Sirefef

leozz -  
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

Je viens demander de l'aide suite à une probable infection de Sirefef detecté par Chrome et Avast.

En naviguant sur les forum, j'ai essayé d'utiliser le logiciel RogueKiller. Il a trouvé des données que j'au supprimé, voici ce qui semble être le rapport :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Thibaut Cambon [Droits d'admin]
Mode : Suppression -- Date : 13/05/2013 20:19:33
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] MusicManager.exe -- C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1526602329-3622394769-2401582177-1000[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB51983$ >> \systemroot\system32\config --> SUPPRIMÉ
[Del.Parent][FILE] 1739758770 : C:\Windows\$NtUninstallKB51983$\1739758770 [-] --> SUPPRIMÉ
[Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB51983$\71159602\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB51983$\71159602\Desktop.ini [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\L\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 201d3dde : C:\Windows\$NtUninstallKB51983$\71159602\L\201d3dde [-] --> SUPPRIMÉ
[Del.Parent][FILE] 76603ac3 : C:\Windows\$NtUninstallKB51983$\71159602\L\76603ac3 [-] --> SUPPRIMÉ
[Del.Parent][FILE] xadqgnnk : C:\Windows\$NtUninstallKB51983$\71159602\L\xadqgnnk [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\L --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\000000cb.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000032.@ [-] --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\U --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602 --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$ --> SUPPRIMÉ AU REBOOT
[Faked.Drv][FILE] csc.sys : C:\Windows\system32\drivers\csc.sys [-] --> IMPOSSIBLE DE REPARER

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHX2300BT ATA Device +++++
--- User ---
[MBR] c82d8438ba2479c2c513966a99dfc176
[BSP] 3f5889865b7e80f15b9509b049480514 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 11125 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 22786048 | Size: 275042 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: PIXIKA USB Flash Drive USB Device +++++
--- User ---
[MBR] 334f879b7b3c18a4590f5dab9fe2b3ea
[BSP] 25f3024595f3b7dfbbc81cdc98cec57c : Empty MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1007 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_13052013_201933.txt >>
RKreport[1]_S_13052013_201657.txt ; RKreport[2]_D_13052013_201933.txt


Maintenant, Chrome et Avast ne detectent plus rien. Par contre, je ne peux plus télécharger de fichier (problème analyse antivirus) et je ne peux plus activer le pare feu windows (erreur : 0x80070424).

Que faire ?

Merci de votre aide


108 réponses

Précédent
Réponse 81 / 108
leozz
 
Je l'ai désinstallé.
0
Réponse 82 / 108
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%LocalAppData%\*
%programFiles%\*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\system32\Tasks\*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork

CREATERESTOREPOINT

▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
0
Réponse 83 / 108
leozz
 
Done.

http://cjoint.com/?CEBvktw8j0d
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
le deuxieme ?
0
leozz
 
http://cjoint.com/13mi/CEBvW40C2V5.htm
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
@g3n : suffit de demander tu vois ? :D
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
hello ^^
0
Réponse 84 / 108
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\Explorer.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

==========================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1526602329-3622394769-2401582177-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
MOD - [2013/05/27 19:56:23 | 000,154,112 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxbase294u_net_vc90.dll
MOD - [2013/05/27 19:56:23 | 000,091,648 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_webview_vc90.dll
MOD - [2013/05/27 19:56:22 | 004,598,272 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_core_vc90.dll
MOD - [2013/05/27 19:56:22 | 001,234,944 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_adv_vc90.dll
MOD - [2013/05/27 19:56:22 | 000,595,968 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_html_vc90.dll
MOD - [2013/05/27 19:56:21 | 002,436,608 | ---- | M] (Python Software Foundation) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\python27.dll
MOD - [2013/05/27 19:56:21 | 001,985,024 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxbase294u_vc90.dll
MOD - [2013/05/27 19:56:21 | 000,128,512 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_elementtree.pyd
MOD - [2013/05/27 19:56:21 | 000,098,816 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32api.pyd
MOD - [2013/05/27 19:56:21 | 000,044,032 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_socket.pyd
MOD - [2013/05/27 19:56:20 | 000,557,056 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pysqlite2._sqlite.pyd
MOD - [2013/05/27 19:56:20 | 000,026,624 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_multiprocessing.pyd
MOD - [2013/05/27 19:56:20 | 000,022,528 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32ts.pyd
MOD - [2013/05/27 19:56:19 | 000,805,888 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._gdi_.pyd
MOD - [2013/05/27 19:56:19 | 000,320,512 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32com.shell.shell.pyd
MOD - [2013/05/27 19:56:19 | 000,070,656 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._html2.pyd
MOD - [2013/05/27 19:56:19 | 000,011,264 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32crypt.pyd
MOD - [2013/05/27 19:56:18 | 001,022,416 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\windows._cacheinvalidation.pyd
MOD - [2013/05/27 19:56:18 | 000,087,040 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_ctypes.pyd
MOD - [2013/05/27 19:56:18 | 000,017,408 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32profile.pyd
MOD - [2013/05/27 19:56:17 | 001,175,040 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._core_.pyd
MOD - [2013/05/27 19:56:17 | 001,153,024 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_ssl.pyd
MOD - [2013/05/27 19:56:17 | 000,735,232 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._misc_.pyd
MOD - [2013/05/27 19:56:17 | 000,364,544 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pythoncom27.dll
MOD - [2013/05/27 19:56:17 | 000,110,080 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pywintypes27.dll
MOD - [2013/05/27 19:56:17 | 000,108,544 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32security.pyd
MOD - [2013/05/27 19:56:16 | 000,811,008 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._windows_.pyd
MOD - [2013/05/27 19:56:16 | 000,711,680 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_hashlib.pyd
MOD - [2013/05/27 19:56:16 | 000,122,368 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._wizard.pyd
MOD - [2013/05/27 19:56:16 | 000,119,808 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32file.pyd
MOD - [2013/05/27 19:56:16 | 000,035,840 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32process.pyd
MOD - [2013/05/27 19:56:16 | 000,025,600 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32pdh.pyd
MOD - [2013/05/27 19:56:15 | 001,062,400 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._controls_.pyd
MOD - [2013/05/27 19:56:15 | 000,038,912 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32inet.pyd
MOD - [2013/05/27 19:56:14 | 000,686,080 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\unicodedata.pyd
MOD - [2013/05/27 19:56:14 | 000,127,488 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pyexpat.pyd
MOD - [2013/05/27 19:56:14 | 000,018,432 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32event.pyd
MOD - [2013/05/27 19:56:14 | 000,010,240 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\select.pyd
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present


:Reg
[-HKEY_CURRENT_USER\Software\Conduit]
[HKLM\Software]
""=-
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_LOCAL_MACHINE\Software\McAfee.com]
[-HKEY_LOCAL_MACHINE\Software\mcafeeupdater]

:Files
C:\Windows\System32\drivers\csc.sy0

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 85 / 108
leozz
 
et hop : https://www.virustotal.com/fr/file/9e1ec8b43a88e68767fd8fed2f38e7984357b3f4186d0f907e62f8b6c9ff56ad/analysis/1369685320/

je fais OTL maintenant ?
0
Réponse 86 / 108
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
il à l'ai de puer cet explorer...

tel que demandé, oui :)
0
Réponse 87 / 108
leozz
 
Done !

http://cjoint.com/13mi/CEBwypSYBvK.htm

PS : je suis toujours avec Avast et pare feu désactivé...
0
Réponse 88 / 108
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
refais OTL ( l'analyse pas la correction) sous les mêmes conditions voir ?
0
Réponse 89 / 108
leozz
 
http://cjoint.com/13mi/CECaEp5mgB6.htm

http://cjoint.com/13mi/CECaEKdbzMM.htm
0
Réponse 90 / 108
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
suis ce tuto :

http://www.bibou0007.com/t3659-tutorial-dr-web-cureit
0
Réponse 91 / 108
leozz
 
Ok, c'est fait.

Il a supprimé : BlockDoor.Maxplus

Par contre, ce n'était pas du tout comme sur le tuto ...

J'ai réactivé Avast, et il a fait des alertes dans tout les sens.
Je n'au plus accès aux paramètres pour le pare feu windows et je n'ai plus accès à google :
"Le certificat de sécurité du site a été révoqué !
Vous avez tenté d'accéder à www.google.fr, mais le certificat présenté par le serveur a été révoqué par son émetteur. Cela signifie que le certificat présenté par le serveur ne doit pas être approuvé. Il est donc possible que vous communiquiez avec un pirate informatique.
Impossible de continuer, car l'opérateur du site Web exige une sécurité renforcée pour ce domaine."

... Ca a empiré !
0
Réponse 92 / 108
leozz
 
Je vais peut etre formater mon PC, ça ira plus vite non ?
0
Destrio5 Messages postés 85985 Date d'inscription   Statut Modérateur Dernière intervention   10 302
 
C'est fort possible ^^
0
leozz
 
pfff, la loose !

Ya pas de risque si je transfert mes données sur DD que les virus suivent ?
0
Réponse 93 / 108
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
formate avec killdisc....
0
Réponse 94 / 108
leozz
 
Oula, ça a l'air de faire peur ça.
C'est facile à utiliser ?

Le soucis c'est que mon lecteur cd ne fonctionne plus.
(je formate avec une clé usb bootable avec Wibdows 7)
0
Réponse 95 / 108
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
change de pc
0
Réponse 96 / 108
leozz
 
Non, mais blague.
Je vais pas changger de PC quanmême. me

Tu penses qu'un formatage classique ne fonctionnera pas ?
0
Réponse 97 / 108
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
10 fois qu'on l'enlève ce rootkit....tu jouerais pas avec des cr@cks par hasard ?

retente ca :
https://forums.commentcamarche.net/forum/affich-27803043-sirefef?full#1
0
Réponse 98 / 108
leozz
 
Je refais un pré_scan là.
Pas tant que ça les CR@acks.

Non mais si on peut rien faire de plus je formate moi, jai besoin du PC pour bosser et la je suis complètement bloqué.

Tu penses que le virus va rester après un formatage ?
0
Réponse 99 / 108
leozz
 
Done : http://cjoint.com/13mi/CEDw0cO8Rar.htm
0
Réponse 100 / 108
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   948
 
fais un diag
0

Discussions similaires

Virus : infection Win32:Malware-gen et Win64:Sirefef-A [Trj]
BCK -
kalimusic -

15 réponses