ZeroAccess : redirections Google

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

ZeroAccess : redirections Google

Message par Malekal_morte » 18 janv. 2012 18:18

ZeroAccess est un malware très sophistiqué qui provoque des redirections lors des recherches Google.

Les variantes selon si on est en architecture 32 bits ou 64 bits sont différentes. La désinfection n'est pas forcément simple.

Vous avez aussi une comparaison des ZeroAccess/Sirefef remover sur cette page : https://www.malekal.com/2012/03/04/siref ... antivirus/

Sauvergardes avant de désinfecter

ZeroAcess est un malware puissant, mais il peux être instable.
De même l'éradication peux conduire au plantage du système.

Avant toute chose, il est recommandé d'effectuer une sauvegarde des documents importants

En cas de crash, se reporter à ce topic : Windows : récupérer son système


Restauration du système

Dans le cas de Windows Vista et Seven, une restauration du système est possible depuis le DVD de Windows.
Aucune perte de données durant la restauration, vous récupérez Windows depuis un point image faite automatiquement par le système.

Plus d'informations sur la restauration du système : https://www.malekal.com/2010/11/14/resta ... istaseven/

Image

Vous trouverez l'image du CD de Récupération si vous n'avez pas de DVD pour Windows Seven depuis ce lien : https://www.malekal.com/download/Win7_CD ... ration.iso

Graver l'image sur un CD (ou mettre sur clef USB via WintoFlash : otlpe-sur-clef-usb-via-wintoflash-t35312.html

Sélectionnez la seconde option : restaurer le système.

Image

Image

Sélectionnez un point de restauration antérieure à l'infection.

Image

Laissez-vous guider, si la restauration a fonctionné et que vous avez bien pris un point de restauration antérieure à l'infection, vous devriez récupérer un système sain.

Faire un scan TDSSKiller et BitDefender ZeroAccess removal tool afin de s'assurer que ZeroAccess/Sirefef a bien été ératiqué.

Image

Image
TDSSKiller en 32 bits

TDSSKiller est un outil de Kaspersky qui permet de scanner son ordinateur à la recherche de bootit, rootkits.
Il scanne le MBR et les drivers.

Voir la fiche TDSSKiller : tdsskiller-kaspersky-t28637.html

Dans le cas d'une infection 32 bits où Zaccess a modifié un driver, TDSSKiller peux aider.
En 64 bits, TDSSKiller n'aidera pas.

Lancer le tool, si ZeroAccess est détecté, faire Cure dessus.
Notez : ne pas supprimer les détections de type lock (notamment sptd et autres).

Image


BitDefender ZeroAccess removal Tool

BitDefender ZeroAccess removal tool s'avère assez efficace : bitdefender-zeroaccess-sirefef-removal-tool-t36424.html

Image

Combofix tout OS

Combofix est un outil puissant qui permet d'éradiquer les deux versions du malware.

Les instructions pour utiliser Combofix :
  • Désactive lesz logiciels de protection (Antivirus, Antispywares) - En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
  • Téléchargez Combofix sUBs : Combofix et enregistrez le sur ton bureau et pas ailleurs!
  • Double-clicquez sur Combofix, acceptez la licence d'utilisation et laissez vous guider
  • Eventuellement, installez la console de récupération comme cela est conseillé
Tutoriel d'utilisation : http://www.bleepingcomputer.com/combofi ... r-combofix

Combofix qui détecte l'activité rootkit, cela necessite un redémarrage :

Image

La protection des fichiers peux s'afficher, ne rien faire.
Image

Un rapport s'ouvre, le sauvegarder surtout dans le cas où vous vous faites aider lors de la désinfection.

Image

Impossibilité de télécharger sur Internet Explorer

Dans le cas de la détection systématique de virus dans les téléchargements d'Internet Explorer:
Cela est dû au malware ZeroAcess / Sirefef.

Se reporter à la page : https://www.malekal.com/2013/05/24/siref ... t-explorer

Après désinfection

Si le pare-feu n'est plus fonctionnel et affiche le message : "En raison d'un problème non identifié, Windows ne peux pas afficher les paramètres de pare-feu de Windows."
Se rendre à la page : remettre-retablir-les-services-windows- ... ml#p315927

Pour supprimer les PUPs/Adwares, il est conseillé de passer un coup d'AdwCleaner.


Téléchargez AdwCleaner ( d'Xplode ) sur ton bureau.
Lancez le, cliquez sur [Suppression] puis patiente le temps du scan.





Sécurisez votre PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

Maintiens tes logiciels à jour c'est important, utilise ce programme : logiciels-pour-maintenir-ses-programmes ... 15960.html
Absolument à faire.


~~

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec HOSTS Anti-PUPs/Adwares : https://www.malekal.com/2012/01/10/hosts ... upsadware/

Image

~~

Le reste de la sécurité : comment-securiser-son-ordinateur.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: ZeroAccess : redirections Google

Message par Malekal_morte » 01 févr. 2012 19:42

Un autre exemple avec le patch d'un driver utilisé par la couche réseau.

Image

La détection :
SHA256: dab7bede56df0cb06a090322723203853372cfbe4eb9402524808f4483ca5e9a
File name: ipsec.sys
Detection ratio: 6 / 43
Analysis date: 2012-02-01 15:14:12 UTC ( 0 minute ago )

Emsisoft Rootkit.Win32.ZAccess!IK 20120201
Ikarus Rootkit.Win32.ZAccess 20120201
Kaspersky Virus.Win32.ZAccess.l 20120201
Microsoft TrojanDropper:Win32/Sirefef.B 20120201
NOD32 a variant of Win32/Rootkit.Kryptik.IJ 20120201
Pour rappel, cela ne sert à rien de scanner le fichier depuis le système infecté - Lire : Infections complexes et patch drivers systèmes

Résultat, la couche réseau est défaillante.
Le service TCPIP n'est pas démarré depuis le gestionnaire de périphériques.

Image

Un ipconfig retourne :
C:\Documents and Settings\Mak>ipconfig

Configuration IP de Windows

Une erreur interne s'est produite : Cette demande n'est pas prise en charge.

Contactez les Services de Support Technique de Microsoft pour obtenir de l'aide.

Informations supplémentaires : impossible d'obtenir le nom de l'hôte.
Image

Pour info, cela ne sert à rien de faire un netsh interface reset resetlog.txt
Cela recréé/nettoye les clefs dans le registre Windows, or ici le problème se situe au niveau du pilote.
(encore plus vrai avec un reset winsock, le problème ne se situe pas au niveau de winsock).

Le service TCPIP ne démarre pas :

Image

Après nettoyage avec TDSSKiller, cela fonctionne :

Image

Combofix donne des alertes rootkit et nous informe bien que la couche réseau est touchée :

Image

Mais après nettoyage, le fichier IPSec n'est pas restauré et du coup la couche réseau est toujours défaillante :

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: ZeroAccess : redirections Google

Message par Malekal_morte » 18 avr. 2012 12:56

- Ajout de BitDefender Removal Tool
- et restauration du système depuis CD pour Windows Seven.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité