[Réglé] Rootkit Zaccess • page 3

[Bashwilly]

Bon j'ai reussi a faire le fix. Cependant, comme dans le mode normal, quand je clique sur demarrer / arreter ou redemarrer, rien ne se passe... Je n'ai pas le choix de forcer l'arret. Ensuite dans le mode normal, les icons prenaient 5 minutes a apparaitre au demarrage, maintenant elles n'apparaissent plus dutout meme apres 10 minutes, je n'ai que le fond d'ecran...

[Del-crosseur]

Bonsoir ,

Vous avez retrouvé votre connexion internet ?

Vous m'avez pas dit se qu'a donner AntiZaccess en mode sans Échec demandé plus haut ?
Avez-vous passer le Scan Malwarebytes ?

Bonne soirée !

[Bashwilly]

Pour antizaccess, le scan a fini et ca a demander de redemarrer mais j'ai jamais pu le faire, quand je clique sur redemarrer ou arreter rien ne se passe.

Pour malwarebyte vous aviez dit d'aller le faire dans le mode normal ou j'avais mal compris?

[Bashwilly]

Pour antizaccess, le scan a fini et ca a demander de redemarrer mais j'ai jamais pu le faire, quand je clique sur redemarrer ou arreter rien ne se passe.

Pour malwarebyte vous aviez dit d'aller le faire dans le mode normal ou j'avais mal compris?

[Del-crosseur]

Bonjour ,

Le scan Malwarebyte étais demander en Mode normale du pc

Bonne journée !

[Bashwilly]

Bon voila ce qui c'est passer.

Premierement, j'ai demarrer le mode normal du PC. Comme toujours, les icons n'ont jamais apparues. J'ai jouer un peu avec controle + Alt + Supprime et j'ai reussi a faire apparaitre la fenetre en question. De la, j'ai tenter d'ouvrir C:program files. Du meme coup les icons du bureau ont apparues!

Ensuite j'ai essayer la connexion internet mais rien a faire, elle ne fonctionne toujours pas. Je ne peux meme pas vider la corbeille ni arreter l'ordinateur. Mais bon...

J'ai demarrer malwarebyte que j'avais deja mis a jour et j'ai lancer un scan complet. Apres 1 minutes a peine, le programme a planter. J'ai tenter de le redemarrer mais rien a faire il apparait un message d'erreur qui dit que je n'ai peut etre pas les autorisations necessaires pour lancer le programme. Ca m'avais fais ca avec stopzilla et la plupart des programmes sur mon ordinateur aussi. Donc encore la rien n'avance malheureusement :(.

Que ce passe t'il??

[Del-crosseur]

Bonsoir ,

Il se passe que l'infection à bien foutu le désordre dans se pc !
Connecter-vous à internet avec le mode Reatogo puis faite ceci:

• Télécharger sur le bureau RogueKiller de [color="#008000"]Tigzy[/color]
• Quitter tous les programmes en cours
• Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
• Sinon lancer simplement RogueKiller.exe
• Une fois ouvert , taper 1 et valider
• Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste moi le rapport...
• Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Puis essayer Malwarebytes.

Bonne soirée !

[Bashwilly]

Pour roguekiller:

RogueKiller V6.1.5 [10/29/2011] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: hxxp://www.geekstogo.com/forum/files/fi ... guekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User: SYSTEM [Admin rights]
Mode: Scan -- Date : 11/01/2011 07:03:23

Bad processes: 1
[SUSP PATH] IEXPLORE.EXE -- x:\i386\iexplore.exe -> KILLED [TermProc]

Registry Entries: 1
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Particular Files / Folders:

Driver: [NOT LOADED]

HOSTS File:
127.0.0.1 localhost


Finished : << RKreport[1].txt >>
RKreport[1].txt

[Bashwilly]

Jai reussi a faire fonctionner roguekiller en mode normal, voila le resultat:

RogueKiller V6.1.5 [29/10/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date : 01/11/2011 07:10:43

Processus malicieux: 3
[SUSP PATH] 3794865800:2012335645.exe -- c:\windows\3794865800:2012335645.exe -> KILLED [TermProc]
[SUSP PATH] 3794865800:2012335645.exe -- c:\windows\3794865800:2012335645.exe -> KILLED [TermProc]
[RESIDUE] 3794865800:2012335645.exe -- c:\windows\3794865800:2012335645.exe -> KILLED [TermProc]

Entrees de registre: 1
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichiers / Dossiers particuliers:

Driver: [LOADED]
SSDT[257] : NtTerminateProcess @ 0x805C8DA6 -> HOOKED (szkgfs.sys @ 0xF7605496)

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

_____________________________________________________________

Sinon, pour malwarebyte, il ne fonctionne toujours pas. Jai essayer de le demarrer en tant quadministrateur et ca marque que le programme ne peut pas demarrer car il a probablement ete desactive ou quil na aucun lien associer.

Mais cette fois ci jai reussi a fermer mon ordinateur en utilisant demarrer \ arreter

(Desoler pour les fautes, le clavier nest pas dans le mode normal donc jai pas daccent, accent aigu et apostrophe...)

[Del-crosseur]

re ,

Edit: Changement de procédure /!\

1-Télécharger DummyCreator.zip et décompresser cette archive.

• Lancez l'exécution de l'outil.
  
  
• Faites un copier/coller de la ligne ci-dessous dans la zone blanche:
  
  c:\windows\3794865800
  
• Cliquez sur le bouton Create et envoyez le rapport (contenu du fichier Result.txt).
  
  Important: Faites redémarrer l'ordinateur.

============================================

2-Télécharges GrantPerms:
Version 32bit: http://download.bleepingcomputer.com/fa ... tPerms.zip
Version 64bit: http://download.bleepingcomputer.com/fa ... erms64.zip

Décompresser l'archive ainsi téléchargée, et en fonction du système lancer GrantPerms.exe ou GrantPerms64.exe
Faire un Copier/Coller de ce qui suit dans la zone de saisie du programme, puis valider Unlock

c:\windows\3794865800




Cliquer sur Unlock. Lorsque l'outil a terminé, cliquer sur OK.

Cliquer sur List Permissions et envoyer en réponse le contenu du fichier Perms.txt qui s'est ouvert.
Le fichier Perms.txt est enregistré dans le dossier à partir duquel l'outil a été lancé.

Puis :::

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.

>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer
Copie la liste qui se trouve en citation ci-dessous:

:Files
c:\windows\3794865800

et colle-la dans le cadre de gauche de OTM sous ceci:


Clique sur pour lancer la suppression.

Attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.

Enfin :::

Télécharge ComBoFix de sUBs sur ton Bureau et pas ailleurs!

-Double-clic sur combofix.exe, accepte la licence d'utilisation et laisse toi guider.

-Si l'installation de la console de récupération t'es proposée <-- Accepte là.

-Lorsque Combofix travaillera , ne clique pas sur le fenêtre , il pourrait y avoir un Gel du programme...

-Attends que combofix ait terminé, un rapport sera créé.
Poste le rapport.

Tu peut consulter le tuto de ComboFix ici -> http://www.bleepingcomputer.com/combofi ... r-combofix


Bonne journée !

[Bashwilly]

Je fais tout ca dans le mode reatogo? Autant le telechargement que les scan/fix/peut importe...?

[Del-crosseur]

Télécharger les Outils proposé dans mode reatogo
ou
soit depuis un autre pc puis vous les transféré sur le pc infecté(sur le bureau) à l'aide d'une clé usb

Puis exécuté les procédure en Mode normale

[Bashwilly]

Dummy:


DummyCreator by Farbar
Ran by Administrateur (administrator) on 04-11-2011 at 09:40:58
**************************************************************

c:\windows\3794865800 [04-11-2011 09:40:58]

== End of log ==

[Bashwilly]

GrantPerms:

GrantPerms by Farbar
Ran by Administrateur at 2011-11-04 09:47:40

===============================================
\\?\c:\windows\3794865800

Owner: BUILTIN\Administrateurs

DACL(NP)(AI):
BUILTIN\Administrateurs FULL ALLOW (CI)(OI)
AUTORITE NT\SYSTEM FULL ALLOW (CI)(OI)
BUILTIN\Utilisateurs READ/EXECUTE ALLOW (CI)(OI)
BUILTIN\Utilisateurs READ/EXECUTE ALLOW (I)
BUILTIN\Utilisateurs READ/EXECUTE ALLOW (CI)(OI)(IO)(I)
BUILTIN\Utilisateurs avec pouvoir change ALLOW (I)
BUILTIN\Utilisateurs avec pouvoir change ALLOW (CI)(OI)(IO)(I)
BUILTIN\Administrateurs FULL ALLOW (I)
BUILTIN\Administrateurs FULL ALLOW (CI)(OI)(IO)(I)
AUTORITE NT\SYSTEM FULL ALLOW (I)
AUTORITE NT\SYSTEM FULL ALLOW (CI)(OI)(IO)(I)
CREATEUR PROPRIETAIRE FULL ALLOW (CI)(OI)(IO)(I)

[Bashwilly]

OTM:

========== FILES ==========
c:\windows\3794865800 folder moved successfully.

OTM by OldTimer - Version 3.1.19.0 log created on 11042011_095152