[Réglé] Rootkit Zaccess

[Ask to Old Man]

Bonjour a tous,

Je crois qu'un virus est apparu sur mon ordinateur dans les derniers jours.
Je ne peux plus aller sur internet, ni sur firefox.
Quand j'ouvre une page internet au demarrage de l'ordinateur, ma page d'acceuil apparait mais aussitot que je change de page, le "internet exploreur ne peut pas afficher cette page web" apparait et plus moyen de rien faire.

Pour firefox, encore une fois, la page d'acceuil apparait. Quand je hange de page l'ecran devient blanche et plus rien ne se passe.

De plus, Stopzilla ne fonctionne pas. Je clique pour le demarrer, la fenetre de chargement apparait et load infiniment, le programme ne demarre jamais.

J'ai essayer de demarrer en mode sans echec afin de lancer mes anti virus et spyware. Cette fois-ci, les programmes demarrent mais ne trouve rien (rien qui regle le probleme). La beaute de la chose, c'est que je ne peux pas les mettres a jour...

Internet explorer et firefox ne fonctionne pas plus dans le mode sans echec.

Quelqu'un a une idee de ce qui se passe?

Merci de m'aider si vous en etes capables!!

-Phil-

[cosmido]

Suivez le ce tuto, poster les rapports et un désinfecteur interviendra.

[Del-crosseur]

Bonjour Bashwilly & bienvenue sur PC-I !!

@Cosmido !

Vous n'arriver plus à télécharger quoi se que se soit en mode normale et sans échec avec prise en charge du réseau ?

Essayer ceci et dite moi:

Télécharger sur le bureau RogueKiller de Tigzy

• Quitter tous les programmes en cours
• Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
• Sinon lancer simplement RogueKiller.exe
• Une fois ouvert , taper 2 et valider
• Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste moi le rapport...
• Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Bonne journée !

[Bashwilly]

Je ne peux non seulement rien telechager, mais comme ecrit dans mon 1e message je ne peux aller sur aucun site internet... Pour Roguekiller, je devrai aller le telecharger chez un ami?

[cosmido]

salut,

Fréquent que ce genre d'infection ajoute, entre autre, un proxy aux navigateurs, pour les restreindres.

Essayer de fixer Internet Explorer.
• Dans Outils→ Options Internet→ [Connexions]→ [Paramètres réseau]..
• Et Décocher y tout ce qui fait référence au Proxy.

Et pour Firefox.
• Aller dans Outils → Options → |Avancés| ..
• Dans |Réseau| →[Paramètres..], sélectionner ◉ "Pas de Proxy".

[Bashwilly]

Parfait j'essai ca se soir!!!

Ca va regler mon probleme d'anti-virus aussi?

[Bashwilly]

Je viens d'essayer.

Pour internet explorer, rien n'etait cocher.

Pour firefox, j'ai cocher "pas de proxy" mais cela n'a rien regler...

J'ai remarquer que plus ma fenetre internet ou firefox etait ouverte longtemps, plus l'ordinateur devient lent et j'ai des alertes de securite windows qui apparaissent disans "voulez vous continuer a bloquer ce programme?" en faisant reference a divers programmes.

[jeanmimigab]

hello tlm,

Si tu veux que cosmido ou del crosseur t'offre une aide efficace il ont besoins de renseignements essentiels.
Quel système as-tu ? ( XP / Vista / Seven )
quel Anti virus as-tu ?
Comment te connectes-tu à ta box ? (Wifi, câble)
Si tu est en Wifi, as-tu testé de te connecter avec un câble à ta box ?
Est-ce que tu disposes d'un deuxième pc ( sinon comment fais-tu pour te connecter au forum) ?

[Bashwilly]

Windows XP
J'ai StopZill et j'utilise aussi adaware mais il me sont d'aucune aide car je ne peux meme pas les demarrer et quand je les ouvrent en mode sans echec, ils ne trouvent rien et impossible de faire de mises a jour.
Je suis en wifi depuis peut mais pourtant tout foncitionnais bien depuis une semaine.... Bien je dit wifi, mon portable est connecter avec un cable Ethernet sur le router.
Et je vous ecrit depuis mon ipod.

Autre choses?

Merci infiniement de prendre la peine de m'aider!

[Bashwilly]

Une idee?

[Del-crosseur]

Bonsoir ,

N'ayant plus de nouvelles de Cosmido afin de savoir qui prend le sujet en charge , je vais donc continuer sur ma lancé...

Faite ceci:

A partir d'un autre PC
- Télécharge OTLPEnet http://oldtimer.geekstogo.com/OTLPENet.exe

• Mets un cd vierge dans ton graveur
• Double clic sur OTLPENet.exe et accepte la gravure du cd
• Redémarre le PC infecté avec le CD que tu viens de graver
• Tu va arriver sur un environnement Windows classique (XP) REATOGO-X-PE, patiente le temps de chargement est assez long
  
  
• Si ton PC est connecté en Ethernet tu auras accés au net
• Avec readtogo tu dois avoir un fichier nommé OTLPE
• Double clic dessus :
• Copie/colle le texte qui est en citation ci dessous dans le cadre qui se trouve en dessous de Custom Scan/Fixes

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

• Clique sur le bouton Runscan
• Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
• Lorsque l'analyse sera terminée, deux fichiers textes s'ouvriront dans le Bloc-Notes.
  
  
• Poste le contenu de OTL.txt en lien en utilisant cet hébergeur http://www.1fichier.com/
• Ce dernier est beaucoup trop grand pour tenir dans une réponse

Si tu le souhaite(je te conseil) , tu peut consulté un Tuto d' OTLPEnet ici => http://forum.malekal.com/otlpe-live-t23453.html

Bonne soirée !

[Bashwilly]

Cest fait!

http://zosgfy.dl4free.com/

[Del-crosseur]

Bonjour ,

Bon , sa va être délicat ! Une grosse bestiole traîne dans ton pc donc on n'y va mollo...

Toujours le PC démarré avec le CD d'OTLpenet


• Double clic sur OTLPE :
• Copie/colle le texte qui est en citation (Sans le mot citation) ci-dessous dans le cadre qui se trouve en dessous de Custom Scan/Fixes
  

  :OTL
  DRV - [2011/10/20 22:03:54 | 000,000,000 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\3794865800 -- (880e31e2)
  [2011/10/20 22:03:54 | 000,000,000 | ---- | M] () -- C:\WINDOWS\3794865800
  [2011/10/13 22:50:56 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735}
  [2011/10/20 21:48:10 | 000,000,004 | ---- | M] () -- C:\WINDOWS\Twain001.Mtx
  [2011/10/20 21:47:57 | 000,000,156 | ---- | M] () -- C:\WINDOWS\Twunk001.MTX
  @Alternate Data Stream - 816 bytes -> C:\WINDOWS\3794865800:2012335645.exe
  O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
  [2010/09/20 00:06:34 | 000,000,003 | ---- | C] () -- C:\WINDOWS\treeskp.sys
  [2009/02/15 21:07:43 | 000,000,481 | ---- | C] () -- C:\WINDOWS\eReg.dat
  O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed}
  O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D}
  O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98}
  File not found -- C:\WINDOWS\System32\
  File not found -- C:\WINDOWS\System32\
  [2 C:\WINDOWS\system32\config\systemprofile\*.tmp files -> C:\WINDOWS\system32\config\systemprofile\*.tmp -> ]
  SRV - File not found [Auto] -- -- (ASKUpgrade)
  SRV - File not found [Auto] -- -- (ASKService)
  
  :Files
  C:\WINDOWS\3794865800
  

• Clique sur le bouton Run Fix
• Lorsque la suppression sera terminée, un fichier texte s'affichera poste son contenu dans ta prochaine réponse

Une fois le pc redémarrer , dit moi si ton pc va mieux en Mode Normale !

Bonne journée !

[Bashwilly]

Merci beaucoup, j'essai ca aujourd'hui!

[Bashwilly]

Je viens de terminer les demarches.
Apr'es le fix, une fois lordinateur redemarrer, je suis arriver dans le mode normal avec le fichier txt ouvert. Premiere chose que je me suis apercu, cest que rien na changer: Internet ne fonctionne pas, la plupart des programmes non plus comme lantivirus... et quand je clique sur demarrer - arreter, il ne se passe rien.

Le fichier du fixe donne ceci:

========== OTL ==========
Service\Driver key 880e31e2 not found.
File C:\WINDOWS\3794865800 not found.
File C:\WINDOWS\3794865800 not found.
File C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735} not found.
File C:\WINDOWS\Twain001.Mtx not found.
File C:\WINDOWS\Twunk001.MTX not found.
Unable to delete ADS C:\WINDOWS\3794865800:2012335645.exe .
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
File C:\WINDOWS\treeskp.sys not found.
File C:\WINDOWS\eReg.dat not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ not found.
File 01f27d4-3704-41d6-89c1-aa35e39143ed} not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ not found.
File 3215F20-3212-11D6-9F8B-00D0B743919D} not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\ not found.
File fd4b-44e0-b742-2d9b88305f98} not found.
File/Folder C:\WINDOWS\system32\config\systemprofile\*.tmp not found.
Service\Driver key ASKUpgrade not found.
Service\Driver key ASKService not found.
========== FILES ==========
File\Folder C:\WINDOWS\3794865800 not found.

OTLPE by OldTimer - Version 3.1.48.0 log created on 10222011_162006

Files\Folders moved on Reboot...
File\Folder X:\AUTORUN.INF not found!

Registry entries deleted on Reboot...