[Résolu] Ordi infecté par ATRAPS GEN, SIREFEF et win32

[lamangouste]

Bonjour,

 

Voilà je suis très ennuyé par deux trojan apparuent hier : ATRAPS et SIREFEF!

 

Mon systéme d'exploitation est windows xp service pack 3

 

j'avais avira free installé qui a detecté et bloqué ces virus.

 

Ausssitot, j'ai essayé d'enlever avec Malware-A-M, qui a réussi a detecté et en enlever un peu, après j'ai recommencé en mode sans échec.

 

les virus apparaissaient toujours sur avira, j'ai poursuivi par tdsskiller qui m'a oté les virus et qui m'a permis de pouvoir refaire fonctionner avira en temps reel.

 

j'ai passé à chaque fois ccleaner (nettoyeur et registre)

 

malgré tout avira continuait à me signaler le probleme.

 

Etant un peu enerve par ça, j'ai desinstaller et installer AVAST free qui aussitot m'a detecté win 32, SIREFEF A et AO mais dans le fichier C:\RECYCLER, ce qui me laisse penser à un probleme sur la corbeille, j'ai donc vidé la corbeille en y mettant un dossier bidon!

 

SUite à cela j'ai passé ESET, qui m'a enleve encore 2 virus.

 

malgré ceci 3 messages en permanence d'avast!

 

J'ai donc fait roguekiller, qui ne detecte rien, MBAM qui ne detecte rien, ADwcleaner rien et Virus tool remover de chez kapersky.

 

Ayant des données sensibles, je suis très très embeté!

 

J'ai un rapport ZHPDIAG à dispo, et je suis entrain de faire une analyse avast qui me trouve 58 infections pour le moment (j'avoue ne plus rien comprendre!)

 

Merci de l'aide future apportée.

 

P.S ; j'ai voulu faire windows update mais j'ai un message d'erreur qui apparait.

[lamangouste]

Lien CJoint.com 0HEqnQ5rMwQ

[Apollo]

Bonjour,

 

Beaucoup d'analyses mais aucun rapport?

 

Si tu en as sauvegardé, poste-les stp mais héberge-les sur Accueil de Cjoint.com

 

--------

Si services.exe est signalé comme infecté, tu ne peux pas le supprimer; il doit être réparé.

 

Dans l'attente de ta réponse.

 

++

Modifié le 30 août 2012 par Apollo

[lamangouste]

Bonjour,

 

Beaucoup d'analyses mais aucun rapport?

 

Si tu en as sauvegardé, poste-les stp mais héberge-les sur Accueil de Cjoint.com

 

--------

Si services.exe est signalé comme infecté, tu ne peux pas le supprimer; il doit être réparé.

 

Dans l'attente de ta réponse.

 

++

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.08.29.03

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrateur :: SERVEURETUDE [administrateur]

 

29/08/2012 12:53:03

mbam-log-2012-08-29 (12-53-03).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 202817

Temps écoulé: 5 minute(s), 11 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|syshost32 (Backdoor.Agent) -> Données: C:\WINDOWS\Installer\{D16EC83A-538B-52F3-EBCD-76DACB5579E1}\syshost.exe -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\WINDOWS\Installer\{D16EC83A-538B-52F3-EBCD-76DACB5579E1}\syshost.exe (Backdoor.Agent) -> Suppression au redémarrage.

 

(fin)

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.08.29.03

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrateur :: SERVEURETUDE [administrateur]

 

29/08/2012 13:04:03

mbam-log-2012-08-29 (13-04-03).txt

 

Type d'examen: Examen complet (A:\|C:\|D:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 258669

Temps écoulé: 19 minute(s), 51 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\RECYCLER\S-1-5-18\$448b9bb192402e08e3290dddcfa6676a\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.08.29.03

 

Windows XP Service Pack 3 x86 NTFS (Mode sans échec)

Internet Explorer 8.0.6001.18702

Administrateur :: SERVEURETUDE [administrateur]

 

30/08/2012 13:33:42

mbam-log-2012-08-30 (13-33-42).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 205946

Temps écoulé: 6 minute(s), 47 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

 

je ne trouve pas le rapport avast!

 

rapport roguekiller :

 

RogueKiller V8.0.1 [30/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Recherche -- Date : 30/08/2012 09:35:53

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 1 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[41] : NtCreateKey @ 0x80623FD6 -> HOOKED (Unknown @ 0xF7BF52DE)

SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7BF52D4)

SSDT[63] : NtDeleteKey @ 0x80624472 -> HOOKED (Unknown @ 0xF7BF52E3)

SSDT[65] : NtDeleteValueKey @ 0x80624642 -> HOOKED (Unknown @ 0xF7BF52ED)

SSDT[98] : NtLoadKey @ 0x806261FA -> HOOKED (Unknown @ 0xF7BF52F2)

SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7BF52C0)

SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7BF52C5)

SSDT[193] : NtReplaceKey @ 0x806260AA -> HOOKED (Unknown @ 0xF7BF52FC)

SSDT[204] : NtRestoreKey @ 0x806259B6 -> HOOKED (Unknown @ 0xF7BF52F7)

SSDT[247] : NtSetValueKey @ 0x80622548 -> HOOKED (Unknown @ 0xF7BF52E8)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

# Copyright © 1993-1999 Microsoft Corp.

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD3200AAKS-00UU3A0 +++++

--- User ---

[MBR] 9adaad0b0ac20b29aa4a68993d03f027

[bSP] d0b0fad2e1887ad707702b9eb5a7254a : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 81915435 | Size: 265245 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

le ZHPDIAG est plus haut sur cjoint

merci apollo de t'occuper de moi!

[Apollo]

Utilise le bouton "Ajouter une réponse" et non "répondre" afin de ne pas me citer chaque fois. Merci.

 

Note: si je demande d'héberger les rapports, c'est pour ne pas prendre le risque de planter le sujet.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

NB: Si ComboFix dit qu'il y a quand-même un antivirus actif, faire l'analyse en mode sans échec avec prise en charge du réseau, les protections seront désactivées quoi qu'il en dise: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes soient fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

[lamangouste]

je viens de le faire en mode sans echec avec prise en charge reseau, une liste d ecriture en vert à defiler, et j'ai entendu un double bip et sont apparus deux masques gris qui ont disparu aussi vite!

 

dans le dossier combofix je ne trouve pas de rapport en.txt, il ya pleins de trucs mais pas le rapport???

[Apollo]

Tout cela est normal mais à part pour la console de récupération, tu dois attendre que ComboFix effectue ses 50 étapes sans toucher à rien.

 

Il ouvrira son rapport, et c'est seulement à cet instant qu'il aura terminé sa recherche et désinfection première. Sois patient.

 

 

Le double bip est une alerte (fausse en mode sans échec) sur les protections actives, ce qui est impossible dans ce mode.

 

@++

Modifié le 30 août 2012 par Apollo

[lamangouste]

alors je n'ai pas été patient, une fois termine les analyses en vert dans combofix, j'ai redemarrer pour revenir en mode normal (alors que faire?)

Malgré tout, j'ai un fichier c:\Combofix avec pleins de programmes inconnus pour mon ordi des txt etc...

 

en attendant j'ai regarde windows update qui ne me parle plus d'erreur!

 

dois je recommencer?

Modifié le 30 août 2012 par lamangouste

[Apollo]

Oué, t'es trop pressé

 

Les "trucs" en vert ne sont pas des analyses mais seulement le chargement des fichiers

 

Recommence et laisse travailler CF jusqu'au bout; normalement il redémarre l'ordi lui-même puis t'affiche son rapport, qui sera de toute manière enregistré sur le C:\

 

++

[lamangouste]