Se connecter / S'enregistrer
Votre question
Fermé

comment supprimer zeroaccess.hi?

Tags :
  • Pare-feu
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Novembre 2012 17:06:46

Bonjour, mon pc est infecté par un cheval de troie(macaffee me l'a signalé et le pare-feu se desactive) il s'agit de zeroaccess.hi([rans.gendarm][blacklist] et malgré roguekiller le probleme revient ou plutot ne part pas.pouvez-vous m'aider?
d'avance merci!

Autres pages sur : supprimer zeroaccess

Contenus similaires
28 Novembre 2012 18:52:25


McAfee a l'air de fonctionner normalement, le pare-feu est activé.
Je ne sais pas si le probleme est réglé mais le scan de combofix semble avoir été efficace!
Score
0
a b 8 Sécurité
28 Novembre 2012 18:52:37

C'est mieux normalement nan ? On va supprimer les restes puis protéger cette ordinateur.

  • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
  • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt

    &

    • Télécharge OTL (de Old Timer) sur ton Bureau.
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Coche Avec liste blanche sous Registre: approfondi.
    • Fais de même pour celle devant Tous les utilisateurs.

    • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
      netsvcs
      msconfig
      drivers32
      activex
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\syswow64\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\syswow64\drivers\*.sys /lockedfiles
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      CREATERESTOREPOINT

    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    Score
    0
    28 Novembre 2012 20:51:18

    voici le rapport adwCleaner http://
    Score
    0
    28 Novembre 2012 22:14:59

    le rapport OTL.Txt :

    http://

    et le rapport Extras.Txt :

    http://

    Score
    0
    a b 8 Sécurité
    29 Novembre 2012 13:04:02

    Re,

    Tu remis le rapport Combofix au lieu de l'analyse OTL.
    Score
    0
    29 Novembre 2012 20:22:27

    Angeldark a dit :
    Re,

    Tu remis le rapport Combofix au lieu de l'analyse OTL.


    Bonjour,
    et merci pour ton aide!
    j'ai modifié les liens (par contre je n'arrive pas à les ouvrir comme les autres et pourtant meme manip)
    Score
    0
    a b 8 Sécurité
    29 Novembre 2012 20:40:41

    Re,

    Comment ça ?
    Tu peux désinstaller Spybot, complètement obsolète et SweetIM, un adware.

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE - HKU\S-1-5-21-165571102-350041811-770529688-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={7F958BBE-00A3-451C-BDA0-3F06EE7CC67C}
      CHR - default_search_provider: SweetIM Search (Enabled)
      O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
      O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
      O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-165571102-350041811-770529688-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-165571102-350041811-770529688-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-21-165571102-350041811-770529688-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      [2012/11/28 21:47:04 | 000,000,000 | ---D | C] -- C:\ProgramData\{AB2D8F2E-F7AD-4446-A11A-50D846B2CF2A}
      [2012/11/28 06:50:36 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{2AAE3D4E-4185-476E-8909-ED540DEAF07A}
      [2012/11/27 06:43:06 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{8E672A8E-1009-43B2-B35B-97D1618E8138}
      [2012/11/26 18:31:51 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{CC290065-866E-4512-B50B-C5DC92DF4D49}
      [2012/11/25 07:46:20 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{7B06ACBF-E3FA-4BA2-845F-D63592FCB1C8}
      [2012/11/23 22:51:39 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{304BD359-3F65-47AF-B77A-C7C686256E0D}
      [2012/11/22 17:58:07 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{CB57C5E8-454B-4586-8B53-09740EFC6363}
      [2012/11/21 23:15:52 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{1B0A85B7-DB14-408D-B57C-00DD18A1D008}
      [2012/11/21 07:18:09 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{6315A5EA-9EAA-40F7-9A41-B5AC1CC0FD89}
      [2012/11/20 06:50:16 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{12063284-1655-49DF-8CBE-430C81862E65}
      [2012/11/18 08:08:47 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{F6FAF3A9-87C9-4EE6-896A-6A7891D39F84}
      [2012/11/17 16:17:55 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{949143D1-4095-4E0C-A5BD-A088D8E635D8}
      [2012/11/16 23:28:20 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{E468D625-7C34-4DDE-93CA-201BE4AD9544}
      [2012/11/15 19:01:20 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{AD163821-9D59-4F4B-BA55-56E050A93CD2}
      [2012/11/15 06:45:58 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{C70DEB08-F190-4D09-8EB1-4E8F756F4B66}
      [2012/11/13 15:43:44 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{A1B7DCEB-CFDA-4E38-A263-C4D229F27347}
      [2012/11/12 19:39:36 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{99860728-CB9E-43DC-B571-39D7D708021D}
      [2012/11/12 06:40:11 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{6AA08436-D8EC-49CE-ACA1-BBCBAA5D8A9D}
      [2012/11/11 08:09:00 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{8E81BF6B-3089-4FF0-B7EA-16879F389BC5}
      [2012/11/10 09:11:49 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{41F7B492-B319-4BA8-9EF9-84D907AA1305}
      [2012/11/09 06:47:00 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{AF93805B-AACA-4FB0-97EB-DCC0516B2562}
      [2012/11/08 06:41:09 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{1D04FD2E-D796-466E-9734-3E4E981499E8}
      [2012/11/07 06:44:09 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{C439066A-51BF-4B5C-85D2-CAB625D1E04A}
      [2012/11/06 17:08:31 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{6B11C9EC-F62B-4991-9F8E-90E8A29A16E3}
      [2012/11/03 08:34:13 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{3132F748-6106-4872-B2BB-74A61A9F1135}
      [2012/11/02 09:12:18 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{22B4FC39-C24F-41A2-909A-50067A9719AC}
      [2012/11/01 17:18:07 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{4269B459-AE3D-4391-B63D-3C44BB710203}
      [2012/10/31 07:27:26 | 000,000,000 | ---D | C] -- C:\Users\FredSandra\AppData\Local\{334012F6-AFC0-4FB4-8895-D76C7D4E4B79}
      @Alternate Data Stream - 386 bytes -> C:\ProgramData\Temp:27AD48A5
      @Alternate Data Stream - 151 bytes -> C:\ProgramData\Temp:2556A8A0
      @Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:BB709C37
      @Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:593E515D
      @Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:3780BCC3
      @Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:A9B2AAD0
      @Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:86A8CE8D
      @Alternate Data Stream - 142 bytes -> C:\ProgramData\Temp:7DFDF9DF
      @Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:B3B92717
      @Alternate Data Stream - 137 bytes -> C:\ProgramData\Temp:3965C4E8
      @Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:4D066AD2
      @Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838
      @Alternate Data Stream - 131 bytes -> C:\ProgramData\Temp:E3C56885
      @Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:4CA7FA57
      @Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:6BEDD5B4
      @Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:ABE89FFE
      @Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0

      :files
      C:\Program Files (x86)\SweetIM
      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    Score
    0
    a b 8 Sécurité
    30 Novembre 2012 12:29:23

    On va regarder sur le virus n'a pas endommagé des services Windows et on va sécuriser le pc en faisant les mises à jour.

    • Télécharge Farbar Service Scanner (de Farbar) sur ton Bureau.
    • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    • Laisse les options cochées par défaut.
    • Coche en plus Windows Update et Windows Firewall.
    • Clique ensuite sur le bouton Scan.
    • Patiente pendant que l'outil travaille, un rapport FSS.tx va apparaitre.
    • Poste son contenu dans ta prochaine réponse.
    [/b][/color]

  • Rq : tu le retrouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt.

    &

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    Score
    0
    2 Décembre 2012 02:15:58

    Bonjour Angeldark,

    Farbar Service Scanner Version: 01-12-2012 02
    Ran by FredSandra (administrator) on 02-12-2012 at 01:48:20
    Running from "C:\Users\FredSandra\Desktop"
    Windows 7 Home Premium Service Pack 1 (X64)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Yahoo IP is accessible.
    Yahoo.com is accessible.


    Windows Firewall:
    =============

    Firewall Disabled Policy:
    ==================


    Windows Update:
    ============

    Windows Autoupdate Disabled Policy:
    ============================


    Other Services:
    ==============


    File Check:
    ========
    C:\Windows\System32\nsisvc.dll => MD5 is legit
    C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
    C:\Windows\System32\dhcpcore.dll => MD5 is legit
    C:\Windows\System32\drivers\afd.sys => MD5 is legit
    C:\Windows\System32\drivers\tdx.sys => MD5 is legit
    C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
    C:\Windows\System32\dnsrslvr.dll => MD5 is legit
    C:\Windows\System32\mpssvc.dll => MD5 is legit
    C:\Windows\System32\bfe.dll => MD5 is legit
    C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
    C:\Windows\System32\wuaueng.dll => MD5 is legit
    C:\Windows\System32\qmgr.dll => MD5 is legit
    C:\Windows\System32\es.dll => MD5 is legit
    C:\Windows\System32\cryptsvc.dll => MD5 is legit
    C:\Windows\System32\svchost.exe => MD5 is legit
    C:\Windows\System32\rpcss.dll => MD5 is legit


    **** End of log ****


    rapport SX http://
    Score
    0

    Meilleure solution

    a b 8 Sécurité
    2 Décembre 2012 20:36:19

    Désinstalle Java(TM) 6 Update 37 pour installer la dernière : http://www.java.com/fr/download/

    Pour finir, tu peux si tu le souhaites valider une meilleure réponse. Cette option disponible ou non en fonction du type de sujet marquera automatique le sujet comme résolu.

    On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.
    • Relance le logiciel puis clique sur Désinstallation.

  • Ta restauration du système contient des restes de ton infection, il faut donc la vider.
    Tu trouveras une aide dans le lien suivant pour Windows Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670

    /!\ Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection /!\
    partage
    5 Décembre 2012 21:27:59

    rapport delfix :

    http://
    Score
    0
    5 Décembre 2012 21:30:42

    le pc tourne bien je vais faire la manip restauration systeme... et penser aux MAJ maintenant !
    encore merci pour ton aide
    Score
    0
    a b 8 Sécurité
    5 Décembre 2012 21:57:11

    Bonne continuation :)  je ferme le sujet
    Score
    0
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS