(Avira 2012) Sirefef.BV.2 et Crypt.XPACK.Gen

[Yoghourt]

Bonsoir,

Et bien, depuis ce midi, c'est la fête dans mon ordi

J'ai fait quelques manips de base, sans succès jusqu'ici. A certains moments, Avira me dit qu'il y a des objets cachés et qu'il faut redémarrer avec le CD de secours. Je n'en ai pas, puisque j'ai acheté cet anti-malware en téléchargement.
Je me mords les doigts de ne pas avoir fait de backup depuis de longs mois. Aïe.
Ci-joints les logs de ma session précédente, avant que ça parte en vrille (plus de réponse), puis reboot pour me logger et envoyer ces infos. Les deux images montrent quand avira a blippé/crié.
Au passage, impossible de télécharger ATF cleaner. Le lien répond ID non reconnue machin chose.

A très bientôt (j'espère).
Yogh'
-----

[invitec04351b8]

Bonsoir,

mets à jour MBAM et fais un scan rapide.

Ouvre ce lien : http://support.kaspersky.com/fr/faq/?qid=208280685

Fais ce qui est dit sous Réparation du système infecté.

Poste le rapport.

Sauvegarde tes documents importants.


Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[Yoghourt]

Hello et merci beaucoup!

Le PC étant reparti en gel,
MBAM a trouvé 3 fois Rootkit.0Access.H, et a proposé de les supprimer, ce que j'ai fait. Voici le rapport

 Cliquez pour afficher

Malwarebytes Anti-Malware (Trial) 1.60.1.1000
www.malwarebytes.org

Database version: v2012.02.19.01

Windows XP Service Pack 3 x86 NTFS (Safe Mode/Networking)
Internet Explorer 8.0.6001.18702
Administrateur :: MAYAR17 [administrator]

Protection: Disabled

19/02/2012 12:35:46
mbam-log-2012-02-19 (12-35-46).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 261106
Time elapsed: 8 minute(s), 20 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 3
C:\WINDOWS\system32\ncupdatesv c.dll (RootKit.0Access.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SaiNtSub.d ll (RootKit.0Access.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\c-dillasrv.dll (RootKit.0Access.H) -> Quarantined and deleted successfully.

(end)

TDSSKiller trouve tout OK.
TDSSKiller.log.txt

J'en suis à rebooter puis sauvegarder mes documents...

[Yoghourt]

bon ben, au reboot, avira a re-blippé.
Alors j'ai relancé TDSSKiller qui a détecté un rootkit et une suspiciion. Je n'ai hélas pas fait de cut'npaste du rapport. Après élimination, il demandait à rebooter, ce que j'ai fait.
J'ai donc refait un coup de MBAM = rien détecté

 Cliquez pour afficher

Malwarebytes Anti-Malware (Trial) 1.60.1.1000
www.malwarebytes.org

Database version: v2012.02.19.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Michelle & Yan :: MAYAR17 [administrator]

Protection: Disabled

19.2.2012 1:39:18 PM
mbam-log-2012-02-19 (13-39-18).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 263613
Time elapsed: 27 minute(s), 45 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Puis un coup de TDSSKiller => pas de cri, juste la même suspicion
TDSSKiller (2).log
Ce coup-ci, je passe au back-up.

[A voir en vidéo sur Futura]

[invitec04351b8]

Bonjour,

sptd.sys est légitime. Tu peux faire "skip".

Le rapport ZHPDiag ?

@+

[Yoghourt]

Je fais un back-up comme tu m'as indiqué, puis je passe zhpdiag. Sauf si tu me dis de passer zhpdiag de suite, of course

[invitec04351b8]

Re,

je ne t'ai pas demandé de back-up.

Je ne vois pas de quoi tu parles.

@+

[Yoghourt]

c'est ce que j'ai cru comprendre en lisant çà :

Sauvegarde tes documents importants.

[Yoghourt]

Voici le rapport de ZHPDiag

[Yoghourt]

Au fait, tu disais:

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
(...)
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Le nom du fichier téléchargé est ZHPDiag2.exe. L'installation m'a créé sur le bureau un lien ZHPDiag, un lien MBRcheck, un lien ZHPfix. J'ai supposé que cela ne prêtait pas à conséquence. M'enfin, c'est toi l'expert, donc c'est mieux que je te donne toute information qui pourrait t'être utile.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+[/QUOTE]

[Yoghourt]

zut, impossible de modifier mon précédent msg. Désolé pour le reliquat de citation à la fin.

[invitec04351b8]

Re,

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

===

Pour le back up, tu peux faire (toujours une bonne précaution).

@+

[Yoghourt]

Le rapport d'ADWcleaner :AdwCleaner[S1].txt

[invitec04351b8]

Re,

Tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport.

Une vérif pour ma tranquillité :

Télécharge Roguekiller : http://www.sur-la-toile.com/RogueKiller/

Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

A ce moment là, tu le renommes en winlogon ou iexplore.

Lance en option 1 (Scan).

Poste le rapport ici.

@+

[Yoghourt]

Pas de souci de plantage de RogueKiller. Ta tranquilité semble avoir eu bien raison, RogueKiller a détecté un "setup.exe" louche et m'a ouvert une page web :
http://tigzyrk.blogspot.com/2011/09/...ccess-max.html

[invitec04351b8]

Re,

on va suivre les recommandations de Tigzy.

Tu ouvres ce lien : http://support.kaspersky.com/fr/faq/?qid=208280685

Tu fais ce qui est écrit sous Réparation du système infecté.

Tu postes le rapport.

===

Ensuite, on va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

@+

[Yoghourt]

les rapports TDSSKiller et combofix
TDSSKiller (3).logComboFix.txt
à noter :
- J'ai demandé à antivir de se désactiver, mais le bougre ne l'a pas fait entièrement. Il m'a affiché des fenêtres me demandant quoi faire concernant des fichiers genre c:/combofix/... .exe (bloquer/ignorer/programme fiable), et j'ai cliqué "prog fiable" à chaque fois.
- Pas de souci de blocage d'internet au redémarrage après combofix.

[invitec04351b8]

Re,

tu relances RogueKiller option scan et tu postes le rapport.

Tu relances ZHPDiag et tu postes le rapport.

Encore des alertes ? des soucis ?

@+

[Yoghourt]

Rapport RogueKiller (mis à part les faux positifs de boinc, il semble content)

 Cliquez pour afficher

RogueKiller V7.1.0 [15/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussi...Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Michelle & Yan [Droits d'admin]
Mode: Recherche -- Date: 19/02/2012 23:34:24

¤¤¤ Processus malicieux: 4 ¤¤¤
[SUSP PATH] hsgamma_FGRP1_0.23_windows_int elx86.exe -- C:\Documents and Settings\All Users\Application Data\BOINC\projects\einstein.p hys.uwm.edu\hsgamma_FGRP1_0.23 _windows_intelx86.exe -> KILLED [TermProc]
[SUSP PATH] hsgamma_FGRP1_0.23_windows_int elx86.exe -- C:\Documents and Settings\All Users\Application Data\BOINC\projects\einstein.p hys.uwm.edu\hsgamma_FGRP1_0.23 _windows_intelx86.exe -> KILLED [TermProc]
[RESIDUE] hsgamma_FGRP1_0.23_windows_int elx86.exe -- C:\Documents and Settings\All Users\Application Data\BOINC\projects\einstein.p hys.uwm.edu\hsgamma_FGRP1_0.23 _windows_intelx86.exe -> KILLED [TermProc]
[RESIDUE] hsgamma_FGRP1_0.23_windows_int elx86.exe -- C:\Documents and Settings\All Users\Application Data\BOINC\projects\einstein.p hys.uwm.edu\hsgamma_FGRP1_0.23 _windows_intelx86.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Parameters\Inte rfaces\{01D8BBE2-9056-4C95-B1BB-59089098AE9A} : NameServer (8.26.56.26,156.154.70.22) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Inte rfaces\{F337BBAA-12B1-40CB-B3FA-780D7EDF547C} : NameServer (8.26.56.26,156.154.70.22) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Inte rfaces\{01D8BBE2-9056-4C95-B1BB-59089098AE9A} : NameServer (8.26.56.26,156.154.70.22) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Inte rfaces\{F337BBAA-12B1-40CB-B3FA-780D7EDF547C} : NameServer (8.26.56.26,156.154.70.22) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS722020K9SA00 +++++
--- User ---
[MBR] 1fda44e30571283c6238f63b8c7da5 0f
[BSP] 9c5d6dc62059194023785100b1825b b8 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 190771 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

ZHPDiag (3).Txt

Plus d'alertes d'Avira. Pas de souci ou comportement bizarre apparent. C'est là que je t'embrasse tout plein pour ton aide? (Benjy, sort de mon corps! )

[invitec04351b8]

Re,

on termine.


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
Emptytemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

On va nettoyer les outils inutiles.

Fais ceci :

Démarrer, Exécuter, tape <code>combofix /uninstall</code> dans la zone de saisie puis clique sur OK.

---

Démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

---

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.


===

Quelques conseils pour minimiser les risques d'infection :

http://forum.malekal.com/securiser-s...urte-t381.html

@+

[Yoghourt]

Alors que je m'apprétais à réinstaller comodo firewall, avira m'a rebleepé sur du sirefef.BV.2
comodo est dorénavant réinstallé.

 Cliquez pour afficher

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-20.2.2012-12-06-42 AM.txt
Run by Michelle & Yan at 20.2.2012 12:06:42 AM
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Elément(s) de donnée du Registre ==========
REMPLACE Value FirewallOverride : Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 68

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 131


========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)


End of clean in 02mn AMs

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 20.2.2012 12:06:42 AM [770]

[invitec04351b8]

Bonjour,

tu relances Combofix avec les mêmes précautions que la première fois.

Tu postes le rapport.

Tu relances ZHPDiag et tu postes le rapport.

@+

[Yoghourt]

ok, je fais ça ce soir.

[Yoghourt]

Voilà les 2 rapports. Ce coup-ci, j'ai tourné combofix en mode sans échec histoire d'être plus sûr qu'avira ne vienne pas fourrer son nez
ComboFix.txt
ZHPDiag.txt

[invitec04351b8]

Re,

relance ZHPFix avec ces lignes :

Code:

[HKCU\Software\pdfforge.org]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
EmptyTemp

Poste le rapport.

Encore des soucis ?

@+

[Yoghourt]

Je n'ai rien fait sur le PC en attendant tes dernières instructions. Pas de beep d'Avira. Et comme je re-passé le compte courant en limité, je suis retombé sur mon pb usuel d'explorer qui plante lors du déplacement de fichiers. A part ça, RAS

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre :
Run by Michelle & Yan at 20.2.2012 8:58:23 PM
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\pdfforge.org
ABSENT Key: HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Stats\{00 000000-6E41-4FD3-8538-502F5495E5FC}
ABSENT Key: HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Stats\{D4 027C7F-154A-4066-A1AD-4243D8127440}
ABSENT Key: HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Settings\ {D4027C7F-154A-4066-A1AD-4243D8127440}

========== Valeur(s) du Registre ==========
ABSENT [HKCU\Software\Microsoft\Intern et Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
ABSENT [HKCU\Software\Microsoft\Intern et Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 10

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 40


========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of clean in 01mn AMs

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 20.2.2012 12:06:42 AM [823]
C:\ZHP\ZHPFix[R2].txt - 20.2.2012 12:12:05 AM [743]
C:\ZHP\ZHPFix[R3].txt - 20.2.2012 8:58:23 PM [1454]

[invitec04351b8]

Re,

alors on va nettoyer les outils.

Démarrer, Exécuter, tape

Code:

combofix /uninstall

dans la zone de saisie puis clique sur OK.

---

Démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

---

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

@+

[Yoghourt]

C'est tout fait. Marchi beaucoup tout plein.
Si tu passes par le forum habitat bioclim un de ces 4, n'hésite pas à m'envoyer un MP

[invitec04351b8]

Re,

de rien pour l'aide, ce fut avec plaisir.

Quelques conseils pour minimiser les risques d'infection :

http://forum.malekal.com/securiser-s...urte-t381.html

@+