Les variantes selon si on est en architecture 32 bits ou 64 bits sont différentes.
- En 32 bits ce dernier modifie (patch) un driver système pour prendre la main => https://www.malekal.com/2011/07/05/sire ... ccess-max/
- En 64 bits, il charge une DLL consrv.dll en modifiant une clef du registre => https://www.malekal.com/2011/10/19/zacc ... rv-winsrv/
Vous avez aussi une comparaison des ZeroAccess/Sirefef remover sur cette page : https://www.malekal.com/2012/03/04/sire ... antivirus/
Sauvergardes avant de désinfecter
ZeroAcess est un malware puissant, mais il peux être instable.
De même l'éradication peux conduire au plantage du système.
Avant toute chose, il est recommandé d'effectuer une sauvegarde des documents importants
En cas de crash, se reporter à ce topic : Windows : récupérer son système
Restauration du système
Dans le cas de Windows Vista et Seven, une restauration du système est possible depuis le DVD de Windows.
Aucune perte de données durant la restauration, vous récupérez Windows depuis un point image faite automatiquement par le système.
Plus d'informations sur la restauration du système : https://www.malekal.com/2010/11/14/rest ... istaseven/
Vous trouverez l'image du CD de Récupération si vous n'avez pas de DVD pour Windows Seven depuis ce lien : https://www.malekal.com/download/Win7_C ... ration.iso
Graver l'image sur un CD (ou mettre sur clef USB via WintoFlash : http://forum.malekal.com/otlpe-sur-clef ... 35312.html
Sélectionnez la seconde option : restaurer le système.
Sélectionnez un point de restauration antérieure à l'infection.
Laissez-vous guider, si la restauration a fonctionné et que vous avez bien pris un point de restauration antérieure à l'infection, vous devriez récupérer un système sain.
Faire un scan TDSSKiller et BitDefender ZeroAccess removal tool afin de s'assurer que ZeroAccess/Sirefef a bien été ératiqué.
TDSSKiller en 32 bits
TDSSKiller est un outil de Kaspersky qui permet de scanner son ordinateur à la recherche de bootit, rootkits.
Il scanne le MBR et les drivers.
Voir la fiche TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Dans le cas d'une infection 32 bits où Zaccess a modifié un driver, TDSSKiller peux aider.
En 64 bits, TDSSKiller n'aidera pas.
Lancer le tool, si ZeroAccess est détecté, faire Cure dessus.
Notez : ne pas supprimer les détections de type lock (notamment sptd et autres).
BitDefender ZeroAccess removal Tool
BitDefender ZeroAccess removal tool s'avère assez efficace : http://forum.malekal.com/bitdefender-ze ... 36424.html
Combofix tout OS
Combofix est un outil puissant qui permet d'éradiquer les deux versions du malware.
Les instructions pour utiliser Combofix :
- Désactive lesz logiciels de protection (Antivirus, Antispywares) - En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.
- Téléchargez Combofix sUBs : Combofix et enregistrez le sur ton bureau et pas ailleurs!
- Double-clicquez sur Combofix, acceptez la licence d'utilisation et laissez vous guider
- Eventuellement, installez la console de récupération comme cela est conseillé
Combofix qui détecte l'activité rootkit, cela necessite un redémarrage :
La protection des fichiers peux s'afficher, ne rien faire.
Un rapport s'ouvre, le sauvegarder surtout dans le cas où vous vous faites aider lors de la désinfection.
Impossibilité de télécharger sur Internet Explorer
Dans le cas de la détection systématique de virus dans les téléchargements d'Internet Explorer:
Cela est dû au malware ZeroAcess / Sirefef.
Se reporter à la page : https://www.malekal.com/2013/05/24/sire ... t-explorer
Après désinfection
Si le pare-feu n'est plus fonctionnel et affiche le message : "En raison d'un problème non identifié, Windows ne peux pas afficher les paramètres de pare-feu de Windows."
Se rendre à la page : http://forum.malekal.com/remettre-retab ... ml#p315927
Pour supprimer les PUPs/Adwares, il est conseillé de passer un coup d'AdwCleaner.
Téléchargez AdwCleaner ( d'Xplode ) sur ton bureau.
Lancez le, cliquez sur [Suppression] puis patiente le temps du scan.
Sécurisez votre PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... 15960.html
Absolument à faire.
~~
Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec HOSTS Anti-PUPs/Adwares : https://www.malekal.com/2012/01/10/host ... upsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html
