Ordi infecté - zbot et ZeroAccess / Sirefef

[patrickb7592]

Bonjour
L'ordi portable de ma fille semble infecté, aussi j'ai fais un scan avec Adwcleaner, puis nettoyer, et maintenant on n'a plus accès à internet, le message suivant apparait :
"Le serveur proxy ne répond pas"
J'ai voulu restaurer à plusieurs reprises, et même en mode sans échec, mais la restauration ne prend pas
Aîe, avez vous une solution ?
Merci d'avance

[angelique]

. desactive le proxy sur ton navigateur , voir > https://www.malekal.com/2010/11/14/desa ... teurs-web/

• Téléchargez OTL sur votre Bureau.
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  ou:
  
  OTL com
  
  OTL scr
• Faites un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous vista|seven). Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
• Quand la fenêtre apparaît, sous Rapport en haut, cochez Rapport minimal, ainsi que all users
• Sous Registre: standard cochez Tous.
• Cochez les cases à coté de Recherche Lop et Recherche Purity.
• Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
  

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %SYSTEMDRIVE%\*.exe
  /md5start
  services.exe
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  atapi.sys
  afd.sys
  ipsec.sys
  netbt.sys
  tcpip.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  CREATERESTOREPOINT

• Cliquez sur le bouton Analyse. Ne modifiez aucun paramètre sans qu'on vous ait dit de le faire. L'analyse ne va pas durer longtemps.
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
  • Veuillez copier (Edition->Sélectionner tout, Edition->Copier) le contenu de ces fichiers, l'un après l'autre, et envoyez-les dans votre prochaine réponse.
  • Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ ou http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse
    
    
    
    tuto : https://www.malekal.com/tutorial_OTL.php

[patrickb7592]

Voici le lien pour OTL txt :
http://pjjoint.malekal.com/files.php?id ... 15f13f11u8

[patrickb7592]

Et le lien pour OTL extra :
http://pjjoint.malekal.com/files.php?id ... 4e10b13f15

[Malekal_morte]

Salut,

Infection Zbot déjà.
Faut dire, y a pas l'air d'y avoir d'antivirus...
A part des morceaux de McAfee..

y a du boulot...


Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2013/09/16 17:12:08 | 000,000,000 | ---D | M] -- C:\Users\Alice\AppData\Roaming\Luav
[2013/09/16 18:43:46 | 000,000,000 | ---D | M] -- C:\Users\Alice\AppData\Roaming\Miyq
[2013/09/15 12:27:54 | 000,000,000 | ---D | M] -- C:\Users\Alice\AppData\Roaming\Adyqg

* poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.




Ensuite - Désinstalle :
BingBar
GoogleToolbar
McAfee Security Scan <= sert à rien comme tu peux le voir, c'est un programme marketting pour te refiler l'antivirus...
McAfee SiteAdvisor aussi, c'est pourri...

~~


Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions

Si tu as LyricsBuddy-1, supprime la, ça affiche des pubs.

~~



[*] Télécharger sur le bureau http://forum.malekal.com/roguekiller-t29444.html (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

~~

Installe un antivirus => https://www.malekal.com/2010/11/12/tuto ... -avast-v8/

[patrickb7592]

Bonjour
Je passes chez moi en vitesse sur l'heure de midi, je vais m'atteler aux manips que tu me donnes, mais ce soir j'aurai plus de temps.
Par contre, je télécharge depuis mon ordi les programmes puis je les mets sur clé USB de façon à les installer sur l'ordi d'Alice car pour l'instant elle n'a pas l'accès internet.
Merci et à la prochaine manip ?

[patrickb7592]

bonsoir
voici le rapport OTL :
========== OTL ==========
C:\Users\Alice\AppData\Roaming\Luav folder moved successfully.
C:\Users\Alice\AppData\Roaming\Miyq folder moved successfully.
C:\Users\Alice\AppData\Roaming\Adyqg folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 09172013_182747

J'ai 2 rapports roguekiller ci-après :
RogueKiller V8.6.11 [Sep 11 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Invité 1 [Droits d'admin]
Mode : Suppression -- Date : 09/17/2013 19:03:56
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{6024f54f-5fef-ec84-0869-4769338f766a}\ \...\???ﯹ๛\{6024f54f-5fef-ec84-0869-4769338f766a}\GoogleUpdate.exe" < [x] -> STOPPÉ

¤¤¤ Entrees de registre : 8 ¤¤¤
[SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6024f54f-5fef-ec84-0869-4769338f766a}\ \...\???ﯹ๛\{6024f54f-5fef-ec84-0869-4769338f766a}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6024f54f-5fef-ec84-0869-4769338f766a}\ \...\???ﯹ๛\{6024f54f-5fef-ec84-0869-4769338f766a}\GoogleUpdate.exe" < [x]) -> [0x57] Paramètre incorrect.
[SERVICE][ZeroAccess] HKLM\[...]\CS002\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6024f54f-5fef-ec84-0869-4769338f766a}\ \...\???ﯹ๛\{6024f54f-5fef-ec84-0869-4769338f766a}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> [0x3] Le chemin d??�accès spécifié est introuvable.
[HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> [0x3] Le chemin d??�accès spécifié est introuvable.
[HID SVC][Masqué de l'API] HKLM\[...]\CS002\[...]\Services : . e () -> [0x3] Le chemin d??�accès spécifié est introuvable.

¤¤¤ Tâches planifiées : 2 ¤¤¤
[V1][ROGUE ST] LyricsBuddy-1-firefoxinstaller.job : C:\Program Files (x86)\LyricsBuddy-1\LyricsBuddy-1-firefoxinstaller.exe - /installxpi /agentregpath='LyricsBuddy-1' /extensionfilepath='C:\Program Files (x86)\LyricsBuddy-1\41868.xpi' /appid=41868 /srcid='000407' /subid='0' /zdata='0' /bic=D7F74F0CFFE74FA7A44C686597CFBE73IE /verifier=bc41de0bda1d1bdb62b94c46af1969eb /installerversion=1_28_153 /installerfullversion=1.28.153.2 /installationtime=1378996643 /statsdomain=hxxp://stats.ourstatssrv.com /errorsdomain=hxxp://errors.ourstatssrv.com /waitforbrowser=300 /extensionid=[email protected]08497ff9d.com /extensionversion=0.92 /prefsbranch=a8af2e5268c0942dc8d011001b936572c5f890a75ea4344fa9c150da08497ff9dcom41868 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/41868.rdf /allusers /allprofiles /externallog='' [-][x][x][x][x][x][x][x] -> SUPPRIMÉ
[V1][ROGUE ST] LyricsBuddy-1-chromeinstaller.job : C:\Program Files (x86)\LyricsBuddy-1\LyricsBuddy-1-chromeinstaller.exe - /installcrx /agentregpath='LyricsBuddy-1' /extensionfilepath='C:\Program Files (x86)\LyricsBuddy-1\41868.crx' /appid=41868 /srcid='000407' /subid='0' /zdata='0' /bic=D7F74F0CFFE74FA7A44C686597CFBE73IE /verifier=bc41de0bda1d1bdb62b94c46af1969eb /installerversion=1_28_153 /installerfullversion=1.28.153.2 /installationtime=1378996643 /statsdomain=hxxp://stats.ourstatssrv.com /errorsdomain=hxxp://errors.ourstatssrv.com /waitforbrowser=300 /extensionid=feignjcdbggijogkdpeljgllgehempia /extensionversion=1.24.7 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDbgHE1l9J/aPN1NaNV5/SUg3qaLoZt0TZZ49IOz0QOY5d7vYrwi25vfUoHm7DNmwKx2skOdZ+mXYfV0ZXYKZLvRQNZe/461iSzcLl3Vd4WMMIpByHVSP6OU6xhsoawgl0xdL8oMOodv6m3EIzyWqEiY+/Nqt+StVAYNGb9pHhfvQIDAQAB /allusers /allprofiles /externallog='' [-][x][x][x][x][x] -> SUPPRIMÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Windows Defender\MpCommu.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK6475GSX +++++
--- User ---
[MBR] caee2f02c0f8c6a07b53c51fc46baa86
[BSP] a75efa66369d64135cd86f5106ab0756 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 399 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 819200 | Size: 304589 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 624617472 | Size: 305491 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: TOSHIBA MK6475GSX +++++
--- User ---
[MBR] bc677d79056b94e4fbacf23efdac2d54
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1919 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_D_09172013_190356.txt >>
RKreport[0]_S_09172013_190253.txt
------------------------------------------------------------------------------------------------------------------------------------------------Et le 2ème :


RogueKiller V8.6.11 [Sep 11 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Invité 1 [Droits d'admin]
Mode : Recherche -- Date : 09/17/2013 19:02:53
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{6024f54f-5fef-ec84-0869-4769338f766a}\ \...\???ﯹ๛\{6024f54f-5fef-ec84-0869-4769338f766a}\GoogleUpdate.exe" < [x] -> STOPPÉ

¤¤¤ Entrees de registre : 8 ¤¤¤
[SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6024f54f-5fef-ec84-0869-4769338f766a}\ \...\???ﯹ๛\{6024f54f-5fef-ec84-0869-4769338f766a}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6024f54f-5fef-ec84-0869-4769338f766a}\ \...\???ﯹ๛\{6024f54f-5fef-ec84-0869-4769338f766a}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[SERVICE][ZeroAccess] HKLM\[...]\CS002\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6024f54f-5fef-ec84-0869-4769338f766a}\ \...\???ﯹ๛\{6024f54f-5fef-ec84-0869-4769338f766a}\GoogleUpdate.exe" < [x]) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> TROUVÉ
[HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> TROUVÉ
[HID SVC][Masqué de l'API] HKLM\[...]\CS002\[...]\Services : . e () -> TROUVÉ

¤¤¤ Tâches planifiées : 2 ¤¤¤
[V1][ROGUE ST] LyricsBuddy-1-firefoxinstaller.job : C:\Program Files (x86)\LyricsBuddy-1\LyricsBuddy-1-firefoxinstaller.exe - /installxpi /agentregpath='LyricsBuddy-1' /extensionfilepath='C:\Program Files (x86)\LyricsBuddy-1\41868.xpi' /appid=41868 /srcid='000407' /subid='0' /zdata='0' /bic=D7F74F0CFFE74FA7A44C686597CFBE73IE /verifier=bc41de0bda1d1bdb62b94c46af1969eb /installerversion=1_28_153 /installerfullversion=1.28.153.2 /installationtime=1378996643 /statsdomain=hxxp://stats.ourstatssrv.com /errorsdomain=hxxp://errors.ourstatssrv.com /waitforbrowser=300 /extensionid=[email protected]08497ff9d.com /extensionversion=0.92 /prefsbranch=a8af2e5268c0942dc8d011001b936572c5f890a75ea4344fa9c150da08497ff9dcom41868 /updateurl=hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/41868.rdf /allusers /allprofiles /externallog='' [-][x][x][x][x][x][x][x] -> TROUVÉ
[V1][ROGUE ST] LyricsBuddy-1-chromeinstaller.job : C:\Program Files (x86)\LyricsBuddy-1\LyricsBuddy-1-chromeinstaller.exe - /installcrx /agentregpath='LyricsBuddy-1' /extensionfilepath='C:\Program Files (x86)\LyricsBuddy-1\41868.crx' /appid=41868 /srcid='000407' /subid='0' /zdata='0' /bic=D7F74F0CFFE74FA7A44C686597CFBE73IE /verifier=bc41de0bda1d1bdb62b94c46af1969eb /installerversion=1_28_153 /installerfullversion=1.28.153.2 /installationtime=1378996643 /statsdomain=hxxp://stats.ourstatssrv.com /errorsdomain=hxxp://errors.ourstatssrv.com /waitforbrowser=300 /extensionid=feignjcdbggijogkdpeljgllgehempia /extensionversion=1.24.7 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDbgHE1l9J/aPN1NaNV5/SUg3qaLoZt0TZZ49IOz0QOY5d7vYrwi25vfUoHm7DNmwKx2skOdZ+mXYfV0ZXYKZLvRQNZe/461iSzcLl3Vd4WMMIpByHVSP6OU6xhsoawgl0xdL8oMOodv6m3EIzyWqEiY+/Nqt+StVAYNGb9pHhfvQIDAQAB /allusers /allprofiles /externallog='' [-][x][x][x][x][x] -> TROUVÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Windows Defender\MpCommu.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK6475GSX +++++
--- User ---
[MBR] caee2f02c0f8c6a07b53c51fc46baa86
[BSP] a75efa66369d64135cd86f5106ab0756 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 399 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 819200 | Size: 304589 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 624617472 | Size: 305491 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: TOSHIBA MK6475GSX +++++
--- User ---
[MBR] bc677d79056b94e4fbacf23efdac2d54
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1919 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_S_09172013_190253.txt >>
------------------------------------------------------------------------------------------------------------------------------------------------Par contre sur C: je n'ai pas _OTL peut-être du fait que je l'ai amené depuis ma clé USB ?
Ceci dit, l'ordi d'Alice a retrouvé internet, et il booste drôlement , aucune fenêtre pub...là chapeau !!
Je t'envoi ce message depuis son ordi
Je continue les suppressions que tu m'as ddé ce soir, sinon le ZIP OTL on laisse ?
Merci

[Malekal_morte]

wow ZeroAccess en plus!

Tu as fait suppression sur RogueKiller ?

[patrickb7592]

Oui j'ai fait suppression sur Rogue, et c'est à partir de là qu'internet s'est mis à booster, et plus aucune fenêtre bup et autre, mais par contre j'ai travaillé sur la session visiteur en temps qu'admin. mais dès que l'on reprend sa cession "Alice" avec son mot de passe, pas moyen d'avoir internet, on retrouve le message du départ "Le serveur proxy ne répond pas"
Est-ce que je refais sur cette cession un nettoyage avec Rogue ?
Merci

[patrickb7592]

Bonsoir
Quelqu'un pourrait me répondre ?
Merci

[Malekal_morte]

vire les proxy sur sa session : http://www.commentcamarche.net/faq/2826 ... -son-proxy

[patrickb7592]

OK merci ça fonctionne de nouveau !!
Problème résolu

[Malekal_morte]

Peut-être faire ça, histoire de :
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]


~~


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... 15960.html
Absolument à faire.

~~

Désactive Java de tes plugins, ce dernier pose des problèmes de sécurité :

• Google Chrome (paragraphe Plugin) : https://www.malekal.com/2013/01/14/secu ... le-chrome/
• Internet Explorer (paragraphe plugin Jav) : https://www.malekal.com/2010/11/12/secu ... xplorer-2/
• Firefox : https://www.malekal.com/securiser-le-na ... firefox-2/

~~

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec HOSTS Anti-PUPs/Adwares : https://www.malekal.com/2012/01/10/host ... upsadware/



~~

Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html

[patrickb7592]

Merci encore, je ne savais pas que la mise a jour pouvait en arriver là, mais ca parait évident