[MegaToad]

Voilà je vais pas refaire une explication complète car je vois que ce problème touche pas mal de monde en ce moment.
J'ai un HP Pavillon dv7 sous windows 7.
Suite à un scan avec Microsoft Security Essential j'ai découvert que j'étais infecté par un virus du nom de Sirefef.XX
Quand j'ai redémarré le PC MSE s'est mis en fonctionnement afin de nettoyer le système et c'est là que le problème est apparu : Windows a rencontré une erreur critisue. Votre PC va redémarrer dans une minute.
J'ai réussi à stabiliser mon PC en désinstallant MSE sauf que là je n'ai plus d'antivirus et si je le réinstalle le problème réapparait.
J'ai passé un coup de SpyHunter qui me trouve 127 points critiques ! Seulement pour lancer le nettoyage du PC avec Spyhunter c'est payant :$
J'ai également passé un coup de Malwarebyte qui lui me trouve quelques erreurs et les supprime mais le problème reste actif...
Comme apparemment la procédure est définie pour une machine bien précise je me permet de refaire un post à ce sujet.

Merci de votre aide. 

[mickael44]

Salut Megatoad,

Dans un premier temps, si tu veux pouvoir exécuter le scan Malware Byte malgré l'ordre d'extinction, lorsque ce dernier apparaît, rend-toi dans le menu démarrer et recherche le mot-clé suivant : "shutdown -a" puis valide.



Cela va permettre d'interrompre le processus d'extinction du PC. Je pense qu'un membre de l'équipe sécurité va venir t'aider très bientôt.

Bonne journée ! 

[Geronimo]

Bonjour MegaToad

[MegaToad]

SpyHunter supprimé.

Voici le rapport RogueKiller :

RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Rudy [Droits d'admin]
Mode: Recherche -- Date: 16/08/2012 12:59:14

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] c2c_service.exe -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Rudy\AppData\Local\{6eceff78-6a2c-6459-3bff-480dd7dda4ee}\n.) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : c:\windows\installer\{6eceff78-6a2c-6459-3bff-480dd7dda4ee}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\windows\installer\{6eceff78-6a2c-6459-3bff-480dd7dda4ee}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\windows\installer\{6eceff78-6a2c-6459-3bff-480dd7dda4ee}\L --> FOUND
[ZeroAccess][FILE] @ : c:\users\rudy\appdata\local\{6eceff78-6a2c-6459-3bff-480dd7dda4ee}\@ --> FOUND
[ZeroAccess][FOLDER] U : c:\users\rudy\appdata\local\{6eceff78-6a2c-6459-3bff-480dd7dda4ee}\U --> FOUND
[ZeroAccess][FOLDER] L : c:\users\rudy\appdata\local\{6eceff78-6a2c-6459-3bff-480dd7dda4ee}\L --> FOUND
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_32\desktop.ini --> FOUND
[ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac_64\desktop.ini --> FOUND
[Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> FOUND

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST95005620AS +++++
--- User ---
[MBR] 5981aed90fcb0576cb514af576a11982
[BSP] 7631c0295ed344a3127a99d85d85ccb2 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 149900 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 307202048 | Size: 326937 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt 

[Geronimo]

C'est bien un ZA avec sercices.exe de patché.


Les rapports demandés doivent être postés en lien et dans la même réponse en utilisant cet hébergeur de fichiers


Scan Combofix

Cet outil n'est à utiliser qu'avec l'aval d'un membre de l’Équipe de sécurité

Fais une sauvegarde de tes données, sur un disque dur externe où sur une clé USB (c'est une mesure de sécurité nécessaire)

• Télécharge Combofix (de sUBs)
  
• Enregistre ce fichier sur le bureau (impératif)
  
  
• Note : Le scan est à faire navigateur fermé ainsi que toutes les applications en cours, Antivirus et logicels de sécurité fermés ou désactivés.
  
• Fais un clic droit sur combofix.exe choisis Exécuter en tant qu'administrateur pour lancer le scan
  
• Pendant le scan de Combofix ne touche ni au clavier ni à la souris
  
• Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt


Redémarre ton PC

Refais un scan avec RogueKiller poste ensuite son rapport en lien. 

[MegaToad]

OK Sauvegarde des données en cours. En attendant avec RogueKiller je fais "supprimer" ou bien je ferme le programme tout simplement ? 

[Geronimo]

Avec RogueKiller ne supprime rien poste simplement le rapport. 

[MegaToad]

Désolé pour le délais la sauvegarde de mes données m'a pris du temps.

Voici le rapport Combofix :http://cjoint.com/data3/3HqoGWo5im8.htm

Et le rapport RogueKiller après redémarrage : http://cjoint.com/data3/3HqoIogY8OW.htm 

[Geronimo]

Les rapports demandés doivent être postés en lien et dans la même réponse en utilisant cet hébergeur de fichiers


RogueKiller Suppression

• Lance RogueKiller.exe.
  
• Attends la fin du pré-scan
  
• Clique sur le bouton Scan ce dernier terminé clique sur Suppression
  
  
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
  
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse
  

Note: Le rapport peut être aussi ouvert en cliquant sur le bouton Rapport



Suis ensuite cette procédure :

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Scan

Télécharge ZHPDiag (de Nicolas coolman)


• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  
• Lance ZHPDiag en double cliquant sur présent sur ton bureau
  
• Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
  
• Clique sur Options
  
• Clique sur
  
• Clique en haut à gauche sur la loupe
  
  
  
  
• Laisse le scan se dérouler.
  
  
  
  
• Le scan terminé, clique sur la disquette
  
• Enregistre le rapport sur le bureau.
  
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien utilise cet hébergeur de fichiers :  

[MegaToad]

RogueKiller : http://cjoint.com/data3/3Hqo2tmvzPh.htm

ZHPDiag : http://cjoint.com/data3/3Hqo3pgbkPa.htm 

[Geronimo]

Il reste encore des traces d'infection sur ce PC


Suppression avec ZHPFix


Le temps de téléchargement du script a été volontairement limité à 4 jours

• Clique sur Script ZHPFix
  
• Sur la page qui s'ouvre clic droit et Tout sélectionner
  
• Refais un clic droit et Copier
  
• Double clique sur qui est sur le bureau.
  
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
  
  • Clique maintenant sur (coller les lignes helper)
    
  • Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
    
    
    
    
  • Clique sur
    
  • Confirme le nettoyage des données si demandé
    
    
    
    
  • Patiente le temps du traitement
    
  • Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu dans ta prochaine réponse
  
  
• Ce rapport se trouve aussi ici D:\ZHP\ZHPFix[R*].txt

FRST Scan


Télécharge Farbar Recovery Scan Tool sur ton bureau et pas ailleurs

• Clic droit sur FRST.exe choisis Exécuter en tant qu'administrateur pour le lancer
  
• Laisse les cases cochées par défaut
  
• Clique sur le bouton Scan
  
• Un rapport FRST.txt va être crée sur ton bureau.
  
• Poste le contenu de ce rapport en lien
  

Note : Tu as deux rapports à poster 

[MegaToad]

ZHPFixReport : http://cjoint.com/data3/3HqpyOA6wlC.htm

FRST : http://cjoint.com/data3/3HqpzyvFnx2.htm 

[MegaToad]

Le premier est ZHPFixReport sur le bureau il y a aussi le ZHPFix[R1] ici :
http://cjoint.com/data3/3HqpB1dcrng.htm 

[Geronimo]

Pour vérification refais un scan avec ZHPDiag poste ensuite son rapport en lien 

[MegaToad]

ZHPDiag : http://cjoint.com/data3/3HqpPBfc06U.htm