Virus Sirefef / reboot automatique après 1 minute

[Leeroy8]

Bonjour,

 

Je me bats avec une infection depuis 1 semaine, sans succès.

Au départ il y avait un 'faux' antivirus qui apparaissait au démarrage du PC, 'Security Shield' et qui me trouvait des faux-virus et me demandait de payer en ligne pour pouvoir les corriger.

J'ai installer MSE pour éradiquer ce problème. Effectivement le faux-antivirus a disparu, mais maintenant à chaque démarrage du PC MSE détecte 2 virus de type Sirefef (.AQ et .R je crois), autrement connu sous le nom de ZeroAccess, et surtout le PC reboot automatiquement après 1 minute. Donc je n'ai pas vraiment le temps d'appliquer des actions anti-virus/spyware pour corriger le problème.

Le PC reboot également automatiquement en mode sans échec.

 

J'ai réussi tout de même de nombreux tests... entre autres : TDSSkiller qui ne trouve rien, Rootkit Removal Tool idem, Roguekiller trouve quelquechose mais le PC reboot avant correction, EZ_Sirefix trouve rien,FixZeroAcces idem.

J'ai ensuite utilisé un DrWeb CureIt Live CD, qui a trouvé quelques menaces mais pas supprimer le virus (les symptômes étaient toujours la)

Ensuite un CD Hiren's boot CD ou j'ai essayé tous les Antivirus/Spyware livrés avec mais sans succès.

 

Voila, maintenant j'ai besoin d'aide! Toujours garder en tête que je n'ai en général qu'1 minute avant que le PC reboote, donc pas le temps pour des actions 'longues'. Si ce problème de reboot pouvait être réglé je pense que ce serait plus facile ensuite.

 

Merci d'avance.

Modifié le 31 juillet 2012 par Leeroy8

[pear]

Bonsoir,

 

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

 

Utilisez Internet Explorer pour

Télécharger RogueKiller (by tigzy) sur le bureau

 

Si vous n'avez pas d'accès Internet,utilisez la machine propre pour le télécharger vers une clé Usb

 

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher:celles que vous avez volontairement modifiées)

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

[Leeroy8]

Bonsoir,

 

N'ayant pas de CD vierge sous la main je me suis permis d'utiliser ma clé USB bootable sous Hiren CD(HBCD) qui est un environnement PE similaire à OTLPE. J'irai acheter un CD demain s'il le faut vraiment.

 

Voici le rapport Rogueiller, sans erreur (puisque RogueKiller scanne en fait mon environnement PE et non pas mon enviironnement Windows Seven infecté)

 

Donc je n'ai pas fait de suppresion.

 

RogueKiller V7.6.4 [07/17/2012] by Tigzy

mail: tigzyRK<at>gmail<dot>com

Feedback: RogueKiller - Geeks to Go Forums

Blog: tigzy-RK

 

Operating System: Windows XP (5.1.2600 ) 32 bits version

Started in : Normal mode

User: SYSTEM [Admin rights]

Mode: Scan -- Date: 08/01/2012 01:01:21

 

¤¤¤ Bad processes: 3 ¤¤¤

[sUSP PATH] opera.exe -- B:\Temp\HBCD\Opera\Opera.exe -> KILLED [TermProc]

[sUSP PATH] opera.exe -- B:\Temp\HBCD\Opera\Opera.exe -> KILLED [TermProc]

[RESIDUE] opera.exe -- B:\Temp\HBCD\Opera\Opera.exe -> KILLED [TermProc]

 

¤¤¤ Registry Entries: 0 ¤¤¤

 

¤¤¤ Particular Files / Folders: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

IRP[iRP_MJ_CREATE_NAMED_PIPE] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_READ] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_WRITE] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_QUERY_INFORMATION] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_SET_INFORMATION] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_QUERY_EA] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_SET_EA] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_FLUSH_BUFFERS] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_QUERY_VOLUME_INFORMATION] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_SET_VOLUME_INFORMATION] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_DIRECTORY_CONTROL] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_FILE_SYSTEM_CONTROL] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_SHUTDOWN] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_LOCK_CONTROL] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_CLEANUP] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_CREATE_MAILSLOT] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_QUERY_SECURITY] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_SET_SECURITY] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_QUERY_QUOTA] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_SET_QUOTA] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

IRP[iRP_MJ_PNP] : atapi.sys -> HOOKED ([MAJOR] NTKRNLMP.EXE @ 0x8082387E)

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ HOSTS File: ¤¤¤

 

 

¤¤¤ MBR Check: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 5b7901d8f3cf6c2878046fc706a7b845

[bSP] c5da704f45e60b8764d5c2bd6a31021f : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 145032 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 297025785 | Size: 7593 Mo

User = LL1 ... OK!

User != LL2 ... KO!

--- LL2 ---

[MBR] e1c8c0f8f6fe815f17ff5e3a71486e72

[bSP] 964764d30d96fe8acd58e826b56d805b : MBR Code unknown

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 24591 Mo

1 - [ACTIVE] FAT16-LBA (0x0e) [VISIBLE] Offset (sectors): 50379840 | Size: 400 Mo

 

+++++ PhysicalDrive1: +++++

--- User ---

[MBR] d1db65f566992fff76cd1e6a8dd5e388

[bSP] 5dba855177b96ca4937ff156732e5c5b : MBR Code unknown

Partition table:

0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 980 Mo

1 - [XXXXXX] UNKNOWN (0x21) [VISIBLE] Offset (sectors): 2008125 | Size: 0 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Finished : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

 

Finalement voici le rapport RogueKiller fait sous OTLPE:

 

 

RogueKiller V7.6.4 [07/17/2012] by Tigzy

mail: tigzyRK<at>gmail<dot>com

Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/

Blog: http://tigzyrk.blogspot.com

 

Operating System: Windows XP (5.1.2600 ) 32 bits version

Started in : Normal mode

User: SYSTEM [Admin rights]

Mode: Scan -- Date: 08/01/2012 14:49:35

 

¤¤¤ Bad processes: 0 ¤¤¤

 

¤¤¤ Registry Entries: 2 ¤¤¤

[HJPOL] HKCU\[...]\Policies\Explorer\Explorer : NoSMHelp (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Particular Files / Folders: ¤¤¤

 

¤¤¤ Driver: [NOT LOADED] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ HOSTS File: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Check: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 3a27fdcb4877817ffc40c78ad481cd80

[bSP] 3bd2f17ef98391b22158dffe6194ffa7 : Windows Vista MBR Code

Partition table:

0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 3929 Mo

1 - [XXXXXX] UNKNOWN (0x21) [VISIBLE] Offset (sectors): 8048565 | Size: 0 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

+++++ PhysicalDrive1: +++++

--- User ---

[MBR] 5b7901d8f3cf6c2878046fc706a7b845

[bSP] c5da704f45e60b8764d5c2bd6a31021f : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 145032 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 297025785 | Size: 7593 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Finished : << RKreport[1].txt >>

RKreport[1].txt

Modifié le 1 août 2012 par Leeroy8