Bonjour, Je viens demander de l'aide suite à une probable infection de Sirefef detecté par Chrome et Avast. En naviguant sur les forum, j'ai essayé d'utiliser le logiciel RogueKiller. Il a trouvé des données que j'au supprimé, voici ce qui semble être le rapport : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Thibaut Cambon [Droits d'admin] Mode : Suppression -- Date : 13/05/2013 20:19:33 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] MusicManager.exe -- C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe [-] -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 6 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ [RUN][SUSP PATH] HKUS\S-1-5-21-1526602329-3622394769-2401582177-1000[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB51983$ >> \systemroot\system32\config --> SUPPRIMÉ [Del.Parent][FILE] 1739758770 : C:\Windows\$NtUninstallKB51983$\1739758770 [-] --> SUPPRIMÉ [Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB51983$\71159602\@ [-] --> SUPPRIMÉ [Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB51983$\71159602\Desktop.ini [-] --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\L\00000004.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 201d3dde : C:\Windows\$NtUninstallKB51983$\71159602\L\201d3dde [-] --> SUPPRIMÉ [Del.Parent][FILE] 76603ac3 : C:\Windows\$NtUninstallKB51983$\71159602\L\76603ac3 [-] --> SUPPRIMÉ [Del.Parent][FILE] xadqgnnk : C:\Windows\$NtUninstallKB51983$\71159602\L\xadqgnnk [-] --> SUPPRIMÉ [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\L --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000004.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 00000008.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000008.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 000000cb.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\000000cb.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000000.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000032.@ [-] --> SUPPRIMÉ [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\U --> SUPPRIMÉ [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602 --> SUPPRIMÉ AU REBOOT [ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$ --> SUPPRIMÉ AU REBOOT [Faked.Drv][FILE] csc.sys : C:\Windows\system32\drivers\csc.sys [-] --> IMPOSSIBLE DE REPARER ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: FUJITSU MHX2300BT ATA Device +++++ --- User --- [MBR] c82d8438ba2479c2c513966a99dfc176 [BSP] 3f5889865b7e80f15b9509b049480514 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 11125 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 22786048 | Size: 275042 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: PIXIKA USB Flash Drive USB Device +++++ --- User --- [MBR] 334f879b7b3c18a4590f5dab9fe2b3ea [BSP] 25f3024595f3b7dfbbc81cdc98cec57c : Empty MBR Code Partition table: 0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1007 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_13052013_201933.txt >> RKreport[1]_S_13052013_201657.txt ; RKreport[2]_D_13052013_201933.txt Maintenant, Chrome et Avast ne detectent plus rien. Par contre, je ne peux plus télécharger de fichier (problème analyse antivirus) et je ne peux plus activer le pare feu windows (erreur : 0x80070424). Que faire ? Merci de votre aide Configuration: Windows 7 / Chrome 26.0.1410.64

Sirefef

Réponse 81 / 108

leozz

Je l'ai désinstallé.

Réponse 82 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

Télécharge ici :OTL

▶ enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ => Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

HKCU\Software
HKLM\Software
%Homedrive%\*
%LocalAppData%\*
%programFiles%\*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\system32\Tasks\*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork

CREATERESTOREPOINT

▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

Réponse 83 / 108

leozz

Done.

http://cjoint.com/?CEBvktw8j0d

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

le deuxieme ?

leozz

http://cjoint.com/13mi/CEBvW40C2V5.htm

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

@g3n : suffit de demander tu vois ? :D

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

hello ^^

Réponse 84 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\Explorer.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

==========================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1526602329-3622394769-2401582177-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
MOD - [2013/05/27 19:56:23 | 000,154,112 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxbase294u_net_vc90.dll
MOD - [2013/05/27 19:56:23 | 000,091,648 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_webview_vc90.dll
MOD - [2013/05/27 19:56:22 | 004,598,272 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_core_vc90.dll
MOD - [2013/05/27 19:56:22 | 001,234,944 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_adv_vc90.dll
MOD - [2013/05/27 19:56:22 | 000,595,968 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_html_vc90.dll
MOD - [2013/05/27 19:56:21 | 002,436,608 | ---- | M] (Python Software Foundation) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\python27.dll
MOD - [2013/05/27 19:56:21 | 001,985,024 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxbase294u_vc90.dll
MOD - [2013/05/27 19:56:21 | 000,128,512 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_elementtree.pyd
MOD - [2013/05/27 19:56:21 | 000,098,816 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32api.pyd
MOD - [2013/05/27 19:56:21 | 000,044,032 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_socket.pyd
MOD - [2013/05/27 19:56:20 | 000,557,056 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pysqlite2._sqlite.pyd
MOD - [2013/05/27 19:56:20 | 000,026,624 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_multiprocessing.pyd
MOD - [2013/05/27 19:56:20 | 000,022,528 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32ts.pyd
MOD - [2013/05/27 19:56:19 | 000,805,888 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._gdi_.pyd
MOD - [2013/05/27 19:56:19 | 000,320,512 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32com.shell.shell.pyd
MOD - [2013/05/27 19:56:19 | 000,070,656 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._html2.pyd
MOD - [2013/05/27 19:56:19 | 000,011,264 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32crypt.pyd
MOD - [2013/05/27 19:56:18 | 001,022,416 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\windows._cacheinvalidation.pyd
MOD - [2013/05/27 19:56:18 | 000,087,040 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_ctypes.pyd
MOD - [2013/05/27 19:56:18 | 000,017,408 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32profile.pyd
MOD - [2013/05/27 19:56:17 | 001,175,040 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._core_.pyd
MOD - [2013/05/27 19:56:17 | 001,153,024 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_ssl.pyd
MOD - [2013/05/27 19:56:17 | 000,735,232 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._misc_.pyd
MOD - [2013/05/27 19:56:17 | 000,364,544 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pythoncom27.dll
MOD - [2013/05/27 19:56:17 | 000,110,080 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pywintypes27.dll
MOD - [2013/05/27 19:56:17 | 000,108,544 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32security.pyd
MOD - [2013/05/27 19:56:16 | 000,811,008 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._windows_.pyd
MOD - [2013/05/27 19:56:16 | 000,711,680 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_hashlib.pyd
MOD - [2013/05/27 19:56:16 | 000,122,368 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._wizard.pyd
MOD - [2013/05/27 19:56:16 | 000,119,808 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32file.pyd
MOD - [2013/05/27 19:56:16 | 000,035,840 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32process.pyd
MOD - [2013/05/27 19:56:16 | 000,025,600 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32pdh.pyd
MOD - [2013/05/27 19:56:15 | 001,062,400 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._controls_.pyd
MOD - [2013/05/27 19:56:15 | 000,038,912 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32inet.pyd
MOD - [2013/05/27 19:56:14 | 000,686,080 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\unicodedata.pyd
MOD - [2013/05/27 19:56:14 | 000,127,488 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pyexpat.pyd
MOD - [2013/05/27 19:56:14 | 000,018,432 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32event.pyd
MOD - [2013/05/27 19:56:14 | 000,010,240 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\select.pyd
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

:Reg
[-HKEY_CURRENT_USER\Software\Conduit]
[HKLM\Software]
""=-
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_LOCAL_MACHINE\Software\McAfee.com]
[-HKEY_LOCAL_MACHINE\Software\mcafeeupdater]

:Files
C:\Windows\System32\drivers\csc.sy0

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]

▶ Clique sur "Correction" pour lancer la suppression.

▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Réponse 85 / 108

leozz

et hop : https://www.virustotal.com/fr/file/9e1ec8b43a88e68767fd8fed2f38e7984357b3f4186d0f907e62f8b6c9ff56ad/analysis/1369685320/

je fais OTL maintenant ?

Réponse 86 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

il à l'ai de puer cet explorer...

tel que demandé, oui :)

Réponse 87 / 108

leozz

Done !

http://cjoint.com/13mi/CEBwypSYBvK.htm

PS : je suis toujours avec Avast et pare feu désactivé...

Réponse 88 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

refais OTL ( l'analyse pas la correction) sous les mêmes conditions voir ?

Réponse 89 / 108

leozz

http://cjoint.com/13mi/CECaEp5mgB6.htm

http://cjoint.com/13mi/CECaEKdbzMM.htm

Réponse 90 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

suis ce tuto :

http://www.bibou0007.com/t3659-tutorial-dr-web-cureit

Réponse 91 / 108

leozz

Ok, c'est fait.

Il a supprimé : BlockDoor.Maxplus

Par contre, ce n'était pas du tout comme sur le tuto ...

J'ai réactivé Avast, et il a fait des alertes dans tout les sens.
Je n'au plus accès aux paramètres pour le pare feu windows et je n'ai plus accès à google :
"Le certificat de sécurité du site a été révoqué !
Vous avez tenté d'accéder à www.google.fr, mais le certificat présenté par le serveur a été révoqué par son émetteur. Cela signifie que le certificat présenté par le serveur ne doit pas être approuvé. Il est donc possible que vous communiquiez avec un pirate informatique.
Impossible de continuer, car l'opérateur du site Web exige une sécurité renforcée pour ce domaine."

... Ca a empiré !

Réponse 92 / 108

leozz

Je vais peut etre formater mon PC, ça ira plus vite non ?

Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention 10 324

C'est fort possible ^^

leozz

pfff, la loose !

Ya pas de risque si je transfert mes données sur DD que les virus suivent ?

Réponse 93 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

formate avec killdisc....

Réponse 94 / 108

leozz

Oula, ça a l'air de faire peur ça.
C'est facile à utiliser ?

Le soucis c'est que mon lecteur cd ne fonctionne plus.
(je formate avec une clé usb bootable avec Wibdows 7)

Réponse 95 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

change de pc

Réponse 96 / 108

leozz

Non, mais blague.
Je vais pas changger de PC quanmême. me

Tu penses qu'un formatage classique ne fonctionnera pas ?

Réponse 97 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

10 fois qu'on l'enlève ce rootkit....tu jouerais pas avec des cr@cks par hasard ?

retente ca :
https://forums.commentcamarche.net/forum/affich-27803043-sirefef?full#1

Réponse 98 / 108

leozz

Je refais un pré_scan là.
Pas tant que ça les CR@acks.

Non mais si on peut rien faire de plus je formate moi, jai besoin du PC pour bosser et la je suis complètement bloqué.

Tu penses que le virus va rester après un formatage ?

Réponse 99 / 108

leozz

Done : http://cjoint.com/13mi/CEDw0cO8Rar.htm

Réponse 100 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

fais un diag

Sirefef - Page 5

Newsletters