Bonjour,

Utilisateur de windows 7 en 32 bits, avec Microsoft Security Essential je me suis retrouvé comme un certain nombre de personne avec le malicieux Sirefef.

Jusqu'à présent ayant consulté pas mal de forums je n'ai toujours pas réussi à m'en débarrasser et c'est pour cela que je fais volontier appel à votre aide.

(J'ai 3 machines virtuelles à récuperer sous mon win 7 et c'est pour cela que je fais appel à vous, sinon j'aurai après récupération de mes fichiers refait une belle installation toute propre.)

1) Mon pc reboot suite à erreur critique :
*En mode normal
*En mode sans echec
*En ligne de commande

2) J'ai une partition avec Win7 64 bit qui n'est pas infectée, donc utilisable pour un eventuel outil.
3) J'ai windows bitdefender offline sur clé usb qui me détecte bien mon sirefef, qui le supprime bien, mais de retour à win 7 32 bits : erreur critique...reboot.

Bon voilà, j'ai fais le tour, je remercie par avance qui saura consacrer un peu de son temps à mon problème.

Cordialement,

Kicik

Bonjour Kicik et bienvenue sur libellules.ch


C'est très certainement un rootkit ZeroAcces avec c:\windows\system32\Services.exe de patché qui est la cause de tes problémes on a va voir si on peut utiliser via ta version saine de Seven les outils de désinfection, sinon on utilisera si possible un live CD


Scan RogueKiller


Télécharge Roguekiller (par tigzy) sur le bureau

• Lance RogueKiller.exe.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Attends la fin du pré-scan
• Clique sur le bouton Scan
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Tout d'abord merci pour la rapidité de votre réponse.

(J'ai utilisé la version de 7 qui est "saine".)

Voici le rapport de Roguekiller

RogueKiller V7.6.5 [03/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date: 06/08/2012 10:13:21

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HDT725032VLA360 ATA Device +++++
--- User ---
[MBR] 1ff550ad08691a7e1d94eb9fd30f362c
[BSP] e5ceb32d28cd94f50d817d9647d862a7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 277685 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 568700928 | Size: 27557 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: SAMSUNG HD103UJ ATA Device +++++
--- User ---
[MBR] 07ea87904c9987c3c1f0a5f7b8c54d26
[BSP] c18bc20f70d014c7f198c1560dd28ef6 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953766 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: Generic USB SD Reader USB Device +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive3: Generic USB CF Reader USB Device +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive4: Generic USB SM Reader USB Device +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Roguekiller a fait le scan sur la version saine de Seven, redémarre ton PC et tente de faire le scan de roguekiller sur la version infectée, tu aura peut être le temps de faire avant que le PC ne reboote

Je n'ai pas osé reposter lol, j'ai bien vu que le scan était sur 7 64 bits.

Sur le pc infecté, pas le temps, ça reboot trop vite.

On peut passer direct soit sur live cd ou usb live. Que me conseillez vous comme outil ?

Merci

On a pas trop le choix la

A partir de la version saine

• Télécharge OTLPEnet
• Mets un cd vierge dans ton graveur
• Double clic sur OTLPENet.exe et accepte la gravure du cd
• Redémarre le PC infecté avec le CD que tu viens de graver
• Tu va arriver sur un environnement Windows classique (XP) REATOGO-X-PE, patiente le temps de chargement est assez long
• Si ton PC est connecté en Ethernet tu auras accés au net
• Avec readtogo tu dois avoir un fichier nommé OTLPE Double clic dessus :
  
  • Une fenêtre s'ouvre : Browse for folder , navigue jusqu'au dossier Windows de ton pc, fais un clic-gauche dessus afin qu'il apparaisse dans la zone de saisie en bas de la fenêtre et clique sur OK
    
    
    
  • Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliques sur YES
    
    
    
    
  • Une seconde : Do you wish to load remote user profile(s) for scanning, cliques sur YES
    
    
    
    
  • Veille à ce que la caseAutomatically Load All Remaining Users soit cochée et cliquez sur OK
  • Copie/colle le texte qui est en citation ci dessous dans le cadre qui se trouve en dessous de Custom Scan/Fixes

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

• Clique sur le bouton Runscan
• Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
• Lorsque l'analyse sera terminée, deux fichiers textes s'ouvriront dans le Bloc-Notes.
• Poste le contenu de OTL.txt en lien en utilisant cet hébergeur
• Ce dernier est beaucoup trop grand pour tenir dans une réponse
• Tutoriel pour OTLPEnet Ici

Voilà le rapport OTLPE effectué conformement à vos instructions.

http://cjoint.com/?0HglT6ZGm67

Cordialement

Kicik

Le PC démarré avec le CD


Télécharge Roguekiller (par tigzy) sur le bureau

• Lance RogueKiller.exe.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Attends la fin du pré-scan
• Clique sur le bouton Scan
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Et hop, le rapport de RogueKiller :

RogueKiller V7.6.5 [08/03/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/fi ... guekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User: SYSTEM [Admin rights]
Mode: Scan -- Date: 08/06/2012 15:55:04

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 2 ¤¤¤
[HJPOL] HKCU\[...]\Policies\Explorer\Explorer : NoSMHelp (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 1ff550ad08691a7e1d94eb9fd30f362c
[BSP] e5ceb32d28cd94f50d817d9647d862a7 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 277685 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 568700928 | Size: 27557 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 07ea87904c9987c3c1f0a5f7b8c54d26
[BSP] c18bc20f70d014c7f198c1560dd28ef6 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953766 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[1].txt >>
RKreport[1].txt

Tu as bien choisi C:\Windows lors ce que l'outil l'a demandé ?

Avec OTLPE oui bien selectionné le repertoire windows qui est infecté. (Win7 32 bits)

Il y a une incohérence ? Je relance un scan au cas ou.

C'est parfait, je vais te faire passer un autre outil mais je ne suis pas certain qu'il fonctionnera dans cet environnement c'est pourtant la seule solution possible puisque ton PC reboote trop vite.

Attention cet outil n'est à utiliser qu'avec l'aval d'un Helper Sécu


Scan Combofix

• Télécharge Combofix (de sUBs)
• Enregistre ce fichier sur le bureau (impératif)
  
• Fais un clic droit sur combofix.exe choisis Exécuter en tant qu'administrateur pour lancer le scan
• Pendant le scan de Combofix ne touche ni au clavier ni à la souris
• Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Bon et bien impossible de lancer combofix sur OTLPE, rien à faire. J'ai bien lancé depuis le bureau de OTLPE.

Je suppose qu'on ne peux pas le faire depuis ma version "saine" de 7 ?

Il me faudrai juste trouver le moyen d'empecher mon pc de rebooter, que je sauvegarde mes machines virtuelles, je reinstallerai win7.

En tout cas, cela me servira de leçon ! ne jamais faire tourner des machines virtuelles sur un systeme qui peu être infecté.

En gros pas de machines virtuelles sur du Windows.

Merci beaucoup de votre aide. Mais sauf idée de génie, je crois bien que c'est cuit.

Je tenterai bien de récuperer un services.msc d'un autre 7 32 bits pour le remplacer en dernier recours ? judicieux ou pas ?

Tu peux tenter une chose c'est de copier le fichier services.exe qui est dans C:\Windows\System32 de la version saine dans le dossier du même nom du seven infecté, mais pas certain que cela fonctionne

Ayant la chance d'avoir de nombreux pc à la maison, je pensais plutôt prendre la version services.msc d'un autre pc sous seven 32 bits.

Aller je tente le coup et je vous tiens au courant dans la foulée.

Merci pour votre engagement, j'espère pouvoir un jour vous rendre la pareille si d'aventure.....

c'est le fichier services.exe qu'il faut remplacer

services.msc c'est le gestionnaire des services

Bon c'est fait ! L'ordi n'a pas redemarré "Youpi" je fais des sauvegarde de mes vmware (ouf) la suée que j'ai pris (3 mois de boulot)

Merci encore.

Vous pouvez cloturer le topic.

La conclusion plus jamais de virtualisation sous microsoft trop VULNERABLE.
A noter je ne blame pas microsoft, le virus n'est pas arrivé tout seul....j'avais qu'a faire plus attention

Cordialement

Kicik

Ce n'est pas fini on peut récupérer cette session complétement je suis comme mes Fox je ne lâche pas le morceau facilement

Les rapports demandés doivent être postés en lien et dans la même réponse



Scan RogueKiller

Télécharge Roguekiller (par tigzy) sur le bureau

• Lance RogueKiller.exe.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Attends la fin du pré-scan
• Clique sur le bouton Scan
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Scan ZHPDiag


Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Scan

Télécharge ZHPDiag (de Nicolas coolman)


• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Lance ZHPDiag en double cliquant sur présent sur ton bureau
• Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
• Clique sur Options
• Clique sur
• Clique en haut à gauche sur la loupe
  
  
  
• Laisse le scan se dérouler.
  
  
  
• Le scan terminé, clique sur la disquette
• Enregistre le rapport sur le bureau.
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien utilise cet hébergeur de fichiers :

Ok ! Je suis en train de faire mes sauvegardes vmware et je reprends la suite après.

Les sauvegardes ont la priorité c'est plus sur