[Réglé] Rootkit Zaccess • page 4

[Bashwilly]

Combofix:

Pour combofix, je nai pas pu telecharger la console car ca disait connexion introuvable...

Sinon, le log donne ceci:

http://o9102p.1fichier.com/

[Del-crosseur]

Bonsoir ,

Cool , nous l'avions eu !

Retenté à nouveau le Scan de Malwarebyte
Poste-le rapport.

Refaite un Scan avec RogueKiller en choisissant l'option 1
Poste-le rapport.

pour la connexion internet:
1-débrancher la box pour réinitialiser celle-ci: sans rique pour la connexion qu'il a dans l'immédiat.

2-Aller ici et télécharger, sur le Bureau, la dernière version de CAT ("Crisis Aversion Tool" par teamrocketops).
Double-cliquer sur (Vista/W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") pour lancer le programme.



Cliquer sur le menu Fixes et cocher les cases devant les lignes suivantes:

[*]Flush DNS Resolver Cache
[*]Repair Internet Explorer
[*]Repair SSL/HTTPS/Cryptographic Services
[*]Reset All Networking Interfaces
[*]Reset Permissions
[*]Reset Default Services Start States

Fermer toutes les fenêtres et applications ouvertes sauf CAT puis presser le bouton "Apply Checked Fixes". Fermer le programme et Redémarrer le PC.
A noter que le programme crée un dossier nommé "CAT-Logs" à la racine de la partition système (généralement C:\CAT-Logs). Penser à supprimer ce dossier à la fin du nettoyage.

Bonne fin de journée !

[Bashwilly]

Malwarebyte:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8084

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

2011-11-05 09:56:41
mbam-log-2011-11-05 (09-56-41).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 292702
Temps écoulé: 1 heure(s), 4 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{34945e69-0c65-4060-9ef9-b77c8c295ff0}\RP4761\A0074365.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\administrateur\local settings\application data\880e31e2\X.vir (Backdoor.0Access) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\administrateur\local settings\application data\880e31e2\U\80000000.@.vir (Spyware.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\administrateur\local settings\application data\880e31e2\U\800000cb.@.vir (Backdoor.0Access) -> Quarantined and deleted successfully.

[Bashwilly]

RogueKiller (J'ai seulement fait le mode 1 comme demander... Il ne faut pas faire le mode 2 supprimer après??):

RogueKiller V6.1.6 [01/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date : 05/11/2011 10:01:34

Processus malicieux: 0

Entrees de registre: 1
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichiers / Dossiers particuliers:

Driver: [LOADED]
SSDT[257] : NtTerminateProcess @ 0x805C8DA6 -> HOOKED (szkgfs.sys @ 0xF7605496)

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

[Del-crosseur]

Bonsoir ,

Si faite la suppression de RogueKiller => 2

Avez vous retrouvé votre connexion internet ?

Télécharge TDSSKiller sur ton Bureau.

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.
Lance load_tdsskiller en double-cliquant dessus.
Clic droit et"exécuter en tant qu'administrateur" avec Vista/Seven

A cette fenêtre lance le scan.



-Récupérer le rapport en validant Report
Poste-le moi

Si des fichiers infects sont trouvés, une nouvelle fenêtre s'ouvre:

• Si TDSS.tdl2 est détecté l'option "delete" sera cochée par défaut.
  
• Si TDSS.tdl3 est détecté assure toi que "Cure" est bien cochée.
  
• Si TDSS.tdl4 (\HardDisk0\MBR) est détecté assure toi que "Cure" est bien cochée.
  
• Si Suspicious file est indiqué, laisse l'option cochée sur "Skip"
  
• Si Rootkit.Win32.ZAccess est détecté règle sur "cure" en haut , et "delete" en bas.
  
• Clique sur "Continue" puis sur "Reboot now" pour redémarrer le PC.

exemple:


redémarres le pc pour confirmer la suppression de celle-ci.


info supplémentaire -> http://support.kaspersky.com/viruses/so ... =208280684

Bonne soirée !

[Bashwilly]

Est-ce qu'il fallait que je t’envoie le log de Cat?

[Del-crosseur]

Oui !

[Bashwilly]

Tdsskiller: http://qd3230.1fichier.com/

Cat: http://df7r0o.alterupload.com/

Pour cat, une fois que je viens de t'envoyer le fichier, je le supprime?

[Del-crosseur]

Oui , Avez-vous retrouvé votre connexion internet ?

Avez-vous fais la procédure demander avec RogueKiller ?

[Bashwilly]

Oui j'ai retrouvé la connexion et mon ordinateur semble bien fonctionner. Stopzilla c'est mis a fonctionner a nouveau et là je vais vérifier les divers programmes avec lesquels j'avais des problèmes!

Pour roguekiller, il y avait une procédure?

[Del-crosseur]

Super !

Oui ; Relancer RogueKiller puis taper 2 (suppression)
Poste-le rapport !

[Bashwilly]

RogueKiller V6.1.6 [01/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 05/11/2011 10:35:01

Processus malicieux: 0

Entrees de registre: 1
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()

Fichiers / Dossiers particuliers:

Driver: [LOADED]
SSDT[257] : NtTerminateProcess @ 0x805C8DA6 -> HOOKED (szkgfs.sys @ 0xF7605496)

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

[Del-crosseur]

Nous allons maintenant faire un diagnostique de votre pc:



Télécharge ZHPDiag par Nicolas Coolman et sauvegarde-le sur le Bureau.

• Laisse toi guider lors de l'installation, le programme se lancera automatiquement à la fin.
  
• /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag:
  « exécuter en tant qu'Administrateur »/!\
  
• Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
  
• /!\Ne touche pas au pc lors du Scan ,celui-ci provoquerait un Gel du programme/!\
  
• Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette
  
• Va sur le site http://www.cijoint.fr/
  
• Clique sur le bouton Parcourir et sélectionne le dernier rapport ZHPDiag.txt qui est sur ton bureau.
  
• Clique ensuite sur cliquez-ici pour déposer le fichier (vers le bas de la page)
  
• Patiente puis copie/colle dans ta réponse le lien qui apparait

[quote]Note: pour les utilisateurs d'Avast : Cet antivirus génère des alertes, il s'agit de faux positif (fausses alertes) délivrés par l'antivirus lorsqu'il rencontre une base de donnée PARADOX Delphi Borland.

[Bashwilly]

Quand j'installe le programme, il apparait 3 icons sur le bureau. Je clique sur le parchemin (ZHPdiag) pour lancer le programme et il y a une erreur qui dit: Ne peut pas démarrer car hhctrl.ocx est introuvable.

[Del-crosseur]

Même par clique-droit et Exécuté en tant qu'administrateur ?

Désinstaller et réinstaller le programme
=> Essaye avec se lien : http://www.commentcamarche.net/download ... 99-zhpdiag

Dite moi si cela fonctionne si pas on feras autrement !