Forums Zebulon.fr: Virus Sirefef / reboot automatique après 1 minute - Forums Zebulon.fr

Bonjour,

Je me bats avec une infection depuis 1 semaine, sans succès.
Au départ il y avait un 'faux' antivirus qui apparaissait au démarrage du PC, 'Security Shield' et qui me trouvait des faux-virus et me demandait de payer en ligne pour pouvoir les corriger.
J'ai installer MSE pour éradiquer ce problème. Effectivement le faux-antivirus a disparu, mais maintenant à chaque démarrage du PC MSE détecte 2 virus de type Sirefef (.AQ et .R je crois), autrement connu sous le nom de ZeroAccess, et surtout le PC reboot automatiquement après 1 minute. Donc je n'ai pas vraiment le temps d'appliquer des actions anti-virus/spyware pour corriger le problème.
Le PC reboot également automatiquement en mode sans échec.

J'ai réussi tout de même de nombreux tests... entre autres : TDSSkiller qui ne trouve rien, Rootkit Removal Tool idem, Roguekiller trouve quelquechose mais le PC reboot avant correction, EZ_Sirefix trouve rien,FixZeroAcces idem.
J'ai ensuite utilisé un DrWeb CureIt Live CD, qui a trouvé quelques menaces mais pas supprimer le virus (les symptômes étaient toujours la)
Ensuite un CD Hiren's boot CD ou j'ai essayé tous les Antivirus/Spyware livrés avec mais sans succès.

Voila, maintenant j'ai besoin d'aide! Toujours garder en tête que je n'ai en général qu'1 minute avant que le PC reboote, donc pas le temps pour des actions 'longues'. Si ce problème de reboot pouvait être réglé je pense que ce serait plus facile ensuite.

Merci d'avance.

Ce message a été modifié par Leeroy8 - 31 juillet 2012 - 07:08 .

Bonsoir,

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)
Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

Télécharger OTLPEStd.exe

Ou à partir de ce lien
sur le Bureau
Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.
Lancez le fichier OTLPEStd.exe ;
Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.
Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.
Vous devez voir bureau REATOGO-X-PE


Utilisez Internet Explorer pour
Télécharger RogueKiller (by tigzy) sur le bureau

Si vous n'avez pas d'accès Internet,utilisez la machine propre pour le télécharger vers une clé Usb

Lancer RogueKiller.exe.
Patienter le temps du Prescan ...
Cliquer sur Scan.
Cliquer sur Rapport et copier/coller le contenu

Nettoyage

Dans l'onglet "Registre", décocher les lignes suivantes:
(Lignes à décocher:celles que vous avez volontairement modifiées)
Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu
Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu
Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu
Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad
Sauf avis contraire, ne touchez pas aux index SSDT
Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT
(Liste des indexes)

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Bonsoir,

N'ayant pas de CD vierge sous la main je me suis permis d'utiliser ma clé USB bootable sous Hiren CD(HBCD) qui est un environnement PE similaire à OTLPE. J'irai acheter un CD demain s'il le faut vraiment.

Voici le rapport Rogueiller, sans erreur (puisque RogueKiller scanne en fait mon environnement PE et non pas mon enviironnement Windows Seven infecté)

Donc je n'ai pas fait de suppresion.

RogueKiller V7.6.4 [07/17/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: RogueKiller - Geeks to Go Forums
Blog: tigzy-RK

Operating System: Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User: SYSTEM [Admin rights]
Mode: Scan -- Date: 08/01/2012 01:01:21

¤¤¤ Bad processes: 3 ¤¤¤
[SUSP PATH] opera.exe -- B:\Temp\HBCD\Opera\Opera.exe -> KILLED [TermProc]
[SUSP PATH] opera.exe -- B:\Temp\HBCD\Opera\Opera.exe -> KILLED [TermProc]
[RESIDUE] opera.exe -- B:\Temp\HBCD\Opera\Opera.exe -> KILLED [TermProc]

¤¤¤ Registry Entries: 0 ¤¤¤

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤
IRP[IRP_MJ_CREATE_NAMED_PIPE] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_READ] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_WRITE] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_QUERY_INFORMATION] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_SET_INFORMATION] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_QUERY_EA] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_SET_EA] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_FLUSH_BUFFERS] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_QUERY_VOLUME_INFORMATION] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_SET_VOLUME_INFORMATION] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_DIRECTORY_CONTROL] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_FILE_SYSTEM_CONTROL] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_SHUTDOWN] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_LOCK_CONTROL] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_CLEANUP] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_CREATE_MAILSLOT] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_QUERY_SECURITY] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_SET_SECURITY] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_QUERY_QUOTA] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_SET_QUOTA] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)
IRP[IRP_MJ_PNP] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ HOSTS File: ¤¤¤


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 5b7901d8f3cf6c2878046fc706a7b845
[BSP] c5da704f45e60b8764d5c2bd6a31021f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 145032 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 297025785 | Size: 7593 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] e1c8c0f8f6fe815f17ff5e3a71486e72
[BSP] 964764d30d96fe8acd58e826b56d805b : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 24591 Mo
1 - [ACTIVE] FAT16-LBA (0x0e) [VISIBLE] Offset (sectors): 50379840 | Size: 400 Mo

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] d1db65f566992fff76cd1e6a8dd5e388
[BSP] 5dba855177b96ca4937ff156732e5c5b : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 980 Mo
1 - [XXXXXX] UNKNOWN (0x21) [VISIBLE] Offset (sectors): 2008125 | Size: 0 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt



Finalement voici le rapport RogueKiller fait sous OTLPE:


RogueKiller V7.6.4 [07/17/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo...13-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User: SYSTEM [Admin rights]
Mode: Scan -- Date: 08/01/2012 14:49:35

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 2 ¤¤¤
[HJPOL] HKCU\[...]\Policies\Explorer\Explorer : NoSMHelp (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 3a27fdcb4877817ffc40c78ad481cd80
[BSP] 3bd2f17ef98391b22158dffe6194ffa7 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 3929 Mo
1 - [XXXXXX] UNKNOWN (0x21) [VISIBLE] Offset (sectors): 8048565 | Size: 0 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 5b7901d8f3cf6c2878046fc706a7b845
[BSP] c5da704f45e60b8764d5c2bd6a31021f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 145032 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 297025785 | Size: 7593 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[1].txt >>
RKreport[1].txt

Ce message a été modifié par Leeroy8 - 01 août 2012 - 12:51 .