Bonjour,
Voici on m'a dit que j'avais un ZeroAccees qui transitait sur ma ligne internet et mon provider a bloqué la ligne et m'a donné des outils pour chercher le virus.
 
J'ai une 40 pc et je les ai tous passé avec:
https://security.symantec.com/nbrt/npe.aspx
 
Qui en mode expert permet de scanner et de ne faire qu'un rapport sur ce qu'il a trouvé sans rien effacer.
 
Il n'a rien trouvé sur mes PCs. (Ce qui ne veux peut être pas dire qu'ils sont clean...  ) mais bon.
 
Néanmoins pour plus de sécurité j'ai utilisé un autre logiciel:
http://www.symantec.com/content/en [...] Access.exe
 
Sur mes PC de jeux seulement. Il n'a rien trouvé mais j'ai comme l'impression qu'il a laissé quelque chose dans les PC car depuis, j'ai un programme de cybercafe (SmartLaunch) qui se lance au démarrage et qui ne fonctionne plus correctement.
 
Comment faire pour savoir si oui il y a quelque chose laissé par FixZeroAccess ou npe et l'enlever?
 
De même me confirmer que j'ai tout fait pour enlever les treats que j'aurai sur mes PC....
 
Merci beaucoup pour tout aide.
 
Charles

Re Bonjour,
 
je sais tout ne se fait pas en 1 jour, mais si quelqu'un pouvait m'aider cela serait vraiment sympa.
 
J'ai regardé plusieurs messages dans mon cas, et il semble que les réponses sont faites sur mesure, donc je n'ose pas trop utiliser les programmes qui ont été recommandés. Et de toutes les façons je ne saurais pas en lire l'essentiel.
 
Donc je voudrais juste voir si en nettoyant un des PC de jeux, je retrouve mon PC ou pas (fonctionnant comme avant).
 
Je vais utiliser le programme malwarebytes et voir ce qu'il trouve. J’espère que ce programme pourra trouver ce que le removeur FixZeroAccess a laissé sur mon PC et me permette de l'effacer.
 
En espérant que cela va m'aider,
Charles

Bonsoir charlyscafe,
 
 
Je doute que tu puisses trouver de l'aide sur un forum pour t'aider à désinfecter une quarantaine de pc (comme tu l'indique), c'est, je pense, ce qui fait "peur" dans ta demande d'aide.
 
Perso, bien que j'aime rendre service et désinfecter un ordinateur, je n'en ai aucune envie.
 
Pourquoi ? Car si tes pc's sont vraiment infectés par ZeroAccess, il faut les traiter un par un et chaque désinfection sera propre à chaque machine..... Tu vois ce que je veux dire.    
 
Je t'invite à pendre contact avec un professionnel rompu à ce genre de nettoyage "groupé".
 
Bon courage !!

Merci beaucoup pour ta réponse malwarebleach et je te comprend.
 
Néanmoins je ne demande pas un traitement sur les 40 pc, mais juste sur un pc de test de jeux.
 
Actuellement, je me débats sur des PC qui ne me semble pas réagir comme avant l'utilisation des "nettoyeurs" et je voudrais juste voir et enlever ce qui se seraient installés lors de ces nettoyages.
 
Si tu as des conseils sur la maniere la plus simple de voir ce qui pourrait occasionner des conflicts juste sur un PC, ou que je trouve quel sont les fichiers installés par les nettoyeurs, je suis preneur !!  
 
Merci encore
Charles

bonjour charlyscafe,
 
Je ne pense pas que l'outil de symantec ait ajouté des fichiers mais plutôt supprimé des fichiers.
 
Tu peux éventuellement faire une restauration système à une date antérieure au problème sur ce pc et ensuite faire un diagnostic que je peux analyser.
 
 
En général, quand ZeroAccess est présent sur un pc, on n'arrive plus à télécharger aucun fichier puisque windows defender est corrompu et empêche le téléchargement. Impossible de faire des mises à jour windows update, celles de l'antivirus, le pare-feu est hors service, restauration système hors service, corruption des ACL donc lancement des applis impossible, redirections des recherches google,....
 
Si tu as ce genre de symptômes sur tes pc's alors oui ils infectés.
 
 

Bonsoir,
 
Donc si je n'ai pas ces symptômes, je n'ai pas cette infection, correct?
 
Donc je ne suis pas infecté….
 
Néanmoins comme le provider trouve une trace de cette infection sur la ligne, … j'en déduis que c'est soit un PC que je n'ai pas vérifié (pas possible ...) soit quelqu'un se connectant à travers mon wifi (cela m'arrangerai tellement mieux… ). Je l'ai désactivé, le temps de voir plus clair.
 
Pourquoi je parle de fichiers qui sont resté dans mon ordi, c'est que à un moment j'ai démarré en mode sans échec un des pc de jeux, et lorsque le pc s'est mit à défiler la liste des fichiers au démarrage du poste en sans échec, j'y ai lu le nom d'un fichier du still "FixZeroAccess" donc il y a bien des fichiers de plus….
 
Depuis que j'ai passé ces "nettoyeur" mon programme de gestion d'un cybercafe ne réagit plus comme avant.
Je l'ai effacé et ré-installé, cela n'a pas changé.
 
Oui cela pourrait avoir effacé des fichiers, et si c'est le cas, je serai bien embêté.
 
Pour info, sur tous les pc, j'ai un antivirus à jour (nod32), un programme qui freeze le pc et qui à chaque redémarrage remet le pc dans la configuration du dernier freeze (deepfreeze), et sur les pc de jeux j'ai en plus un programme de gestion d'un cybercafe (smartlaunch). Donc je ne veux pas effacer à l'aveugle tout ce que les outils de désinfection pourraient trouver.
 
Soit j'arrive à trouver ce qui va pas, soit je vais devoir réinstaller tous les pc de jeux…. la galère !
 
Alors aujourd'hui j'ai fait tourner sur un des pc le programme malwarebleach et à part le programme client de smartlaunch il n'a rien trouvé d'autre.
 
C'est quoi ce programme que tu proposes à chaque fois d'utiliser pour "supprimer tous les outils de désinfection utilisés" DelFix
Je peux l'utiliser il va peut être trouver les fichiers dont je parle et me permettre de les effacer!?
 
J' ai trouvé des fichiers ajoutés dans les registres (regedit), mais je n'ai pas osé les effacer , car je n'y connais pas grand chose en registre. (même pas vu si je pouvais !)

Bonjour charlyscafe,
 

 
Ce n'est que théorique difficile de l'affirmer aussi rapidement surtout que ton provider (Fournisseurs d'Accès ici en France) t'annonce que cette vérole circule dans ton réseau.
 
 
 

 
Il est possible qu'il reste des traces du fix de symantec que tu as utilisé, je n'en serai d'ailleurs pas étonné.  
 
 

 
 
Alors si malwarebytes (et non malwarebleach) n'a rien trouvé, peu de chance que ce pc soit infecté par ZeroAccess ou alors le fix de Symantec a fait son boulot (il faut l'espérer).
 
Quant à Delfix, il ne te sera d'aucune utilité sur le coup. Cet outil est programmé pour supprimer certains programme de désinfection, sauf erreur de ma part, le fix de Symantec n'en fait pas parti (changelog de DelFix.
 
 
 
==> As-tu tenté une restauration système ou encore une restauration d'une image disk saine ?

Bonjour,
 
Excuse pour le nom de programme.
Non pas encore fait de restauration.
J'ai regardé si j'avais un point de sauvegarde, neni, c'était pas en fonction.
Et non je n'ai pas d'image disk saine…
je m'étais renseigné sur les solutions Acronis, mais je ne comprenais pas trop lequel des produits je devais prendre alors j'ai laissé tombé….
J'ai refais un teste sur un autre pc de jeux, même chose malwarebytes n'a rien trouvé.
 
Et au sujet des registres? tu crois que je pourrais effacer les fichiers du fix?
 
Bon je me suis demandé: Qu'y a t'il de différent qu'avant?
1) Le programme de cybercafe ne démarre plus en premier, et/ou prend beaucoup beaucoup plus de temps pour mettre sa couche devant windows.
2) On peut le bypasser ou le tuer à son démarrage.
 
Au faite y a t'il au niveau de windows la possibilité de dire quel est l'ordre de démarrage des programmes qui doivent s'ouvrirent au démarrage de windows?
 
Merci encore pour tes réponses et j'espère ne pas t'ennuyer. Le simple faite de pouvoir parler m'aide à chercher et peut être trouver les solutions…
 
Charles

Bonsoir,
 
Bien dommage, aucune solution de retour en arrière ou de ghost de tes machines. Perso, je trouve cela moyen, c'est pourtant ton gagne pain !
 
Je peux te proposer de faire un ZHPDiag de ce pc et t'encourager à passer malwarebytes sur toutes tes machines.
 
Scan ZHPDiag  
 
 

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau)

• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut (N'oublie pas de cocher Créer une icône sur le bureau)
• Pour Vista, Seven et windows 8 clic droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur"
• Lance ZHPDiag en double cliquant sur son icône présente sur le bureau
• Pour Vista, Windows 7 et Windows 8 clic droit sur le raccourci de ZHPDiag et "Exécuter en tant  qu'administrateur"

• Cette fenêtre va s'ouvrir :

• (1) Clique sur "configurer"
• (2) Clique en bas à gauche sur "la loupe"("lancer le diagnostic" )
• Clique sur "OUI" à l'invite

• Laisse le scan se dérouler
• Le scan terminé, ferme le fichier bloc-note qui vient de s'ouvrir. Il est sauvegardé sur ton bureau sous le nom de ZHPDiag.txt
• Copie/colle le lien ci-joint du rapport de ZHPDiag que tu auras hébergé dans ta prochaine réponse.

• Note : le rapport se trouvera également ici ==>  

•  XP : C:\Documents and Settings\username\Application Data\ZHP\ZHPDiag.txt
• Vista/7 et 8 : C:\Users\username\AppData\Roaming\ZHP\ZHPDiag.txt

Bonsoir,
 
Oui pas de ghost… mais avec deepfreeze (plus de 10 ans d'utilisation !) on a une super solution aussi de protection des pc…. mais bon j'avoue qu'une image bien propre maintenant… se serait pas du luxe….  
 
Et je n'ai jamais imaginé qu'une manipulation de se type (utilisation d'un fix) puisse me détériorer mon parc… Si c'est bien cela qui a perturbé mes PC….)  
 
Je vais passer ZHPDiag demain sur le PC de game voir ce que cela dit et je vais essayer de t'envoyer le rapport. SVP ne rigole pas mais je vois pas comment attacher le rapport.
 
P.S. Rassure moi, tous ces programmes d'analyses, ils ne laissent rien au niveau du système sur les PC !!!     <3 coeur qui bats !!!!!
 
Bonne soirée
Charles

pour héberger le rapport demandé :
 
Comment héberger un rapport sur ci-joint :
 

• Clique sur ce lien : http://www.cjoint.com/
• Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
• Clique sur Ouvrir.
• Clique sur "Créer le lien Cjoint" pour déposer le fichier.
• Un lien de cette forme, http://cjoint.com/?CFnaaobHAob, est ajouté dans la nouvelle page.
• Copie-colle ce lien dans ta réponse.

Aide en image => ICI
 
 
Apparemment, deepfreeze ne fait pas exactement ce que l'on attend de lui => rendre le système dans le même état après chaque redémarrage !?
 
Quant à la détérioration de ton parc, je ne comprends pas non plus.
 
Pour ZHPdiag, tout sera supprimé par Delfix  

Merci pour l'explication.
 
Deepfreeze fait ce qu'il faut, mais pour passer le FixeZeroAccess il faut redémarrer le pc et donc, pour ce faire il ne faut pas que le dit PC soit en mode protection… (sinon il ne peut pas redémarrer et se rappeler de faire le nettoyage) donc on passe le dit PC en mode dé-protection (((
 
DeepFreeze est vraiment génial je t'assure.
 
Et dire que juste avant j'avais fait un Scan avec NPE sur tous les pc en les laissant en mode protégés, car pour le scan je n'avais pas besoin de redémarrer les pc. Mais comme je ne trouvais rien, stupidement j'ai voulu en faire plus, en me disant que peut être en faisant cela je trouverais le(s) PC vérolé(s)
https://security.symantec.com/nbrt/npe.aspx  

Bonjour charlyscafe,
 
Okay. J'attends, si tu le souhaites, le rapport ZHPDiag de ton pc de jeux.
 
Si tu veux vérifier si aucune de tes machines n'est infectée par ZA, passes cet outil :
 
==> RogueKiller - en mode scan  
 

• Télécharges RogueKiller (de Tigzy) sur ton Bureau.
• Choisis la version correspondant à ton système d'exploitation (32 ou 64 bits)
• Sous windows Vista, seven et huit, lance RogueKiller, par un clique droit "Exécuter en tant qu'administrateur"  

    Note : Attends que le PreScan soit fini.
 
 

• Clique sur Scan.
• Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[X]¤S¤.txt a été créé.
• Héberge le rapport RKreport[X]¤S¤.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

   
 
 
++

Voici le lien:
http://cjoint.com/14ma/DCikF78dJ6i.htm
 
Ok je vais tenter RogueKiller

Voici le lien du rapport de RogueKiller:
http://cjoint.com/14ma/DCikPWEzDd8.htm

Re,
 
ZHPDiag montre bien deux entrées du fix de Symantec. Roguekiller, quant à lui ne montre aucune infection
 
On peut toujours faire un script avec ZHPFix pour virer ces deux entrées. Qu'en penses-tu ?
 
Contact ton provider pour lui demander si ton réseau est toujours infecté pour eux, perso, j'ai plus que des doutes !!

Il m'ont bloqué depuis 1 mois cette ligne de 100mb, heureusement que j'avais anticipé une ligne défectueuse et j'utilise un Load Balancing avec 3 différents providers . Malheureusement c'est la ligne la plus rapide qui est bloquée.
 
Mon problème est qu'il peut lever le blocage mais 1 fois seulement.
 
De plus il vient de faire de la publicité pour une ligne fibre à 1 G !!!!! moi qui n'est que "100" +20+20+20.
 
Je veux !!!!  
 
C'est possible de faire un script pour effacer les entrées du fix? Ok avec plaisir.

Dès 13:00 ce samedi, je dois m'occuper de mes filles pendant le weekend et je serais de retour lundi matin au cyber.
 
Je regarde un Firewall.... Si cela doit être dimensionné pour une ligne de 1g , LOL le budget ! Je m'étrangle !!!!

Re,
 
Procédure à suivre pour appliquer le script :
 
==> Script ZHPFix
 
 
 
Attention, ce script a été écrit spécifiquement pour l'ordinateur de charlyscafe, il n'est pas transposable sur un autre ordinateur.
 
 
 

• Clique sur ce lien http://pjjoint.malekal.com/files.p [...] _6611y7k15
• Sur la page qui s'ouvre clic droit et [Tout sélectionner]
• Refais un clic droit et [Copier]
• Double clic sur le raccourci de ZHPFix qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et [Exécuter en tant qu'administrateur]

• Sur La fenêtre qui s'ouvre clique sur [IMPORTER]

• Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
• Clique sur [Go]

• A la demande, confirme le nettoyage des données en cliquant sur [OUI]

• Patiente le temps du traitement.
• ZHPFix va te demander si tu souhaite vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)

• Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau  
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt

• Ferme ZHPFix - Redémarre ton ordinateur

• Héberge le rapport sur ci-joint et copie/colle le lien créé dans ta nouvelle réponse.

=> Refais un scan avec ZHPDiag poste le lien ci-joint du rapport dans ta réponse
 
Note : Tu as donc 2 rapports à poster.

Bonjour, merci, au moment ou j'allais partir j'ai vu ton post et je ne n'ai pas pu résister...
 
Lien pour après le script
http://cjoint.com/14ma/DCioueCoqVn.htm
 
Lien pour après le redémarrage:
http://cjoint.com/14ma/DCiou6MBhSr.htm
Merci

Pas de changement après le redémarrage, toujours la présence des deux entrées du fix ? C'est peut être dû à ton soft deepFreeze ??

Non non j'ai bien desactiver deep freezer avant d'opérer.
Je n'ai pas regardé les rapports, mais ce que je peux dire c'est que cela n'a pas changé le démarrage du Pc.
Alors si tu vois encore les entrées, il me faudra le refaire ce lundi. Et cela laisse de l'espoir que ça me règle alors mon problème.
 
Au faite y a t il in ordre des programmes qui s'il

Quand ils démarrent avec windows ( )

J'ai refais la manipulation et je suis bien en déprotégé
http://cjoint.com/14ma/DCkqjo3m2hm.htm
http://cjoint.com/14ma/DCkqkRHUW75.htm
 
Dis moi ce que je peux faire...
 
Merci

Bonsoir charlyscafe,
 
Bon la suppression via le script ne fonctionne pas.
 
Que faire ? Bonne question ! Vu que tu agis en mode déprotégé, la suppression devrait être effective. J'avoue que dans ce cas, il me manque surement des éléments, notamment au niveau du registre, que ZHPDiag ne montre pas.
 
On peut toujours changer d'analyseur ?
 
 

• Télécharge FRST (de Farbar) sur ton bureau !

• Ferme toutes les applications en cours !

• Lance FRST,  exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche la case Addition.txt
• Clique sur Scan

• Une fois le scan terminé rends toi sur le bureau, 2 rapports FRST.txt et Addition.txt ont été créés.
• Héberge les rapports FRST.txt et Addition.txt sur Cjoint, puis copie/colle les liens dans ta prochaine réponse

ok je vais faire cela. Malheureusement je suis coincé jusqu'à jeudi....
 
Juste une question, comment t'y prendrais tu pour juste trouver le PC qui serait infesté? (j'aimerai bien le trouver....)
Scanner avec RogueKiller tous les PC un par un?

 
C'est pour toi, d'ici jeudi tu auras largement le temps de formater le pc et de le reconfigurer pour ton cyber    
 

 
Ouais, tu as aussi TDSSKiller de Kaspersky. Mais bon si tu as une vérole de type Zeroaccess, le rapport de roguekiller est plus simple à interpréter, il indique l'infection plus ou moins en clair.  
Si tu as assez de patience, tu peux te lancer.
 
Bon courage !
 
 
 
 

merci

Bonsoir,
 
Journée super plein de clients, mais je n'ai pu faire que 13 pc avec RogueKiller, et aucune trace de zeroAccess... . et mise à jour des 12 pc games. Il y a d'autre fichiers, que je connais pas mais pas celui que je cherche.
Demain je continue avec RogueKiller les autres pc.
Je sauve chaque fois le rapport de RogueKiller pour chaque PC, au cas ou....
 
Bonne soirée

Non 13 pc et 5 de jeux !!!!!

Bonsoir,
 
Ok, tu avances dans tes recherches. Si toutefois tu as des doutes sur des rapports, envoies un lien Cjoint par MP si tu le souhaites.
 
Bonne chasse !

Merci beaucoup, il m'en reste un, le pc était occupé quand j'avais un moment de libre…..je n'ai pas effacé ce qui a été trouvé sur chaque PC, car je ne sais pas interpréter ce qu'il a trouvé...
 
J'ai eu une idée et peut être que tu pourrais me répondre:
J'avais dans les premiers temps utilisé un removal de ESET ESETSirefefCleaner.exe (1.1.0.17) et j'avais été content   car il trouvait une infection. Mais en y regardant de plus près il considérait le client de Smartlaunch (programme de gestion de cybercafe ) comme l'infection. Donc j'ai arrêté de l'utiliser.
 
Mais maintenant je me dis que si mon provider utilise un système qui crois détecter une infection qui n'est pas une infection mais qui ressemble à une infection, …. et que ce ne serait que le client smartlaunch?
 
PFUUuuuu ! Va essayer de le leur faire comprendre si jamais c'est cela !!!
 
Dès que j'aurais vérifié tous mes postes (afin de savoir que moi j'ai rien trouvé), je ferais en sorte que tous les accès à internet des pc jeux passent par les autres providers et je ne ferais plus transiter les pc qui utilisent smartlaunch au travers de l'accès que je leur demanderai de débloquer. Ainsi je verrai bien s' ils voient toujours une trace de zéro access sur ce réseau…. Qu'en penses tu?
 
Bon c'est l'idée, je pense pouvoir le réaliser avec le load balancing.
 
C'est sympa de ta part, je t'enverrai bien un ou plus de ces rapports juste pour savoir si toutes ces lignes dans le registre ou autre sont inoffensif…. et si je peux les effacer sans autres...
 
P.S. j'ai peut être fait une bêtise, j'ai utilisé RogueKiller depuis un dossier partagé, sans le recopier sur chaque pc, tu crois que cela pourrait faire en sorte que l'on ne voit pas l'infection s'il y en a une? Dans Chaque rapport on voit bien le nom de PC…  
 

 
Clairement non, même si son DEV préconise d'installer l'.exe sur le bureau. L'important est de le lancer.
 
Je suis ok pour que tu m'envoies des liens Cjoint sur les rapports pour lesquels tu as des doutes, par MP pas la peine d'encombre ce fil de discussion et le forum.
 
 
Quant à ton client smartlaunch, je ne suis pas étonné que les outils de nettoyage l'identifient comme néfaste du fait du comportement de ce programme sur les pcs. Ceci dit, je ne connais pas cette application et surtout quel est son comportement sur le réseau des réseaux ???  
 

 
L'idée est bonne   . Pour ma part, bien que sans preuve formelle, je suis convaincu qu'aucun de tes pcs n'est infecté.
 
++

J'ai 2 problèmes à résoudre.
1) virus ou pas de virus et avoir ma ligne de 100m/1gb fibre optique !
2) retrouver mes postes de jeux comme avant.  
 
La semaine prochaine, j'espère régler le point 1. mais comment leur faire comprendre si je n'ai pas de virus que ce qu'ils voient sur la ligne n'est pas un virus…            
 
Au faite:
Un des vendeur de firewall (UTM) me propose de poser un fw pendant 1 mois pour voir s'il le fw qu'il me proposerait serait bien dimensionné. Crois tu que si j'ai un FW et que si j'avais réellement un virus sur mon réseau, le FW me dirait quel pc est infecté!?
Ben voila la solution ! acheter un FW le moins chère (http://www.enterpriseav.com/UTM-100.asp) et trouver le(s) pc(s) avec des virus ! !!! Non sérieux, si une société a un FW la société pourrait facilement savoir ou se trouve les virus dans un réseau… !? Non?