Rootkit Sirefef pb réseau Fermé

Question

Bonjour, 

J'ai été infecté par le rootkit Sirefef.
A priori, TDSSKiller l'a supprimé.
Mais j'ai toujours des problèmes réseau :
Wifi : bloque sur "lecture de l'adresse réseau" (j'ai essayé en IP fixe -> wifi connecté, mais pas de connexion internet)
Réseau filaire : Connexion limitée ou inexistante.
Je suis sous Windows XP 2002 SP3

Quelqu'un peut m'aider ?
Merci

Fish66 · Answer

Bonjour,

Avant d'utiliser ComboFix :  
	
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lis attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt

@+

Mathieu2727 · Answer

Merci,
Je n'ai pas accès à internet sur mon PC.
Comment puis-je savoir si la console de récupération est déjà installée ?

Bridget · Answer

Bonjour Matthieu,

Télécharge les outils demandés par Fish66 sur une clé USB à partir d'un autre pc. Cordialement Bridget

Mathieu2727 · Answer

Ma question concernait l'installation de la console de récupération windows. A priori, il n'y a pas d'install sur internet, mais je l'ai installé avec le CD windows. http://support.microsoft.com/kb/307654/fr#howtoinstallrc

Mathieu2727 · Answer

Merci Fish66.

Combofix a détecté le rootkit ZeroAccess, puis a lancé un redémarrage windows.
Au redémarrage, Combofix a déroulé différentes étapes.
(Norton s'est également relancé et a touvé Trojan.Gen.2)
Ensuite, ça a planté.
Du coup, je n'ai pas de rapport.

Mais je peux à nouveau me connecter à Internet.

Quand je relance Combofix, il détecte à nouveau le rootkit ZeroAccess, redémarre windows, et fini par planter :
Il y a un message d'erreur windows, exception inconnue, aux alentours des étapes 5/6, et ça fini par planter lors du lancement de la suppression de fichiers.

Fish66 · Answer

Re, Toujours en utilisant un clé USB : * Télécharge ZHPDiag (de Nicolas Coolman) à partir l'un des deux liens : Lien 1 ou Lien 2 * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>> @+

Mathieu2727 · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120509_j6h13q13e9l11

Fish66 · Answer

Re,

Télécharger AntiZeroAccess  sur le bureau 
* Double-cliquez dessus pour l'exécuter (Si vous utilisez Vista ou Windows 7, faites un clic droit dessus et sélectionnez "Exécuter en tant qu'administrateur") 
* Tapez y et appuyez sur Entrée pour lancer le scan 
* Si un redémarrage est nécessaire, le faire immédiatement. 
* Poster le rapport AntiZeroAccess_Log.txt sur le forum. 
* Ce fichier est enregistré dans le même emplacement que le programme AntiZeroAccess.

@+

Mathieu2727 · Answer

Webroot AntiZeroAccess 0.8 Log File
Execution time: 09/05/2012 - 17:40
Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3
17:41:04 - CheckSystem - Begin to check system...
17:41:04 - OpenRootDrive - Opening system root volume and physical drive....
17:41:05 - C Root Drive: Disk number: 0  Start sector: 0x00000800   Partition Size: 0x07724000 sectors.
17:41:05 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".
17:41:05 - InstallAndStartDriver - Main driver was installed and now is running.
17:41:05 - CheckSystem - Disk class driver state is OK.
17:41:20 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
17:41:20 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
17:41:20 - Execution Ended!


Webroot AntiZeroAccess 0.8 Log File
Execution time: 09/05/2012 - 17:44
Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3

Fish66 · Answer

Re,  
Télécharge MBAM-CLEANER et enregistre-le sur ton bureau

Lance-le et suis les instructions.   
Il va te demander ensuite de redémarrer le PC. Accepte.   

==========================   

Après redémarrage de la machine :   

Télécharge et enregistre sur ton bureau MBAM   
Installe-le.   
Fais les mises à jour.   
Fais une analyse complète, coche tout et supprime tout, et poste le rapport.   

@+  

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Mathieu2727 · Answer

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.09.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
MLTurdu :: L-2CE0150H43 [administrateur]

10/05/2012 08:59:10
mbam-log-2012-05-10 (08-59-10).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 517626
Temps écoulé: 2 heure(s), 12 minute(s), 20 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Fish66 · Answer

Salut,

Est ce que ta connexion internet est rétablie ?
Vérifie si tu as un problème de cablage ou utilise un autre navigateur!

============================

Télécharge AdwCleaner (merci à Xplode) 
Lance AdwCleaner
Clique sur le bouton [ Suppression ] 
Patiente... 
Poste le rapport qui apparait en fin de recherche. 
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

@+

Mathieu2727 · Answer

Merci.

J'arrive à me connecter mais par moment ça rame... (sur mon autre PC moins puissant, ça ne le fait pas, ça ne vient donc pas de l'accès)

Le rapport :

# AdwCleaner v1.606 - Rapport créé le 11/05/2012 à 09:39:35
# Mis à jour le 10/05/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : MLturdu - L-2CE0150H43
# Exécuté depuis : C:\Documents and Settings\MLturdu\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : Application Updater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\MLturdu\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\MLturdu\Application Data\Search Settings
Dossier Supprimé : C:\Program Files\Application Updater
Dossier Supprimé : C:\Program Files\pdfforge Toolbar
Dossier Supprimé : C:\Program Files\Fichiers communs\spigot

***** [Registre] *****

Clé Supprimée : HKCU\Software\pdfforge
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\AppDataLow\Software\pdfforge
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Application Updater
Clé Supprimée : HKLM\SOFTWARE\pdfforge
Clé Supprimée : HKLM\SOFTWARE\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1521 octets] - [11/05/2012 09:39:27]

########## EOF - H:\AdwCleaner[S1].txt - [1587 octets] ##########

Fish66 · Answer

Salut, Télécharge Dr Web CureIt sur ton Bureau : ? redemarre en mode sans échec ?- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ?- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ?- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ?- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ?- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ?- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ?- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite héberge le rapport sur : http://pjjoint.malekal.com/ ?- Ferme Dr.Web Cureit ?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). @+

Mathieu2727 · Answer

Merci.
Je vais lancer Dr Web Cureit, mais je n'arrive pas à déactiver symantec en mode sans échec, ce n'est pas un problème ?

Je me demandais aussi si le plantage de Combofix n'était pas lié au démarrage automatique de symantec lors du redémarrage windows.
Je n'arrive pas à empêcher ce démarrage automatique, certains paramètres de symantec sont bloqués, parce que c'est mon PC professionnel et que symantec est géré par la DSI. Est-ce que ça pourrait aider si je leur demandais comment le désactiver ?

Fish66 · Answer

Re,

En mode sans échec, il n'est pas demandé de désactiver ton antivirus!

tu vas effectuer les procédures exactement comme il est expliqué, merci

@+

Mathieu2727 · Answer

http://pjjoint.malekal.com/files.php?id=20120514_u15i10l14u9u8

Fish66 · Answer

Salut,

Lance ZHPDiag depuis le bureau, clique sur : l'onglet  vert (flèche bas)  pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag

@+

Mathieu2727 · Answer

Bonjour, je répond tard, j'étais en vacances.

Le rapport :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120529_y12q5w7v8u7

Depuis que j'ai lancé Dr Web Cureit (et supprimé certains fichiers), mon PC se "fige" au démarrage de ma session (ou ça met plus de 15min ?) . Par contre, j'arrive à ouvrir ma session rapidement, si je démarre d'abord mon PC avec une autre session.

Fish66 · Answer

Bonjour,

* Ouvre ton menu démarrer  

-> Si tu es sur XP, ouvre exécuter, tape cmd et valide par pression sur la touche Enter  

-> Sur Vista/Seven, dans le champ "Recherche" tape cmd , sur le résultat qui apparait, clic droit > exécuter en tant qu'administrateur  

* Dans la fenêtre noire, tape sfc /scannow et laisse Windows réparer les fichiers.

@+

Mathieu2727 · Answer

Bonjour, et merci !
Je n'ai plus de pb au démarrage.
Il y a d'autres étapes à suivre ?
Comment puis-je savoir si le rootkit a completement disparu ?

Fish66 · Answer

Salut,
1/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\09181549.sys . (...) -- C:\WINDOWS\system32\Drivers\09181549.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\09181549.sys . (...) -- C:\WINDOWS\system32\Drivers\09181549.sys (.not file.)
O42 - Logiciel: pdfforge Toolbar v5.6 
[HKLM\Software\N53]



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

2/
Fais une analyse antivirus en ligne sur BitDefender on line avec Internet Explorer
Laisse-toi guider. Colle son rapport ici.

3/
Je te conseille de ne pas renouveler ton antivirus Norton et de le remplacer de changer  par un autre gratuit et efficace

@+

Mathieu2727 · Answer

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-30-05-2012-16-07-39.txt
Run by MLTurdu at 30/05/2012 16:07:39
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\09181549.sys . (...) -- C:\WINDOWS\system32\Drivers\09181549.sys (.not file.)
SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\09181549.sys . (...) -- C:\WINDOWS\system32\Drivers\09181549.sys (.not file.)
SUPPRIME Key: HKLM\Software\N53

========== Fichier(s) ==========
ABSENT File: c:\windows\system32\drivers\09181549.sys

========== Autre ==========
NON TRAITE O42 - Logiciel: pdfforge Toolbar v5.6


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Fichier(s)
1 : Autre


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/05/2012 16:07:39 [959]

Mathieu2727 · Answer

Pour info,
Finalement, j'ai encore des pb de démarrage de session

Mathieu2727 · Answer

Bitdefender QuickScan
"Aucune infection active n'a été détectée sur votre PC"

Fish66 · Answer

Re,
Y'a t'il un message d'erreur au démarrage ?

Est ce que tu peux m'envoyer une capture d'écran

@+

Mathieu2727 · Answer

Il n'y avait pas de message d'erreur, juste un blocage sur l'écran du bureau (vide) après le "chargement des données personnelles".
Mais ca ne me l'a fait qu'une fois depuis hier, après le "sfc /scannow" et avant le ZHPFix. Je viens de redémarrer sans pb. Je verrai ce qui se passe dans les prochains jours. Merci

Fish66 · Answer

Re,

Tu vas faire maintenant ce grand ménage :

Updatechecker :
Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour              
=========================================== 
**Nettoyage 

Suppression des outils de désinfections:
* Télécharge  Delfix   sur ton bureau.          
* Lance le, tape suppression puis valide          
* Patiente pendant le scan jusqu'à l'ouverture du rapport.          
* Copie/Colle le contenu du rapport dans ta prochaine réponse.          
Note : Le rapport se trouve également sous C:\DelFix.txt          
* Tu peux le desinstaller          

===========================================         
<code>Défragmentation : :
Défragmente tes disques dur par defraggler      
===========================================    

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim               
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis         
* Avancé et décoche la case Effacer uniquement les fichiers etc....         
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.         
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .         
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/         
Tu peux utiliser Ccleaner une fois par semaine        

===========================================    
Purger les points de restauration système:   

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :   

Windows XP    

Windows Vista    

Windows 7    

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...   

===========================================    
Conseils :       
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules          
complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...         

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.          

3/ Un peu de lecture :        
* Les dangers du Peer-To-Peer, Emule etc..         
* Comment Sécuriser son ordinateur...        
*Pourquoi et comment je me fais infecter   
 *pourquoi maintenir son navigateur à jour   

@+

Rootkit Sirefef pb réseau

28 réponses

Discussions similaires