Virus Trj/sirefef.d

[Matemach]

Bonjour et ....à l'aide !!!

 

 

Cela fait une bonne semaine que mon PC est trés lent et ne répond plus à certaines commandes !

 

J'ai fait une analyse avec Panda, il m'a trouvé ce Virus "Trj/sirefef.d".

 

J'ai beau chercher de l'aide , mais je ne trouve rien !

 

Merci de votre aide ...

 

(Windows vista 32bits)

[pear]

Bonjour,

 

Comment fixer ZeroAccess/Sirefef

Télécharger aswMBR.exe sur le bureau

Double clic sur l'icône

Click Scan

A la fin du scan , vous obtenez quelque chose comme ceci:

ou pire, contenant ceci:

13:21:00.661 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1

13:21:00.662 Disk 0 Vendor: KINGSTON_SVP100S296G CJR10202 Size: 91580MB BusType: 11

13:21:00.663 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0

13:21:00.664 Disk 1 Vendor: Hitachi_HDS723020BLA642 MN6OA580 Size: 1907729MB BusType: 11

13:21:02.665 Disk 0 MBR read successfully

13:21:02.666 Disk 0 MBR scan

13:21:02.668 Disk 0 Windows 7 default MBR code

13:21:02.670 Disk 0 MBR hidden

13:21:02.672 Disk 0 Partition 1 00 07 HPFS/NTFS NTFS 100 MB offset 2048

13:21:02.674 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 91222 MB offset 206848

13:21:02.676 Disk 0 Partition 3 80 (A) 17 Hidd HPFS/NTFS NTFS 257 MB offset 187029504

13:21:02.678 Disk 0 Partition 3 **INFECTED** MBR:Alureon-K [Rtk]

ClickFix

Click Save log, sauvegardez le rapport sur le bureau et postez en le contenu dans votre réponse

[Matemach]

Merci Pear pour votre réponse !

Je pense m'être trompé j'ai cliquer FixMBR et non FiX comme vous me l'avez indiqué !

Voici le scan:

 

aswMBR version 0.9.9.1618 Copyright© 2011 AVAST Software

Run date: 2012-02-18 20:46:29

-----------------------------

20:46:29.046 OS Version: Windows 6.0.6000

20:46:29.046 Number of processors: 2 586 0x407

20:46:29.058 ComputerName: PC-DE-CHRISTOPH UserName: Christophe

20:46:31.733 Initialize success

20:46:56.553 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2

20:46:56.564 Disk 0 Vendor: SAMSUNG_SP1614C SW100-27 Size: 152627MB BusType: 3

20:46:56.596 Disk 0 MBR read successfully

20:46:56.611 Disk 0 MBR scan

20:46:56.627 Disk 0 Windows VISTA default MBR code

20:46:56.644 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 131061 MB offset 63

20:46:56.662 Disk 0 Partition - 00 0F Extended LBA 21563 MB offset 268414020

20:46:56.708 Disk 0 scanning sectors +312576705

20:46:56.775 Disk 0 scanning C:\Windows\system32\drivers

20:47:03.571 Service scanning

20:47:29.873 Service Wdf01000 C:\Windows\system32\drivers\Wdf01000.sys **LOCKED** 32

20:47:32.152 Modules scanning

20:47:38.094 Module: C:\Windows\System32\DRIVERS\netbt.sys **SUSPICIOUS**

20:47:42.335 Disk 0 trace - called modules:

20:47:42.415 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8551eff0]<<

20:47:42.448 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84baead8]

20:47:42.482 3 ntoskrnl.exe[820a80af] -> nt!IofCallDriver -> [0x85470cb8]

20:47:42.543 \Driver\00001065[0x84cb16f8] -> IRP_MJ_CREATE -> 0x8551eff0

20:47:42.711 Scan finished successfully

20:48:45.310 Verifying

20:48:55.349 Disk 0 Windows 600 MBR fixed successfully

20:49:18.184 Disk 0 MBR has been saved successfully to "C:\Users\Christophe\Desktop\MBR.dat"

20:49:18.197 The log file has been saved successfully to "C:\Users\Christophe\Desktop\aswMBR.txt"

[pear]

Vous pouvez poster le rapport de Panda qui détecte le rootkit ?

 

Avant d'aller plus loin, faites cette vérification, svp:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

C:\Windows\System32\DRIVERS\netbt.sys

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

 

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

ou Mbr Code Faked

 

Taper N pour quitter

[Matemach]

Bonjour Pear et heureux de vous relire ...

 

-Impossible de vous envoyer le rapport de panda: " Acces Violation ...."

j'en ai fait un fichier .PDF, mais 15MB !

 

-Voilà le réponse de virustotal

 

Your file is being analysed.

SHA256: 56647a1f8a10a4bc134b11d60670b8425a679f767ef0dad35e977cc96f3656ae

SHA1: 02283039b8ff527ef79f3bf6385562c1ec3c3606

MD5: 3938a454bd25a674d9ea1d3f63eb778d

File size: 180.0 KB ( 184320 bytes )

File name: netbt.sys

Detection ratio: 0 / 0

 

-Après l'analyse avec MBRCheck le message qui apparait est : Found non-standard or infected MBR.

[pear]

Pour bien suivre la procédure, je vous conseille de l'imprimer;

 

Mbrcheck montre ceci:Mbr Code Faked

C'est le nouveau Tdl4 qui se lance à partir d'une partition fantôme dans un espace non-alloué

 

Sur certaines machines de constructeurs comme HP, la version allégée de gparted proposée ci-dessous fait problème.

Il vaut mieux alors utiliser la version Gparted contenue dans un livecd Linux comme Ubuntu .

 

1)Si vous lancez directement Gparted

Télécharger Gparted Live

Graver l'image ISO sur un cd bootable.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence.

Lancez le cd/dvd.

Acceptez toutes les options par défaut en appuyant sur Entrée, jusqu'à ce que vous arriviez à un écran qui ressemble à ceci

 

Chaque partition sur le disque est répertoriée avec sa taille et la partition de démarrage est normalement marquée avec un drapeau de "boot" ou bit "80".

Notez que l'espace non alloué est également représenté.

S'il y a infection TDL4,il sera occupé par une partition TDL4 mais le drapeau de boot sera caché.

et aucune autre partition ne montrera le drapeau de boot.

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, et c'est normal:pas d'infection TDL4

 

Certains des nouveaux systèmes ont ajouté la partitionde redémarrage appelée Recovery ou System Reserved

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est censée être active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

Cliquez sur"Quit"

Retirez le cd

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

 

2) Avec le DVD d'installation de Ubuntu 11.10 qui comprend Gparted

C'est la version la plus facile à trouver chez un marchand de journaux .

utiliser la version 32 bits.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence

Insèrez le DVD Ubuntu et relancez la machine.

 

Vous devriez voir un écran comme ceci(variable selon la version Ubuntu utilisée)

 

- Choisissez Menu Ubuntu et validez

 

Choisisez le Français et cliquez sur "Essayer Ubuntu".

- Cliquez sur "Dash Home"

Puis "More Apps"

puis en haut à gauche "See 89 more results"

Dans la nouvelle page ,cliquez l'icone "Editeur de partition Gparted"

pour obtenir une page de ce genre:

 

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, donc pas susceptible d'être infectée par le bootkit.

 

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

 

Cliquez sur"Quit"

Clic sur la roue dentée en haut à droite et "Shut Down"

 

Ubuntu va s'arreter,éjecter le CD et éteindre la machine.

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A