose de le nettoyer. comme cela : http://www.malekal.com/wp-content/uploads/WebRoot_ZeroAccess_Remover3.png
Tape Y (oui) et Entrée pour lancer le nettoyage.
Si l’opération a réussi, tu dois avoir le message Cleaned en vert. comme là : http://www.malekal.com/wp-content/uploads/WebRoot_ZeroAccess_Remover4.png
Appuye sur une touche pour quitter et redémarre l’ordinateur.

Si Webroot ne trouve aucune ligne rouge fait ceci :
Tu peux télécharger Gmer depuis la page http://www.gmer.net/#files en cliquant sur Download EXE. Ceci permet de télécharger le programme renommé de facon aléatoire pour tromper les rootkits qui peuvent reconnaitre le programme.

ATTENTION : Avant de lancer Gmer, désactives toutes les protections du pc (antivirus, antispywares, pare-feu).
Un pré-scan se fera au lancement, puis tu peux lancer le scan complet.
Le scan se fait à partir de l’onglet Rootkit puis en cliquant sur le bouton Scan en bas à droite.

En effectuant un clic droit sur la fenêtre, il est possible de choisir le type de scan. Pour un scan rapide, choisis l'option "Only non MS files".
Cela évite de lister les fichiers légitimes de microsoft mais détecte la quasi totalité des infections.

Les informations sur le scan s’affichent alors, les éléments détectés comme rootkit apparaissent en rouge dans chaque section.
Sur ces lignes rouges:
- Services: Clique droit puis delete service
- Process: Clique droit puis kill process
- Adl, file: Clique droit puis delete files

Tuto : http://www.malekal.com/tutorial_GMER.php


Le bouton Copy permet de récupérer le rapport pour effectuer un copier/coller.
Le bouton Save permet l’enregistrement du rapport sur le disque au format texte.
Héberge le rapport et colle le lien sur le forum.

oui mon registre est sauvegardé mais webroot zeroaccess n'est que pour le 32 bits et je suis en 64 !

arf, fait Gmer alors
et pour repondre a ton message precedent, j'adore relever les defis, et je n'aime pas laisser les gens dans la merde quand des dégats sont fait par ma faute

voici le lien gmer : http://cjoint.com/?BGwaz47WzeH

tu as eu des lignes rouges?
tu as ce processus dans le gestionnaire de tache : 5c4lp657.exe
Si tu peux clic dessus et fait "terminer le processus"

Non pas de ligne rouge et non dans mon gestionnaire il n'y est pas alors qu'il est encore ouvert dans ma barre de taches

ok, c'est etrange que roguekiller trouve l'infection mais personne d'autre. regarde sur le bureau ou dans le lecteur C, tu n'a pas un rapport de combofix?

non! ni sur le bureau ni c:

Désactive les protection antivirus du pc ainsi que l'UAC (pour malwarebytes si il est lancé et que tu as accepté la période d'essai, clic droit sur l’icône et "quitter", tu peux aussi décocher les cases pour être sur qu'il ferme bien tout) et fermes internet avant de commencer.

ouvre le bloc note et copie le texte en gras a l’intérieur :

killall::

file::
c:\windows\assembly\gac_32\desktop.ini
c:\windows\assembly\gac_64\desktop.ini

Enregistre ce fichier sous le nom CFscript.txt
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Combofix va démarrer.

Dans la fenêtre qui suit, choisis l'option 1 puis valide

Patiente un peu, si le bureau disparait parfois durant le scan : c'est normal !
Ne touche à rien (ni clavier, ni souris) tant que le scan n'est pas terminé.

A la fin du scan, un rapport va s'afficher : poste le (sinon il se situe dans ici : C:\ComboFix.txt)
Si combofix ferme tout les programmes en cours c'est normal, et si il veut redemarrer, accepte. J'espere que comme ca il ne posera pas de soucis.

si tu as encore des soucis avec combofix fait cela a la place :

Copie le texte en gras ci-dessous :

:Files
c:\windows\assembly\gac_32\desktop.ini
c:\windows\assembly\gac_64\desktop.ini

:Commands
[emptytemp]
[emptyflash]
[Reboot]

Télécharge OTM.exe
Double-clique sur OTM.exe pour le lancer.
Fais un clic droit dans la zone vide a gauche (Paste instructions...) puis Coller.

Clique sur le bouton rouge MoveIt!
Le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)

Edit : je vais me coucher, je verrai le résultat demain.

Voici le lien combofix : http://cjoint.com/?BGwbRip1367
encore merci de ton aide précieuse

Petit passage furtif avant que je file finalement.

Je vois que combofix a bien bosser il a enfin supprimé les fichiers (ainsi que d'autres) du coup tu ne devrais plus avoir d'alertes.

Demain, si tu as des soucis avec le pc, explique moi tout, et pense a regarder le texte que je t'avais mis pour le 1er essai de combofix, en bas il y a des effets indesirables que tu peux avoir, et j'explique comment les reparer.

il me faudra un nouveau scan zhpdiag pour voir le reste a faire, et un scan de roguekiller pour s'assurer qu'il ne vois plus rien (supprime les anciens rapports de roguekiller si ca n'est pas deja fait)

Bonjour
effectivement je n'est plus d'alerte, pour le moment pas d'effets indésirables, mais je vais regarder ça et je t’envoie les 2 rapports

Pour les effets secondaires : internet c'était coupé mais je l'avais réparé tout seul, le CCU aussi et le menu démarrer est toujours là . Il y a juste un truc que je n'arrive pas à régler avec tuneup utilities mais hors sujet, on en parlera à la fin...
Voici le rapport de roguekiller : http://cjoint.com/?BGwqa0OJzxO
et celui de zhpdiag : http://cjoint.com/?BGwqzVShDNl

Roguekiller ne rale plus pour Zeroaccess, c'est bon signe.
Est ce que tu connais ce programme : Juce VST Host
Je vois F-Secure et AVG en protection, et les deux semblent partiellement desinstallé. Tu utilise quel antivirus actuellement?

Met openoffice a jour.

Tu as beaucoup de crack apparemment, penses à les supprimer ou les scanner sur www.virustotal.com pour eviter les infections (je ne cautionne pas mais tu fais ce que tu veux )

Repasse adwcleaner en mode suppression :
Télécharger AdwCleaner ( d'Xplode ) sur le bureau.
http://general-changelog-team.fr/fr/outils/3-adwcleaner
Sous XP double-clic sur le fichier d'execution.
Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
Cliquer sur Recherche
Patienter le temps du scan, le rapport doit s'ouvrir spontanément à la fin.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[R1].txt
Poster le rapport sur le forum
si il est long, l'héberger sur http://www.cjoint.com et poster le lien.

Ensuite copie tout le texte de ce doccument : http://cjoint.com/data3/3GwsfDZfNNb.htm (commence bien a SysRestore)

Sauvegarde ton travail et ferme les programmes en cours
Demarre ZHPFix (tu as l'icone sur le bureau normalement)
Clic sur le bouton représentant un H et tout le texte copié devrait se coller dans le cadre blanc (si ca n'est pas le cas, clic droit/coller)
clic ensuite sur GO pour proceder au nettoyage

ATTENTION : enregistre ce que tu fait avant, ZHPFix fermera tout les programmes le temps du nettoyage.

A la fin du nettoyage, il peut te faire redémarrer, une fois le nettoyage fini, un rapport apparaitra, heberge le sur www.cjoint.com et poste le lien qui te sera donné.