Probleme Virus sirefef.gen!C et connexion internet bloquée

Question

Bonjour à tous,
J'ai un problème assez important sur mon ordi, en effet lancant betement un executable censé etre un installateur de codecs je me suis retrouvé avec ce malware ou rootkit sur mon ordi.
Au départ, c'est Google Chrome qui m'a informé que mon ordi était infecté par sirefef.gen!C et mes recherches internet étaient redirigées vers des pages de pub. 
J'ai par la suite essayé du malwarebytes et du Rogue killer et rien n'y a fait.
Pire alors qu'au départ je pouvais naviguer sur internet désormais internet est bloqué, et je n'arrive plus à démarrer en mode sans échec avec prise en charge réseau...
J'ai ensuite essayé adwcleaner et TDSS, bien que qques menaces fut trouvées elles n'étaient liée qu'à un logiciel HP et leur désinstallation n'a eu aucun effet.

Je suis assez désespéré, étudiant j'ai un mémoire à rendre et de nombreuses recherches à faire donc mon ordi est indispensable, je me tourne vers vous en esperant que quelqu'un pourra trouver une solution à mon problème.

Merci d'avance

g3n-h@ckm@n · Answer

salut


Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Kyoledemon17 · Answer

Merci bcp pour ta réponse et ton aide, voila le scan: 

https://www.cjoint.com/c/CGfldhqXU1k

PS: Je tenais juste aussi à préciser, je ne sais pas si c'est important pour ton analyse ou pas, que depuis l'installation de ce rootkit, le centre de sécurité windows avait disparu et pareil pour microsoft security essential

Sinon pas de changement, ordi toujours ralenti et connexion internet tjrs bloquée

g3n-h@ckm@n · Answer

ok peux-tu verifier dans ce dossier :

c:\Pre_Scan\Infected

il doit y avoir un fichier "Services.exe" , tu cliques droit dessus , envoyer vers => dossiers compressés

ensuite tu me fais parvenir l'archive via cjoint.com

Kyoledemon17 · Answer

Voila :

https://www.cjoint.com/c/CGflknvfZ2Y

g3n-h@ckm@n · Answer

ok

merci

relance pre_can , clique sur diag et heberge le rapport pre_diag sur https://www.cjoint.com/ puis donne le lien correspondant

Kyoledemon17 · Answer

Encore une fois merci de ton aide

Voila le fichier:

https://www.cjoint.com/c/CGflEl3dBmL

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWCleaner sur ton bureau :

ne clique pas sur Download , attends que la fenetre de telechargement arrive pour confirmation

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

Kyoledemon17 · Answer

Voila:

# AdwCleaner v2.304 - Rapport créé le 05/07/2013 à 11:36:49
# Mis à jour le 03/07/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (32 bits)
# Nom d'utilisateur : Dino - DINO-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Dino\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.64

Fichier : C:\Users\Dino\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [5515 octets] - [05/07/2013 08:40:30]
AdwCleaner[S2].txt - [814 octets] - [05/07/2013 11:36:49]

########## EOF - C:\AdwCleaner[S2].txt - [873 octets] ##########

g3n-h@ckm@n · Answer

pourquoi tu m'as pas dit que tu l'avais deja passé ce matin ?

Kyoledemon17 · Answer

ben je l'ai écrit dans mon tout premier message en fait

g3n-h@ckm@n · Answer

ah oui j'avais pas vu , j'étudie ton rapport

Kyoledemon17 · Answer

Pas de soucis j'attends tes instructions ;)

g3n-h@ckm@n · Answer

je peux avoir ton rapport de malwarebytes ?

Kyoledemon17 · Answer

yes voila :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.04.10

Windows 7 Service Pack 1 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.7601.17514
Dino :: DINO-PC [administrateur]

Protection: Désactivé

05/07/2013 06:35:33
mbam-log-2013-07-05 (06-35-33).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 314517
Temps écoulé: 32 minute(s), 45 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ITUNES.EXE (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSNMSGR.EXE (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\itunes.exe|Debugger (Security.Hijack) -> Données: "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe" -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msnmsgr.exe|Debugger (Security.Hijack) -> Données: "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe" -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\Dino\Desktop\RemoveWAT.exe (HackTool.Wpakill) -> Mis en quarantaine et supprimé avec succès.
D:\juillet 13\downloadmanager_Setup.exe (PUP.Bundle.Installer.OI) -> Mis en quarantaine et supprimé avec succès.
D:\juillet 13\rpc412_setup.exe (PAssword.Tool) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

si tu cr@ckes tous tes programmes c'et normal que tu sois infecté

de plus tuneUp , à part fracasser le système , tu y gagnes rien
et puis un windows cr@cké est très mal vu sur les forums

Kyoledemon17 · Answer

En fait j'ai acheté l'ordi a un ami avec Windows déjà dessus...
Et je prends note pour TuneUp!

Mais tout marchait très bien avant et la c'est l'installation d'un faux pack de codec "x264 video codec" qui a tout foutu en l'air et pourtant je vois que dans les listes des elements mis en quarantaine de ton logiciel Pre scan y'a un element nommé " C'_Windows_Prefetch_X264 VIDEO CODECS XP-WIN7.EXE-2D8A668F.pf.P_S "

Est ce que tu vois une solution ?

g3n-h@ckm@n · Answer

et bien regarde ce que te fait risquer ton "ami"

 
 https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

Kyoledemon17 · Answer

Ouai je viens de voir en effet les risques sont nombreux... Merci de m'en informer

Dois je comprendre que tu n'as pas de solutions à mon problèmes ?

g3n-h@ckm@n · Answer

ton problème semble résolu 

refais un diag que je scripte les mer$es qu'il reste

Kyoledemon17 · Answer

En fait il n'est pas résolu parce que la connexion internet est tjrs bloquée. Que ce soit ma connexion free perso ou le freewifi, ca m'empeche de me connecter
Alors qu'avec mon telephone ou un autre ordi j'arrive a me connecter !

Donc je peux meme pas voir si google chrome me met encore le même message puisque je ne peux pas me connecter

En tout cas je te remercie encore une fois de ton aide et ta patience

g3n-h@ckm@n · Answer

precise un maximum sur ta connection internet que je voie

Kyoledemon17 · Answer

En fait dans la liste des connexions, il est noté que mon ordi est connecté mais au dessus là ou il est ecrit " actuellement connecté à ": ca reste sur " identification ... pas d'acces internet" 
Or je peux me connecter avec un autre ordi ou mon telephone...

Apres ce qui est bizarre c'est qu'au départ malgré la présence du rootkit je pouvais me connecter mais apres 2 ou 3 redemarrage en mode sans echec avec prise en charge reseau, ca ne marchait plus 

Je te joins les rapports Rogue Killer et TDSSKiller que j'ai fait, peut être ai je fait une connerie qui a endommagé un fichier lié à la connexion ??

https://www.cjoint.com/c/CGfm1TXExei
https://www.cjoint.com/c/CGfm11dLINp
http://cjoint.com/13ju/CGfm2hlc1sN.htm
http://cjoint.com/13ju/CGfm2yC499b.htm

Je reviens d'ici 2 3 heures en esperant que t'arrives à me sauver ;)
Merci d'avance

g3n-h@ckm@n · Answer

tu te connectes en wifi ?

g3n-h@ckm@n · Answer

je pense qu il faut réinstaller ta carte wifi le rootkit a du l'endommager

Kyoledemon17 · Answer

Est ce que tu pourrais m'orienter vers un tuto ?
J'y connais rien, j'ai acheté l'ordi comme ça, j'ai pas de cd et je sais pas du tout comment ca se passe..

g3n-h@ckm@n · Answer

t'as aucun moyen de te connecter en filaire ?

Kyoledemon17 · Answer

je viens de trouver un cable ethernet je le branche il le reconnait puisque ca met identification puis apres il me dit qu'aucun cable n'est branché...

La je viens de réessayer  il reste  sur identification avec le petit cercle bleu qui tourne puis petit triangle jaune comme le wifi

g3n-h@ckm@n · Answer

si tu fais

touche windows + R

tape :

cmd

dans la fenetre noire tape :

ipconfig /all

il te dit quoi ?

Kyoledemon17 · Answer

Microsoft Windows [version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tous droits réservés.

C:\Users\Dino>ipconfig/all

Configuration IP de Windows

   Nom de l'hôte . . . . . . . . . . : Dino-PC
   Suffixe DNS principal . . . . . . :
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Connexion réseau Bluetooth :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Périphérique Bluetooth (réseau perso
nnel)
   Adresse physique . . . . . . . . . . . : 00-21-86-A5-0A-94
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui

Carte Ethernet Connexion au réseau local :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Contrôleur Broadcom NetXtreme 57xx G
igabit
   Adresse physique . . . . . . . . . . . : 00-21-70-A3-A4-FB
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui

Carte réseau sans fil Connexion réseau sans fil :

   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Connexion réseau Intel(R) PRO/Sans f
il 3945ABG
   Adresse physique . . . . . . . . . . . : 00-1F-3C-AB-12-FB
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv6 de liaison locale. . . . .: fe80::ecfb:4f3e:b220:6f17%10(préféré
)
   Adresse d'autoconfiguration IPv4 . . . : 169.254.111.23(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.0.0
   Passerelle par défaut. . . . . . . . . :
   Serveurs DNS. . .  . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Tunnel isatap.{1A681785-2F04-466D-880A-F138630E3CFA} :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

Carte Tunnel isatap.{A45AC175-D68B-4F3D-B909-909619D04AA2} :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #2
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

Carte Tunnel Teredo Tunneling Pseudo-Interface :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

Carte Tunnel isatap.{0D7FD4F3-A098-4A81-80FB-80935006D54F} :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #3
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui

g3n-h@ckm@n · Answer

mouais elle est pourrie cette piste

t'as pas de points d'interrogation ou exclamation dans le gestionnaire des tâches ?

Kyoledemon17 · Answer

Que ce soit dans le gestionnaires de taches ou peripheriques aucun probleme n'est signalé.

le seul point d'exclamation est présent est celui qui est sur l'icone de connexion internet dans la barre de taches à coté de l'heure

Kyoledemon17 · Answer

petit double post pour que ce soit visible:

Je viens de voir que dans le dossier Drivers à l'intérieur du dossier System32

Je n'ai pas "afd.sys" mais "afd.sys.dump" est ce que cela  pourrait être la cause de mon probleme?

g3n-h@ckm@n · Answer

tu es vraiment sur de ne pas avoir AFD.sys ?

Kyoledemon17 · Answer

ouai certain il a du etre remplace je ne sais comment par afd.sys.dump

g3n-h@ckm@n · Answer

mmmmm...ikmpossible

fais une recherche sur ton ordi....

Kyoledemon17 · Answer

Y'en a pas d'autre il n'y a que afd.sys.dump

Kyoledemon17 · Answer

Je suis peut être sur une piste...
Il s'avère que je ne dispose pas du fichier ipsec.sys et d'aucun autre qui commence par ipsec alors que sur l'ordi sain duquel j'écris il n'y pas non plus ipsec.sys mais il y'a IPSECSVS.DLL et ipsecsnp.dll !

Qu'en penses tu ?

g3n-h@ckm@n · Answer

ok mets ca dans le dossier drivers :

(à dezipper et extraire le fichier .sys)

https://www.cjoint.com/c/CGgeNnMuYZ1

Probleme Virus sirefef.gen!C et connexion internet bloquée

38 réponses

Votre réponse

Discussions similaires

Newsletters