[Résolu] Infection SIREFEF

[Badcantal]

Bonjour,

 

Je suis nouveau sur ce forum, donc bonjour à tous.

J'ai déjà publié ce sujet sur un autre forum (Assiste) mais je n'ai reçu aucun conseil, ni aucune réponse. La partie consacrée à ce genre de problème semble fermée ou en vacances sur Assiste ce que je peux comprendre très bien. Néanmoins étant d'une nature inquiète je me permets de le remettre içi.

Voici donc le fil que j'ai mis sur Assiste:

 

Le 19/8:

Il y a quelques mois j'ai arrêté mon abonnement à Kaspersky pour installer Microsoft Security Essentials (mse). Ce matin mse été arrêté et j'ai voulu le relancer mais cela ne marchait pas et on m'a demandé d'aller vérifier dans les services mais le service en question n'était même pas présent dans la liste. J'ai donc décidé de réinstaller mse. J'ai ensuite fait une mise à jour des définitions de virus puis un san rapide. mse m'a trouvé sirefef avec toutes sortes d'extensions (AA, P, AD, W, AN ...) puis j'avais constament un message disant que windows avait détecté un problème critique et devait redémarrer et ainsi de suite, c'était sans fin. Là cela a l'air terminé, je ne sais pas pourquoi mais je doute être décontaminé. J'ai regardé un peu sur internet et j'ai trouvé un truc sur ce virus mais on me parle de 32bits ou 64 bits et là je ne sais même pas en quoi je suis (j'ai windows 7). J'ai quand même tenté le programme tdsskiller mais il n'a rien trouvé.

Que dois je faire de plus. Dois je poster dans la partie analyse.

 

Re le 19/8:

Un petit problème supplémentaire et je ne sais pas si c'est lié. Chaque fois que je redémarre l'ordinateur les icones passent en taille moyenne et sont réorganisées automatiquement. "Réorganiser automatiquement les icones" n'est pas coché. De plus nVidia control panel ne marche plus.

 

Et re re le 19/8:

Driver Nvidia réinstallé: OK

 

Icones: ça continu. A chaque démarrage de l'ordinateur les icones du bureau sont réorganisées à gauche et en taille moyenne au lieu de petite. J'ai tenté Icosauve, c'est OK pour la position mais pas pour la taille qui n'est pas conservée.

 

Le 20/8:

Etant assez impatient car en fait j'ai peur que le problème empire. Je viens de vérifier et j'ai un point de restauration au 16/08 suite à windows update. Pensez vous qu'il soit utile, nécessaire, risqué de faire une restauration à cette date ?

 

Le 23/8:

Finalement je me suis décidé de restaurer au point de restauration du 16/08. Tout c'est bien passé et est revenu dans l'ordre. Je doute quand même d'avoir éradiqué complètement le virus.

 

Voici donc l'histoire complète et j'aimerai donc savoir si j'ai autre chose à faire ou si vous pensez que c'est OK car je n'ai plus de symptôme depuis la restauration.

 

Merci pour votre aide.

 

Patrick

Modifié le 4 septembre 2012 par Badcantal

[Apollo]

Bonjour,

 

Finalement je me suis décidé de restaurer au point de restauration du 16/08. Tout c'est bien passé et est revenu dans l'ordre. Je doute quand même d'avoir éradiqué complètement le virus.

 

C'est par là que tu aurais dû commencer, ça ne marche pas toujours car cette infection l'empêche souvent mais tant mieux si tu y es parvenu.

 

Tu ne dois pas multiplier les posts, même si on ne te répond pas de suite; chacun de nous a souvent plusieurs sujets à traiter et bien entendu utilise le temps libre pour le net, ayant d'autres occupations d'ordre privé.

 

Donc patience et si tu n'as pas obtenu de réponse dans les 72 heures, tu fais un rappel dans l'épinglé de ce forum "On m'a oublié" en donnant le lien de ton sujet.

 

----------------

On va vérifier l'état de ton système.

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

Clique ensuite sur suppression puis poste le rapport.

 

@++

[Badcantal]

Bonjour Apollo et merci pour la prise en charge,

 

J'ai suivi la procédure, pas de problème et voici donc les 2 rapports:

 

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Patrick [Droits d'admin]

Mode : Recherche -- Date : 02/09/2012 13:48:55

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 6 ¤¤¤

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ

[HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ

[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ

[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] @ : C:\Users\Patrick\AppData\Local\{c8cd7e44-b45f-4708-a1de-2aefcf994cb5}\@ --> TROUVÉ

[ZeroAccess][FOLDER] U : C:\Users\Patrick\AppData\Local\{c8cd7e44-b45f-4708-a1de-2aefcf994cb5}\U --> TROUVÉ

[ZeroAccess][FOLDER] L : C:\Users\Patrick\AppData\Local\{c8cd7e44-b45f-4708-a1de-2aefcf994cb5}\L --> TROUVÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD5000AAKS-00V1A0 ATA Device +++++

--- User ---

[MBR] 1de0dbd05c74ebb0b68e2f7e4ac0a438

[bSP] 27df04ef860b9b103e29dee81198cb07 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

Et le 2ème:

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Patrick [Droits d'admin]

Mode : Suppression -- Date : 02/09/2012 13:55:13

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)

[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] @ : C:\Users\Patrick\AppData\Local\{c8cd7e44-b45f-4708-a1de-2aefcf994cb5}\@ --> SUPPRIMÉ

[Del.Parent][FILE] 00000008.@ : C:\Users\Patrick\AppData\Local\{c8cd7e44-b45f-4708-a1de-2aefcf994cb5}\U\00000008.@ --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\Users\Patrick\AppData\Local\{c8cd7e44-b45f-4708-a1de-2aefcf994cb5}\U --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\Users\Patrick\AppData\Local\{c8cd7e44-b45f-4708-a1de-2aefcf994cb5}\L --> SUPPRIMÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD5000AAKS-00V1A0 ATA Device +++++

--- User ---

[MBR] 1de0dbd05c74ebb0b68e2f7e4ac0a438

[bSP] 27df04ef860b9b103e29dee81198cb07 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

A la fin de chaque scan j'ai eu le navigateur qui s'est ouvert avec semble t'il une procédure pour éradiquer zeroaccess ?

J'ai aussi eu la création sur le bureau d'un dossier RK_Quarantine.

 

A suivre ...

Patrick

[Apollo]

Exact, le rootkit laisse toujours ses traces; on va le liquider.

 

Pendant que ComboFix travaille, ne touche à rien et cela se passera très bien.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

NB: Si ComboFix dit qu'il y a quand-même un antivirus actif, faire l'analyse en mode sans échec, les protections seront désactivées quoi qu'il en dise: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

[Badcantal]

Désolé pour la durée de la réponse mais la j'écris depuis mon IPad car je n'arrive pas à récupérer ma connexion internet. J'ai un message: réseau non identifie, j'ai vu aussi ailleurs: pas d'IP valide.

C est du chinois pour moi.

 

Merci

[Apollo]

Pour la connexion, demander une assistance ici: Internet & Réseaux - Forums Zebulon.fr

 

Il est très rare que cela arrive, pas de chance.

 

Quand tu seras dépanné de ce côté, poste le rapport de ComboFix stp.

 

@++

[Dylav]

La suite là-bas…

 

 

 

[Apollo]

En attendant une aide de l'autre côté, essaie cette solution: http://windows.microsoft.com/fr-FR/windows/help/wired-and-wireless-network-connection-problems-in-windows

[Badcantal]

Merci Apollo, mais rien n'a solutionné le problème avec ce lien.

 

Patrick

[Badcantal]

Apollo,

 

Je suis vraiment désolé et je pense que vous allez pas être content de moi car je m'en suis pas sorti avec la connexion internet et mon PC était devenu d'une lenteur, mais d'une lenteur ... alors je me suis résolu à faire de nouveau une restauration au 16/08. Tout remarche mais on est revenu au point de départ.

 

Il me reste les 2 RKreports, le dossier RK_Quarantine et le rapport ComboFix.

 

Si vous ne voulez plus vous occuper de moi, je comprendrais et il n'y a pas de problème. Sinon je reste à votre écoute et je veux bien retenter le coup avec ComboFix. Merci de me dire ... enfin demain car là, ras le bol, je vais au dodo.

 

Cordialement,

Patrick