Problème trojan zeroaccess [résolu]

OTLPE mis sur la cle USB avec 7PE_X86_e

je vais rebooter pour voir comment ca se passe.

A plus

Après avoir mis OTLPE avec 7PE_X86 sur la clé USB et rebooté le pc je suis toujours bloqué au même point.

A l'affichage de Directly bootable iso il y a une flèche mais on ne voit aucun choix possible.

Si on valide par un retour chariot on se retrouve dans une fenêtre indiquant GRUB: .....

Que se passe t il?

Je vais tenter la bonne vieille méthode avec DeepBurner.

Je dois dire que je ne vois pas ou peut être le soucis, si tu arrive sur "directly bootable iso" c'est que la "gravure" a fonctionné.

Si tu as un cd, tu peux graver sur un iso en tant qu'image oui ca sera plus simple.

CD gravé avec 7pe_x86_e.....

je vais dans le bios indiquer de booter sur CD

A plus

J'espere que l'infection n'a pas patché de driver particulier, sinon même le démarrage par cd pourrait être infecté, voir même impossible.

Hornet : RogueKiller reconnait et restaure les fichiers patchés, comme par exemple services.exe.
a voir https://morbak-home.forumgratuit.org/t131-pour-des-infections-par-rogue-roguekiller-ou-ransomfix#5103

Pour combofix, je l'ai souvent utilisé (en désinfection ou sur mon propre pc) et en suivant toutes les indications, aucun soucis mais tu as raison de penser à la clé par prudence

Après avoir choisi Directly Bootable Iso et validé avec Entrée, tu dois avoir ca :

Rebonjour,

Je suis désolé mais ces deux derniers jours je n'ai pas eu le temps de m'occuper de ma machine.

Le dernier point où j'en étais : j'avais gravé le cd avec 7pe_X86_e et j'avais rebooté la machine dessus.

Ca démarre même si les icônes sont longues à venir.

Juste une remarque: il me semble qu'avec cette image il n'y ait pas de driver pour la carte réseau et donc je n'avais pas d'accès à internet. Déjà est ce normal?

Ce que je pense faire c' est, avant de rebooter sur le cd, de télécharger le dernier programme indique http://download.bleepingcomputer.com/sUBs/ComboFix.exe.

A plus et encore et toujours merci pour votre aide

Oui le soucis de driver peut être normal si la carte n'est pas connue par le système, surtout si tu es connecté en wifi.

Par câble il ne devrait pas y avoir de soucis pour la connexion internet. Tu peux télécharger le driver de ta carte réseau par exemple sur www.touslesdriver.com et le mettre sur clé usb, puis l'installer une fois que tu as démarrer sur le cd. Mais ca ne sert à rien de le faire maintenant puisque ce qui est installé lors du lancement du cd, est désinstallé lors de l'extinction du pc.

Tu n'a pas de 2nd pc auquel tu pourrais te connecter en cas de problèmes? ca serait moins contraignant pour toi

oui j'ai un second pc mais il n'est pas dans la meme piece et de plus il n est branche que sur la tele.

Le site www.touslesdriver.com est en vente. J'ai regardé dans mon système ou se trouvait le pilote de ma carte je vais essayer par ce moyen sinon je le chargerai chez Realtek.

Allez on tente.

A plus.

http://www.touslesdrivers.com/index.php?v_page=29
erreur de ma part, j'avais oublié un S ^^

En bas de la page tu as l'option "lancer la détection" qui permettra de scanner ton pc pour te proposer les drivers compatibles. Si tu ne l'as pas déjà, il te proposera de télécharger le plugin MaConfig, fait le et installe. Ensuite retourne sur le lien ci dessus pour lancer la détection.

Après avoir analysé ton pc tu verra une page ikndiquant les pilotes actuels de ton système, et les pilotes compatibles. Vérifie que ton système soit bien détecté, et décoche les drivers bêta, puis valide.

Ensuite il te suffit de regarder en dessous, la ligne correspondant à ta carte réseau, si un drivers plus récent est disponible, tu verra une ligne bleue en dessous de celle indiquant ton pilote actuel. Si c'est le cas, télécharge le nouveau, tu pourras te servir de celui la pour installer internet sur le système de secours du cd.

Si aucun driver n'est disponible il faudra récupérer le drivers de ton pc directement. Pour cela tu peux par exemple utiliser DriverMax (en utilisant l'option "Backup drivers", tu pourras enregistrer les drivers de ton pc sur la clé usb ou sur ton disque dur et y accéder à partir du cd pour les restaurer en utilisant l'option "Restore")

Mais comme je l'ai dis, le cd ne sert que de secours en cas de problèmes. Cela ne signifie pas que Combofix va forcement planter ton pc. Il a déjà été utilisé des dizaines de fois par Morbak et moi même sans problèmes.

Ca y est j'ai réussi deux petites choses.

La première c'est de booter sur le cd et

la seconde c'est de mettre le bon driver pour ma carte réseau ce qui fait que je peux de nouveau me connecter sur le site.

Est ce normal que lorsque je lance ComboFix je reste avec la fenêtre bleue positionnée sur tentative de création d'un point de restauration et que ça ne bouge plus ensuite?

tout dépend du temps que ca dure.
La fenêtre bleue reste jusqu'a la fin de l'utilisation, donc tu ne dois pas fermer si il continue les étapes.

Si il reste plus de 10 minutes sur le point de restauration il y a un problème.

Par contre, fais bien attention a ne pas toucher au pc pendant l'utilisation de combofix, tu pourrais planter ton système. A partir du moment ou il dit : Combofix s'apprête a démarrer, tu dois le laisser faire, le simple fait de bouger la souris est risqué.

Mais avant ca, tu dois bien désactiver toutes les protections, et daemon tool si tu l'utilise.

Il faut suivre A LA LETTRE les indications données

C'est justement ce qui m'a inquiété.

J'avais bien lu le mode d'emploi de ComboFix et je n'ai touché à rien du tout à partir du moment où je l'ai eu lancé.

Je n'ai pas chronométré le temps exact pendant lequel il est resté au point indiqué mais la chose me semblant longue c'est pour cela que j'ai mis le message juste avant.

Il n'y a aucune protection qui tourne sur le système puisqu'il est redémarré à partir du cd contenant l'image 7pe_x86_e.

Je vais me déconnecter d'ici et relancer le ComboFix et le laissant cette fois ci mouliner plus longtemps puisque je dois sortir. Je verrai lors de mon retour.

Merci et à plus.

Canard94 a écrit:

Il n'y a aucune protection qui tourne sur le système puisqu'il est redémarré à partir du cd contenant l'image 7pe_x86_e.

Attention, tu dois lancer combofix à partir de Windows et non à partir du cd.
Le cd c'est simplement pour avoir accès a internet au cas ou combofix plante le système.

Re,

Désolé j'avais mal compris sur la façon dont devait se lancer ComboFix. Après la précision j'ai relancé ma machine comme normalement et ai arrêté tous les programmes inutiles puis ai lancé ComboFix. Je n'ai plus touché à quoi que ce soit durant tout le déroulement du programme.

Le point de restauration a été créé et ensuite il s'est déroulé une cinquantaine d'étapes.

La machine a rebooté et a continué sur ComboFix pour la création du rapport.

Celui-ci a été mis sur http://cjoint.com/?BJwcfpXmhgx.

Si d'autres opérations sont encore à faire j'attends les informations.

Merci

Bonjour,

Après avoir le mis le post précédent, j'ai effectué un reboot de ma machine et l'ai laissée tranquillement redémarrer (avec tous les programmes qui tournent en temps normal). Moi par contre

Elle a tourné toute la nuit et là je viens de regarder.

Tout semble à prime abord normal.

Il n'y a pas eu de mise hors circuit du pare-feu de McAfee Internet .

Il semblerait donc que le problème soit résolu mais je ne veux pas m'engager trop vite. Sur ce point, peut-être que quelqu'un pourra me dire que le dernier programme lancé (ComboFix) a tout éradiqué?

La seconde amélioration est la rapidité retrouvée de fonctionnement de la machine.

Je tiens à vous remercier pour l'aide amicale dont vous avez fait preuve pour que je puisse résoudre mon problème.

Bravo et encore mille merci.

Je ne manquerai pas de faire connaître ce site à tous les gens qui se retrouveront dans le même problème que moi.

Trop souvent ces gens n'envisagent et n'exécutent que la solution formatage du disque dur et réinstallation de tous les programmes alors qu'il n'est pas du tout nécessaire d'en arriver à ce stade.

J'avoue, en toute humilité, que malgré mes 30 ans d'informatique et cette fois ci qui a été ma première rencontre avec ce style de problème, j'ai encore beaucoup à apprendre.

Un grand merci à tous ceux qui m'ont aidé.

Le problème devrait être résolu oui mais pas le sujet

Tu n'a pas de dysfonctionnement suite a l'utilisation de Combofix? (le pare-feu aurait pu causer des problèmes effectivement)
Remet les attributs "cachés" des dossiers qui doivent l'être,notamment les dossiers de windows dans le lecteur C (par exemple ProgramData, autorun.inf, config.msi, OEM, System volume information si tu as...)

Ensuite, il faudrait un dernier rapport pour vérifier que tout va bien :
Télécharger ZHPDiag (de Nicolas Coolman)
http://telechargement.zebulon.fr/zhpdiag.html
ou directement : ftp://zebulon.fr/ZHPDiag2.exe
Double-cliquer sur ZHPDiag.exe puis suivre les étapes de l'installation.
Cocher la case "Exécuter ZHPDiag" à la fin de l'installation puis cliquer sur "Terminer".
L'installation est terminée, 3 icônes sont créées sur le bureau.
Lancer ZHPDiag.exe (sous Vista ou 7, clic droit/exécuter en tant qu'admin, puis cliquer sur le bouton "UAC" pour relancer le programme avec tous les droits d'administrateur)

Cliquer sur le tournevis (icône "options" à droite) et cliquer sur "tous"
Choisir l'option "Lancer le diagnostic" (1ère loupe en haut a gauche).
ZHPDiag va alors analyser le contenu de l'ordinateur à la recherche d'informations sur le système d'exploitation, la base de registre...
Pour ne pas ralentir l'analyse, évite de te servir du pc pendant le scan (qui prend moins de 10 minutes sur un pc peu performant)
Sous XP¨il proposera d'utiliser SIGCHECK, accepter pour un rapport plus détaillé.
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

Si ZHPDiag affiche une erreur, fermer le programme, et relancer un scan sans toucher au tournevis.

Si tout va bien, on supprimera les programmes installés

Bonsoir,

Comme demandé j'ai fait mouliner ZHPDiag et le rapport se trouve à l'endroit suivant http://cjoint.com/?BJwujuxI02g

J'attends les éventuelles manipulations à faire.

Merci

Ferme les programmes en cours, et lance ZHPFix
copie les lignes de ce document : http://cjoint.com/data3/3JwuI1PiT3J.htm
Dans ZHPFix, clic sur la 2e icone en haut a gauche (coller le presse papier)
Clic ensuite sur Go en bas.
Confirme le nettoyage et laisse le programme travailler.
Il se peut que le bureau soit fermé ou que le programme demande à redémarrer le pc.
A la fin du nettoyage (et après redémarrage si il y a) un rapport apparaitra
Héberge le sur www.cjoint.com et poste le lien.

Ensuite fait ceci :
télécharge sur ton bureau http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip , extrait-le
tu as aussi directement l'executable là : http://support.kaspersky.com/fr/downloads/utils/tdsskiller.exe
lance le programme et clique sur Start scan
Sous Vista et Seven, clic droit/exécuter en tant qu'admin.
Laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
Si des fichiers infectés sont trouvées, une fenêtre va s'ouvrir, Vérifies que :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l'option cochée sur Skip
Si Rootkit.Win32.ZAccess. est détecté règle sur cure en haut , et delete en bas
Clique sur Continue puis sur Reboot now pour redémarrer le PC si c'est proposé.
Héberge le rapport généré et colle le lien dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

La manipulation avec ZHPFix a été effectuée et le rapport se trouve à cet endroit http://cjoint.com/?BJwvgXU3zp3.

Il n'y a pas de demande de reboot de la machine et seul la fenêtre du navigateur positionnée ici a été fermée.

Puis-je lancer maintenant TDSSKiller?

Merci

Oui oui tu peux lancer TDSS

C 'est parti....

toujours moi,

Le programme TDSSKiller s'est déroulé, mode administrateur, normalement sans aucune ouverture de fenêtre.

Le rapport se trouve à http://cjoint.com/?BJwvuS3qg2G

Ok il n'a rien détecté, donc ZHPDiag nous indiquait seulement des restes que l'on a supprimé avec ZHPFix.

Du coté de tes protection, le pare-feu est rétabli?
Tu ne devrait plus avoir ZeroAccess sur le pc, on peut donc passer au nettoyage après désinfection si tu confirme que tout va bien.

Je commence à être un peu plus rassuré.

Le pare-feu ne saute plus. Tout paraît fonctionner normalement et même le système semble plus rapide.

Je suis prêt pour les opérations de nettoyage.