Rootkit Sirefef pb réseau

Fermé
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012 - 9 mai 2012 à 11:50
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 - 30 mai 2012 à 17:45
Bonjour,

J'ai été infecté par le rootkit Sirefef.
A priori, TDSSKiller l'a supprimé.
Mais j'ai toujours des problèmes réseau :
Wifi : bloque sur "lecture de l'adresse réseau" (j'ai essayé en IP fixe -> wifi connecté, mais pas de connexion internet)
Réseau filaire : Connexion limitée ou inexistante.
Je suis sous Windows XP 2002 SP3

Quelqu'un peut m'aider ?
Merci

28 réponses

Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
9 mai 2012 à 11:59
Bonjour,

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le

* Une fenêtre apparait : clique sur "Disable"

* Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

===================================================

Attention, avant de commencer, lis attentivement la procédure

********************************************************

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »
Voici Aide combofix

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

*Note : Le rapport se trouve également là : C:\ComboFix.txt

@+
0
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012
9 mai 2012 à 12:48
Merci,
Je n'ai pas accès à internet sur mon PC.
Comment puis-je savoir si la console de récupération est déjà installée ?
0
Bonjour Matthieu,

Télécharge les outils demandés par Fish66 sur une clé USB à partir d'un autre pc. Cordialement Bridget
0
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012
9 mai 2012 à 14:11
Ma question concernait l'installation de la console de récupération windows. A priori, il n'y a pas d'install sur internet, mais je l'ai installé avec le CD windows. http://support.microsoft.com/kb/307654/fr#howtoinstallrc
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012
9 mai 2012 à 15:58
Merci Fish66.

Combofix a détecté le rootkit ZeroAccess, puis a lancé un redémarrage windows.
Au redémarrage, Combofix a déroulé différentes étapes.
(Norton s'est également relancé et a touvé Trojan.Gen.2)
Ensuite, ça a planté.
Du coup, je n'ai pas de rapport.

Mais je peux à nouveau me connecter à Internet.

Quand je relance Combofix, il détecte à nouveau le rootkit ZeroAccess, redémarre windows, et fini par planter :
Il y a un message d'erreur windows, exception inconnue, aux alentours des étapes 5/6, et ça fini par planter lors du lancement de la suppression de fichiers.
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
9 mai 2012 à 17:00
Re,

Toujours en utilisant un clé USB :

* Télécharge ZHPDiag (de Nicolas Coolman) à partir l'un
des deux liens : Lien 1 ou Lien 2
* Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)
* Clique sur l'icône en forme de loupe pour lancer le diagnostique
* Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com
* Fais copier/coller le lien fourni dans ta prochaine réponse
* Aide ZHPDiag : <<< ICI >>>

@+
0
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012
9 mai 2012 à 17:32
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
9 mai 2012 à 17:39
Re,

Télécharger AntiZeroAccess sur le bureau
* Double-cliquez dessus pour l'exécuter (Si vous utilisez Vista ou Windows 7, faites un clic droit dessus et sélectionnez "Exécuter en tant qu'administrateur")
* Tapez y et appuyez sur Entrée pour lancer le scan
* Si un redémarrage est nécessaire, le faire immédiatement.
* Poster le rapport AntiZeroAccess_Log.txt sur le forum.
* Ce fichier est enregistré dans le même emplacement que le programme AntiZeroAccess.

@+
0
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012
9 mai 2012 à 17:46
Webroot AntiZeroAccess 0.8 Log File
Execution time: 09/05/2012 - 17:40
Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3
17:41:04 - CheckSystem - Begin to check system...
17:41:04 - OpenRootDrive - Opening system root volume and physical drive....
17:41:05 - C Root Drive: Disk number: 0 Start sector: 0x00000800 Partition Size: 0x07724000 sectors.
17:41:05 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".
17:41:05 - InstallAndStartDriver - Main driver was installed and now is running.
17:41:05 - CheckSystem - Disk class driver state is OK.
17:41:20 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
17:41:20 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
17:41:20 - Execution Ended!


Webroot AntiZeroAccess 0.8 Log File
Execution time: 09/05/2012 - 17:44
Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
Modifié par Fish66 le 9/05/2012 à 17:59
Re,
Télécharge MBAM-CLEANER et enregistre-le sur ton bureau

Lance-le et suis les instructions.
Il va te demander ensuite de redémarrer le PC. Accepte.

==========================

Après redémarrage de la machine :

Télécharge et enregistre sur ton bureau MBAM
Installe-le.
Fais les mises à jour.
Fais une analyse complète, coche tout et supprime tout, et poste le rapport.

@+

_ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012
10 mai 2012 à 14:02
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.09.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
MLTurdu :: L-2CE0150H43 [administrateur]

10/05/2012 08:59:10
mbam-log-2012-05-10 (08-59-10).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 517626
Temps écoulé: 2 heure(s), 12 minute(s), 20 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
10 mai 2012 à 14:36
Salut,

Est ce que ta connexion internet est rétablie ?
Vérifie si tu as un problème de cablage ou utilise un autre navigateur!

============================

Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

@+

0
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012
11 mai 2012 à 09:55
Merci.

J'arrive à me connecter mais par moment ça rame... (sur mon autre PC moins puissant, ça ne le fait pas, ça ne vient donc pas de l'accès)

Le rapport :

# AdwCleaner v1.606 - Rapport créé le 11/05/2012 à 09:39:35
# Mis à jour le 10/05/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : MLturdu - L-2CE0150H43
# Exécuté depuis : C:\Documents and Settings\MLturdu\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : Application Updater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\MLturdu\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\MLturdu\Application Data\Search Settings
Dossier Supprimé : C:\Program Files\Application Updater
Dossier Supprimé : C:\Program Files\pdfforge Toolbar
Dossier Supprimé : C:\Program Files\Fichiers communs\spigot

***** [Registre] *****

Clé Supprimée : HKCU\Software\pdfforge
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\AppDataLow\Software\pdfforge
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Application Updater
Clé Supprimée : HKLM\SOFTWARE\pdfforge
Clé Supprimée : HKLM\SOFTWARE\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1521 octets] - [11/05/2012 09:39:27]

########## EOF - H:\AdwCleaner[S1].txt - [1587 octets] ##########
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
11 mai 2012 à 11:56
Salut,

Télécharge Dr Web CureIt sur ton Bureau :
? redemarre en mode sans échec
?- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
?- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
?- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
?- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques

?- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
?- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
?- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite héberge le rapport sur : http://pjjoint.malekal.com/
?- Ferme Dr.Web Cureit
?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

@+
0
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012
11 mai 2012 à 16:33
Merci.
Je vais lancer Dr Web Cureit, mais je n'arrive pas à déactiver symantec en mode sans échec, ce n'est pas un problème ?

Je me demandais aussi si le plantage de Combofix n'était pas lié au démarrage automatique de symantec lors du redémarrage windows.
Je n'arrive pas à empêcher ce démarrage automatique, certains paramètres de symantec sont bloqués, parce que c'est mon PC professionnel et que symantec est géré par la DSI. Est-ce que ça pourrait aider si je leur demandais comment le désactiver ?
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
11 mai 2012 à 16:38
Re,

En mode sans échec, il n'est pas demandé de désactiver ton antivirus!

tu vas effectuer les procédures exactement comme il est expliqué, merci

@+
0
Mathieu2727
14 mai 2012 à 09:59
http://pjjoint.malekal.com/files.php?id=20120514_u15i10l14u9u8
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
14 mai 2012 à 12:36
Salut,

Lance ZHPDiag depuis le bureau, clique sur : l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag

@+
0
Mathieu2727 Messages postés 15 Date d'inscription mercredi 9 mai 2012 Statut Membre Dernière intervention 30 mai 2012
29 mai 2012 à 11:23
Bonjour, je répond tard, j'étais en vacances.

Le rapport :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120529_y12q5w7v8u7

Depuis que j'ai lancé Dr Web Cureit (et supprimé certains fichiers), mon PC se "fige" au démarrage de ma session (ou ça met plus de 15min ?) . Par contre, j'arrive à ouvrir ma session rapidement, si je démarre d'abord mon PC avec une autre session.
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
29 mai 2012 à 11:40
Bonjour,

* Ouvre ton menu démarrer

-> Si tu es sur XP, ouvre exécuter, tape cmd et valide par pression sur la touche Enter

-> Sur Vista/Seven, dans le champ "Recherche" tape cmd , sur le résultat qui apparait, clic droit > exécuter en tant qu'administrateur

* Dans la fenêtre noire, tape sfc /scannow et laisse Windows réparer les fichiers.

@+
0