Infection par ZeroAccess

[Gilux]

Salut,
J'ai chopé un rootkit ZeroAccess hier, pourtant j'ai rien téléchargé de suspect, ça doit venir d'une faille. Bref ça a tenté d'ouvrir Smart Fortress 2012, un antivirus foireux (rogue).
J'ai passé mon PC au RogueKiller, la clé a été supprimée donc en suivant la vidéo de tigzy (l'auteur du logiciel), une fois les fichiers supprimés on n'en n'entendrait plus parler. Je passe une 2e fois le RogueKiller après redémarrage, il me trouve 2 fichiers dans C\Windows\Installer (contenant les trojans TR/ATRAPS.Gen2 et TR/Sirefef.AG.35), jusque là c'est normal. Il les supprime, je redémarre. C'est là que ça devient problématique : les fichiers sont toujours là alors que la clé du registre a été supprimée. RogueKiller et Avira me confirment que les fichiers sont revenus dans Windows/Installer, alors que Malwarebytes ne trouve plus rien. J'ai l'impression qu'il revient sans arrêt à chaque redémarrage. En plus il me trouve régulièrement des trucs dans AppData/Local/Temp, apparemment il télécharge d'autres malwares pendant ce temps-là.
Avez-vous une idée pour virer définitivement cette merde ? (Pour info, j'ai suivi ce tuto : http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html)

Et 2 autres questions :
• Mon disque dur externe risque quelque chose si je le branche pour faire une sauvegarde de mes fichiers ? (au cas où...)
• J'ai une autre partition du disque infecté (C) avec Linux dessus. Si je lance Ubuntu au démarrage, je risque rien par rapport au virus ?

Merci d'avance, ça fait 2 ans que j'ai pas été emmerdé comme ça  :-X

[Ssk]

Pour la première question, je suppose que oui tu risque d'avoir une copies des malwares dans tes disques, mais si tu désactive l'autorun (quand tu récupérera les fichiers de backups) dans ton Windows tu ne risque rien.
Pour la deuxième question normalement tu ne risque rien, je ne pense pas que ce malware soit multiplateforme lol


Sinon, comme je n'ai jamais eu affaire avec ces malwares je n'ai pas de solution pour toi désolé.

[R@f]

Des malwares peuvent s'attraper en naviguant en naviguant sur des sites web (plugins Java, Quicktime ou du JavaScript) ou en ouvrant des fichiers tels que des images, des sons ou encore des vidéos. C'est pas uniquement des bêtes exécutables comme on le pense si souvent !

Je ne connaissais pas ce malware mais il a l'aire assez connu sur le web. J'ai lu qu'il servait à générer des clics sur des publicités avec ta machine et qu'il vient accompagné du célèbre ZeuS. Il y a plusieurs tools pour te débarrasser de ZeroAccess (qui me semblent un peu vieux) mais il faut après aussi te battre pour virer ZeuS si il est aussi installé sur ton PC. IMHO, il serait mieux de réinstaller Windows et de t'acheter (ou obtenir de manière illégale) un bon anti-virus tel que Kaspersky.

Pour ta première question, oui, chaque périphérique que tu branches sur une machine infecté risque quelque chose mais bon, si tu veux faire un backup de tes données, tu n'as pas trop le choix. Assure toi, comme l'a dit Ssk, de désactiver l'autorun et aussi de scanner ton disque dur externe.
Concernant la deuxième question, en général non. Les malwares s'amusent juste avec Windows et ne vont pas chercher si des partitions Linux (Ext2/3/4) existent et surtout je ne pense pas que le malware soit multi plateforme. Si c'est le cas, ça serait la première fois que je vois quelque chose de pareil !

Bref, good luck :)
++
R@f

[Gilux]

Je vais tout formater, ça ira plus vite... Même si tigzy arrive à s'en débarrasser complètement avec RogueKiller :/
Pour sauvegarder mes fichiers, si je passe par Linux mon disque dur risque quelque chose alors ? (Mes documents sont lisibles depuis les 2 OS donc ça devrait aller)

Pour ta première question, oui, chaque périphérique que tu branches sur une machine infecté risque quelque chose mais bon, si tu veux faire un backup de tes données, tu n'as pas trop le choix. Assure toi, comme l'a dit Ssk, de désactiver l'autorun et aussi de scanner ton disque dur externe.

Comment on le désactive ? L'autorun, c'est bien la fenêtre qui s'affiche quand Windows détecte un périphérique USB ?
Pour nettoyer le disque et le vacciner j'ai trouvé cet article, ça correspond bien ? http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible
Il y a un logiciel plus efficace en particulier ? (Tant de questions ^^)
Merci à vous deux :)

[Ssk]

L'autorun est désactivé de base sous Windows 7.

http://www.zdnet.fr/actualites/windows-7-microsoft-desactive-la-fonction-autorun-par-securite-39500149.htm

Pour le désactiver sous windows vista ou xp, tu trouvera facilement des "tuto" sur le net.

[Gilux]

Merci de votre aide, même si j'ai du supprimer Windows après avoir posté un topic sur le SDZ (Le virus semblait avoir disparu en le supprimant depuis Linux, mais il a également supprimé une partie des fichiers système). J'avais réussi à le réinstaller, mais il a replanté et j'arrive plus à le boot depuis le CD. Enfin bon c'est pas trop grave, je commence à m'y faire à Ubuntu et j'ai toujours Windows sur mon PC portable  :D
Les données sont sauvegardées, c'est l'essentiel :P

Sinon, totalement HS mais ça évitera de créer un autre sujet : Vous auriez un site fiable pour acheter des chargeurs de PC portable ? J'en ai vu beaucoup mais après avoir vu quelques avis leurs SAV seraient désastreux, et sur le site officiel Acer le chargeur dont j'ai besoin coûte plus de 70€...
Merci :)