[RESOLU] Infection rootkit Zeroaccess?

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Jeff84

[RESOLU] Infection rootkit Zeroaccess?

par Jeff84 »

Bonjour,
Il y a quelques temps j'ai été infecté par le rootkit Zeroaccess et j'ai un doute de réinfection ou de dégats restants et non corrigés sur mon PC. Je précise que j'ai Windows Vista SP2 et Kaspersky Anti-virus 2013 pour me protéger.

En effet j'ai remarqué des ralentissements sur mon PC voir même des moments ou ça fige sur internet. De plus j'ai vu des lignes étranges dans mon Firewall et à un moment windows defender était innaccéssible.

J'ai donc suivi un peu la même marche à suivre que lors de la première infection (Roguekiller, Malwarebytes...) et aussi utilisé certains logiciels conseillés sur ce forum (Windows Repair, ServicesRepair).
J'avoue j'ai bidouillé tout seul sans trop savoir faire...

Résultat certaines choses refonctionnent et d'autres non:
- Dans le centre de sécurité il est indiqué que je n'ai pas de protection contre les programmes malveillants alors que Kaspersky fonctionne, pour l'instant j'ai indiqué que je le contrôle moi-même.
- Il apparaît encore trois lignes étranges dans mon pare feu:
@%systemroot%\system32\provsvc.dll,-200
@%systemroot%\system32\provsvc.dll,-205
@FirewallAPI.dll,-31501
Je retrouve ce genre de choses en plus grand nombre dans le pare-feu avancé mais avec des chiffres différents.
- Par contre j'accède à window defender et pour l'instant le PC tourne mieux et ne fige pas.

J'aurais vraiment besoin d'aide pour voir si je ne suis pas encore infecté et pour remettre tout ça d'aplomb. La tout seul je n'y arrive pas et j'ai pas vraiment envie de formater...

Merci d'avance à la personne qui voudra bien prendre mon cas en charge.
Dernière modification par Jeff84 le 28 déc. 2013 19:34, modifié 1 fois.
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection rootkit Zeroaccess?

par angelique »

Rien d'anormal ! si RogueKiller, MBAM et kaspersky ne trouve rien , tu n'es pas infecté certainement.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Jeff84

Re: Infection rootkit Zeroaccess?

par Jeff84 »

Merci de ta réponse.
En fait avec Rogue killer il y a deux lignes dans registre qui réapparaissent tout le temps. Quelques lignes aussi dans registre avec adwcleaner.
Je suis en train de faire un nouveau scan avec Malwarebytes, c'est pas fini mais je vois déja deux éléments détectés (écrit en rouge).
Peux tu m'aider? Est-ce que je doit te poster des rapports?
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection rootkit Zeroaccess?

par angelique »

tu mettras les rapports MBAM et rogueKiller.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Jeff84

Re: Infection rootkit Zeroaccess?

par Jeff84 »

Alors voila pour Roguekiller:
RogueKiller V8.8.0 [Dec 27 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : UTILISATEUR [Droits d'admin]
Mode : Recherche -- Date : 12/28/2013 17:31:08
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0xc0000033] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST3250310AS ATA Device +++++
--- User ---
[MBR] 5e0c8b799db7e31cc7bc4061239b831e
[BSP] 0ead0b8e2c148311200a91e82e871112 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238473 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_12282013_173108.txt >>


Et voila pour MBAM:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.12.27.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
UTILISATEUR :: PC [administrateur]

28/12/2013 17:35:56
MBAM-log-2013-12-28 (17-45-00).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 208244
Temps écoulé: 8 minute(s), 6 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\UTILISATEUR\AppData\Local\temp\CT3319415 (PUP.Optional.Conduit.A) -> Aucune action effectuée.

Fichier(s) détecté(s): 7
C:\Users\UTILISATEUR\AppData\Local\temp\nsaBDF6.exe (PUP.Optional.SearchProtect.A) -> Aucune action effectuée.
C:\Users\UTILISATEUR\AppData\Local\temp\nsdD943.exe (PUP.Optional.SearchProtect.A) -> Aucune action effectuée.
C:\Users\UTILISATEUR\AppData\Local\temp\nst2B88.exe (PUP.Optional.SearchProtect.A) -> Aucune action effectuée.
C:\Users\UTILISATEUR\Local Settings\Temporary Internet Files\Content.IE5\D73KQLAN\spstub[1].exe (PUP.Optional.Conduit.A) -> Aucune action effectuée.
C:\Users\UTILISATEUR\Local Settings\Temporary Internet Files\Content.IE5\ZYII07XB\SPSetup[1].exe (PUP.Optional.Conduit.A) -> Aucune action effectuée.
C:\Users\UTILISATEUR\Local Settings\Temporary Internet Files\Content.IE5\ZYII07XB\wajam_install[1].exe (PUP.Optional.Wajam) -> Aucune action effectuée.
C:\Users\UTILISATEUR\AppData\Local\temp\CT3319415\ddt.csf (PUP.Optional.Conduit.A) -> Aucune action effectuée.

(fin)
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection rootkit Zeroaccess?

par angelique »

Pour roguekiller ç'est rien , supprime roguekiller et ses rapports

Pour MBAM , pas grand chose , que des trucs obsoletes ou dans un rep temporaire , Aucune action effectuée > faire suppression et vider la quarantine de MBAM.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Jeff84

Re: Infection rootkit Zeroaccess?

par Jeff84 »

oki c'est fait! Merci beaucoup pour ton aide je suis rassuré.
J'ai une dernière question après je t'embète plus.
Ces lignes dont je parlais dans le firewall elles correspondent à quoi? Est-ce que ca peut empécher des programmes de fonctionner correctement si par exemple ils ont besoin d'être débloqués (exceptions) dans le firewall?
Et pour finir comment je passe le sujet en résolu lol?
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection rootkit Zeroaccess?

par angelique »

Ce sont des options avançées du firewall windows donc tu t'en fou , vu que tu es derriere une freebox qui fait office de "parefeu" matériel.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Jeff84

Re: [RESOLU] Infection rootkit Zeroaccess?

par Jeff84 »

Merci encore, j'ai passé le sujet en résolu.
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: [RESOLU] Infection rootkit Zeroaccess?

par angelique »

Pour info ::


Il est nécessaire de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer JavaScript, flash et\ou Iframe pourries sur sites compromis potentiellement générateur d'infections !!


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > http://www.mozilla.org/en-US/firefox/all/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock

Image

List FR + EasyList << à mettre à jour regulièrement ainsi que les autres



Image

NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/

Image Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »