Sirefef

leozz -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,

Je viens demander de l'aide suite à une probable infection de Sirefef detecté par Chrome et Avast.

En naviguant sur les forum, j'ai essayé d'utiliser le logiciel RogueKiller. Il a trouvé des données que j'au supprimé, voici ce qui semble être le rapport :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Thibaut Cambon [Droits d'admin]
Mode : Suppression -- Date : 13/05/2013 20:19:33
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] MusicManager.exe -- C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1526602329-3622394769-2401582177-1000[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB51983$ >> \systemroot\system32\config --> SUPPRIMÉ
[Del.Parent][FILE] 1739758770 : C:\Windows\$NtUninstallKB51983$\1739758770 [-] --> SUPPRIMÉ
[Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB51983$\71159602\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB51983$\71159602\Desktop.ini [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\L\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 201d3dde : C:\Windows\$NtUninstallKB51983$\71159602\L\201d3dde [-] --> SUPPRIMÉ
[Del.Parent][FILE] 76603ac3 : C:\Windows\$NtUninstallKB51983$\71159602\L\76603ac3 [-] --> SUPPRIMÉ
[Del.Parent][FILE] xadqgnnk : C:\Windows\$NtUninstallKB51983$\71159602\L\xadqgnnk [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\L --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\000000cb.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000032.@ [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\U --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602 --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$ --> SUPPRIMÉ AU REBOOT
[Faked.Drv][FILE] csc.sys : C:\Windows\system32\drivers\csc.sys [-] --> IMPOSSIBLE DE REPARER

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHX2300BT ATA Device +++++
--- User ---
[MBR] c82d8438ba2479c2c513966a99dfc176
[BSP] 3f5889865b7e80f15b9509b049480514 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 11125 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 22786048 | Size: 275042 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: PIXIKA USB Flash Drive USB Device +++++
--- User ---
[MBR] 334f879b7b3c18a4590f5dab9fe2b3ea
[BSP] 25f3024595f3b7dfbbc81cdc98cec57c : Empty MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1007 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_13052013_201933.txt >>
RKreport[1]_S_13052013_201657.txt ; RKreport[2]_D_13052013_201933.txt

Maintenant, Chrome et Avast ne detectent plus rien. Par contre, je ne peux plus télécharger de fichier (problème analyse antivirus) et je ne peux plus activer le pare feu windows (erreur : 0x80070424).

Que faire ?

Merci de votre aide

108 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Résumé de la discussion

Une infection potentielle de Sirefef/ZeroAccess est évoquée après l'utilisation d'un outil de détection sous Windows 7 32 bits, signalant des éléments malveillants et des modifications du système. Le rapport RogueKiller détaille un processus malicieux actif, des entrées de registre modifiées et des suppressions de fichiers, ainsi que des modifications du fichier hosts et des informations sur le MBR. Plusieurs pistes évoquées incluent Combofix, le formatage d'une clé USB bootable et des essais avec différents navigateurs, tout en signalant des blocages antivirus et l'impossibilité d'activer le pare-feu Windows. Des éléments supplémentaires évoquent une persistance via certains chemins utilisateur et des paramètres système modifiés, et suggèrent que certaines actions de nettoyage apparaissent partiellement efficaces ou réversibles.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

    ou , si le lien n'est pas fonctionnel :

    http://www.archive-host.com (renommé winlogon)
    http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    ¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
    Windows 8 => meme flop que Vista X 10
    0
  2. leozz
     
    Voila le lien : http://cjoint.com/13mi/CEnxHmAsvdY.htm

    Merci !
    0
  3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    la machine a redemarré ?
    0
  4. leozz
     
    Non, j'ai eu une erreur à la fin "error allocating memory je crois" ...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\Windows\system32\drivers\csc.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
    0
  7. leozz
     
    Voila : https://www.virustotal.com/fr/file/3f63bc3a1caccda7d2ff828c839f248f3ba50ca8d25731f60577377c7739d6b9/analysis/1368481575/

    Au meme moment, Avast s'est déclenché sur un "un objet caché suspect (rootkit) a été trouvé etc."

    Il me demande ce que je dois faire avec le "csc.sys", le "csc.sys.dump" et le "SVC: CSC > C:\Windows\system32\drivers\csc.sys"
    0
  8. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ok on casse la baraque

    ==


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\


    Desactive tes protections : https://forum.pcastuces.com/default.asp

    clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

    Avant d'utiliser ComboFix :

    Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      ah mais c est la meme personne non ? oui les rapports sont au meme nom
      0
  9. leozz
     
    Le soucis c'est que je n'arrive pas à télécharger le fichier sur mon pc, et lorsque je le télécharge sur ma tablette, puis clé USB que je branche au PC, il me ressort un exe de 0 Ko...
    0
    1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      As-tu essayé avec Internet Explorer ?
      0
    2. leozz
       
      Oui, meme en renommant les fichiers, en mettant des .pdf
      0
    3. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      En désactivant Avast ?
      0
    4. leozz
       
      Avast oui
      0
  10. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    en mode sans echec ?
    0
  11. leozz
     
    Le mode sans echec plante, je n'y ai pas accès ...
    0
  12. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    selectionne ce texte , puis ctrl + C :

    search::
    csc.sys


    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  13. leozz
     
    Ok, c'est en cours ...
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      bien
      0
    2. leozz
       
      J'ai l'air d'être gravement infecté docteur ? :-)
      0
    3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      bah un gros rootkit ^^
      0
    4. leozz
       
      Saleté !

      Tu penses que ça va prendre du temps le scan ?
      0
  14. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ben là c'est pas un scan à proprement parler , on cherche une copie saine pour la remplacer
    0
  15. leozz
     
    Ha, okay. va falloir que je quitte tout ça vers 1h :-/
    0
  16. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ok arrete le script via le gestionnaire des taches je t'ai trouvé une copie saine

    https://www.cjoint.com/c/CEoaUv69Szm

    dezippe et mets le fichier csc.sys à la racine de ton disque c:\

    dis moi quand c est fait
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      bon suite

      supprime pre_script.txt que tu trouveras dans c: :\ ou sur ton bureau

      ==

      selectionne ce texte puis ctrl + C

      Replace::
      "C:\csc.sys" "C:\windows\system32\drivers\csc.sys"


      Relance Pre_scan puis choisis l'option "Script"

      une page va s'ouvrir

      logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

      sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

      puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

      des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

      =====

      le pc va redemarrer , ensuite refais un coup de virus total comme fait precedemment ici https://forums.commentcamarche.net/forum/affich-27803043-sirefef#5
      0
  17. leozz
     
    Ok, fait.

    Je l'ai juste mis sous C:

    Avats s'est encore reveillé ... je lui dit de faire quoi ? (pourtant je l'ai désactivé)
    0
  18. leozz
     
    https://www.virustotal.com/fr/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855/analysis/1368486180/
    0
  19. leozz
     
    il semblerait que je ne puisse toujours pas telecharger ...
    0
  20. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    fais la suite de ce que j ai rajouté au dessus

    edit::

    c'est le fichier dans le dossier drivers que tu as passé sur virus total là ?

    ¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
    Windows 8 => meme flop que Vista X 10
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6