- lun. 31 oct. 2011 13:32
#4675
Bonjour,
Voici un sujet concernant le rootkit ZAccess/Sirefef.B/MAX++.
Qu'est-ce que cette infection ?
Le rootkit ZAccess/Sirefef.B/MAX++ est un malware capable de désactiver tous types de logiciels de sécurité (antivirus, logiciels de désinfection, etc. )
Mais aussi, il désactive bien souvent le réseau Internet, ce qui rend impossible toute connexion sur le Web. Cela passe tout de même parfois en mode sans échec avec prise en charge réseau (F8 au démarrage du BIOS).
Il effectue également des détournements Internet.
Comment se débarrasser de ce rootkit ?
Il est souvent très coriace, avec certaines variantes.
Le plus simple est de se laisser guider par un helper qualifié dans le forum Désinfection.
Essaie, dans l'ordre, au fur et à mesure, les outils suivants :
(Essayer en mode sans échec si les outils sont bloqués : F8 au démarrage. Si la connexion est impossible, mettre ces logiciels sur une clé USB, afin de les lancer sur le PC "malade". Penser à formater la clé avant de la réutiliser).
1/ TDSSkiller est téléchargeable ici : http://support.kaspersky.com/downloads/ ... killer.zip
Laisser cocher Cure si Win.32.ZAccess détécté.
2/ Combofix :
/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS/!\
__________________________________________________________
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
=====================================================
▶ Surtout, pense, à l'enregistrement, à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. Ainsi, car il ne sera pas détecté par l'infection.
Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
=Avant d'utiliser ComboFix :
=Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe
▶ Lance-le
Une fenêtre apparaît : clique sur "Disable"
▶ Fais "redémarrer l'ordinateur" si l'outil te le demande.
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
Referme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Si tu as XP = double clique
Si tu as Windows Vista ou Windows 7 = clic droit "Executer en tant qu'Administrateur"
Sur le combofix renommé.
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....), sauf si l'outil te le demande !!!!! Cela peut planter complètement ton système !!!
▶ N'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
3/ Un second passage de TDSSkiller, avant les mêmes paramètres cochés si Win.32.Zaccess est détecté.
4/ AntiZeroAccessRemover est téléchargeable ici : http://anywhere.webrootcloudav.com/antizeroaccess.exe
5/ McAfee Rootkit Remover : http://vil.nai.com/images/562354_2.zip
6/ RogueKiller, en mode 2 : http://www.sur-la-toile.com/RogueKiller/
Si le rootkit est toujours présent, essayer une restauration du système.
Bon courage !
Voici un sujet concernant le rootkit ZAccess/Sirefef.B/MAX++.
Qu'est-ce que cette infection ?
Le rootkit ZAccess/Sirefef.B/MAX++ est un malware capable de désactiver tous types de logiciels de sécurité (antivirus, logiciels de désinfection, etc. )
Mais aussi, il désactive bien souvent le réseau Internet, ce qui rend impossible toute connexion sur le Web. Cela passe tout de même parfois en mode sans échec avec prise en charge réseau (F8 au démarrage du BIOS).
Il effectue également des détournements Internet.
Comment se débarrasser de ce rootkit ?
Il est souvent très coriace, avec certaines variantes.
Le plus simple est de se laisser guider par un helper qualifié dans le forum Désinfection.
Essaie, dans l'ordre, au fur et à mesure, les outils suivants :
(Essayer en mode sans échec si les outils sont bloqués : F8 au démarrage. Si la connexion est impossible, mettre ces logiciels sur une clé USB, afin de les lancer sur le PC "malade". Penser à formater la clé avant de la réutiliser).
1/ TDSSkiller est téléchargeable ici : http://support.kaspersky.com/downloads/ ... killer.zip
Laisser cocher Cure si Win.32.ZAccess détécté.
2/ Combofix :
/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS/!\
__________________________________________________________
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
=====================================================
▶ Surtout, pense, à l'enregistrement, à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. Ainsi, car il ne sera pas détecté par l'infection.
Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
=Avant d'utiliser ComboFix :
=Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe
▶ Lance-le
Une fenêtre apparaît : clique sur "Disable"
▶ Fais "redémarrer l'ordinateur" si l'outil te le demande.
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
Referme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Si tu as XP = double clique
Si tu as Windows Vista ou Windows 7 = clic droit "Executer en tant qu'Administrateur"
Sur le combofix renommé.
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....), sauf si l'outil te le demande !!!!! Cela peut planter complètement ton système !!!
▶ N'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
3/ Un second passage de TDSSkiller, avant les mêmes paramètres cochés si Win.32.Zaccess est détecté.
4/ AntiZeroAccessRemover est téléchargeable ici : http://anywhere.webrootcloudav.com/antizeroaccess.exe
5/ McAfee Rootkit Remover : http://vil.nai.com/images/562354_2.zip
6/ RogueKiller, en mode 2 : http://www.sur-la-toile.com/RogueKiller/
Si le rootkit est toujours présent, essayer une restauration du système.
Bon courage !
FLTL_BYlamas_vf