Téléchargement
illégal

Supprimer l'infection Zaccess / Sirefef

Cette infection se propage notamment par le téléchargement de Cracks, elle s'installe aussi avec certains rogues.

Attention, l'infection est différente selon l'architecture du système d'exploitation 32 ou 64 bits.
Donc faites bien les manipulations en fonction de votre architecture


Méthodes de détection

Système 32 bits


Pour les systèmes 32 bits , l'infection est composée :
  • d'un processus avec un ADS 3(Alternate Data Stream) 304301937:2388266043.exe
  • d'un patch (modification) de pilotes systèmes au hasard.

La difficulté ici est de pouvoir restaurer les fichiers systèmes, la suppression peut endommager des fonctionnalités de Windows ou empécher son chargement.

Système 64 bits

  • L'infection Sirefef.B peut être repérée sur les OS 64 bits par l'installation d'un fichier du type: "consrv.dll".
  • Le logiciel Zhpdiag permet de repérer l'infection:


---\\ Alert Messages

WARNING : RootKit.ZAccess found with file consvr.dll


Tutoriel de Zhpdiag: http://forum.zebulon.fr/zhpdiag-un-outil-de-diagnostic-t148190.html
  • RogueKiller permet aussi de repérer cette infection


RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Mode: Recherche -- Date : 20/12/2011 16:11:15

¤¤¤ Processus malicieux: 3 ¤¤¤
[SUSP PATH] setup.exe -- C:\Windows\TEMP\qvdxdk\setup.exe -> KILLED [TermProc]
[SUSP PATH] setup.exe -- C:\Windows\TEMP\nywquc\setup.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 1 ¤¤¤
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : 27l4ozqjbh (C:\ProgramData\27l4ozqjbh.exe) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
  • Les logiciels Antivirus permettent aussi de repérer cette infection sans toutefois parvenir à l'éradiquer.


AhnLab-V3 Backdoor/Win32.ZAccess
Antiy-AVL Trojan/Win32.ZAccess.gen
Avast Win32:Sirefef-G [Rtk]
Avast5 Win32:Sirefef-G [Rtk]
Kaspersky Rootkit.Win32.ZAccess.e

Méthodes de désinfection

Système 64 bits


Il faut restaurer la clef à son origine à partir d'un CD Live - suivre ces explications : http://www.malekal.com/2011/10/19/zaccess-sur-windows-64-bits-consrv-winsrv/

Système 32bits


Il est également possible que vous ne puissiez pas télécharger directement les outils chez vous.
Pour ce faire il vous suffit de renommer les outils lors du téléchargement. Si vous ne parvenez pas à le faire, je vous recommande de demander de l'aide sur le forum Virus/Sécurité

Cette infection étant coriace, il est préférable de sauvegarder ses données avant de tenter de l'éradiquer, et d'avoir les DVD de réinstallation de son ordinateur sous la main.

Premier outil : Anti rootkit de Mcafee


Deuxième outil: Logiciel de Webroot


Troisième outil : TDSSKiller de Kaspersky

  • Téléchargez TDSSKiller sur votre bureau

http://support.kaspersky.com/downloads/utils/tdsskiller.zip
  • Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
  • Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

Cochez les et cliquez sur "Delete/Repair Selected".
  • Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").


Informations complémentaires sur cet outil :
http://support.kaspersky.com/viruses/solutions?qid=208280684

Quatrième outils: Combofix

  • Télécharge ComboFix (de sUBs) sur ton Bureau.
  • /!\Désactive temporairement toute protection résidente /!\ (Antivirus, Antispywares...)
  • Double clique sur ComboFix.exe. (Sous Vista et Seven, il faut cliquer droit sur Combofix.exe et choisir "Exécuter en tant qu'administrateur").
  • Accepte la licence en cliquant sur "Oui".
  • Le programme va vous demander si vous souhaitez installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je vous conseille donc très fortement de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Postez ce rapport dans votre prochaine réponse sur le forum.
  • Le rapport se trouve ici : %SystemDrive%ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C: en général)
  • Aide :Comment utiliser ComboFix.

Cinquième outil: Hitman Pro


Sixième méthode: Sirefef removal tool De NOD32


Septième méthode: ZeroAccess Removal Tool (32-bit uniquement) de Bogdan BOTEZATU


Huitième outil: logiciel d'Avast


Pour repérer l'infection:
  • Téléchargez aswMBR.exe sur votre bureau.
  • Double cliquez sur le aswMBR.exe pour l'exécuter
  • Cliquez sur le bouton «Scan» pour commencer le balayage
  • Cliquez sur Save log pour sauvegarder le rapport
  • Enregistrez le aswASW.log sur le bureau
  • Postez le rapport sur le forum si vous vous faîtes aider.


Pour supprimer l'infection:
  • Relancer aswMBR.exe pour l'exécuter
  • Cliquez sur le bouton «Scan» pour commencer le balayage
  • Cliquez sur "Fix"
  • Enregistrez le aswASW.log sur le bureau
  • Postez le rapport sur le forum.

Autres méthodes: un live CD/Usb antivirus


Si windows ne démarre plus


Voir ici: http://www.commentcamarche.net/faq/24811-windows-ne-demarre-plus-que-faire

Vérification


Pour vérifier qu'il ne reste rien, il est préférable d'analyser son ordinateur avec son antivirus ou passer un antivirus en ligne.

Autres liens utiles

Publié par jlpjlp - Dernière mise à jour le 21 décembre 2011 à 19:14 par jlpjlp
Ce document intitulé « Supprimer l'infection Zaccess / Sirefef  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Désinstaller Personal Shield Pro (Rogue) Scanner un réseau avec Nessus (sous Debian)
Suggestions
  •  Supprimer l'infection Zaccess / Sirefef
  •  Supprimer les infections sur les réseaux sociaux (Facebook...) » Fiches pratiques : Si vous n'arrêtez pas de recevoir des liens douteux, des publicités, si vos contacts reçoivent des messages étranges venant de votre compte, ou tout simplement si vous pensez que votre Pc est infecté via votre réseau social (Facebook, Google +,...
  •  Supprimer les infections sur les réseaux sociaux » Fiches pratiques : Si vous n'arrêtez pas de recevoir des liens douteux, des publicités, si vos contacts reçoivent des messages étranges venant de votre compte, ou tout simplement si vous pensez que votre Pc est infecté via votre réseau social (Facebook, Google +,...
  •  Comment supprimer les infections par MSN / WLM ? » Fiches pratiques : Qu'est-ce que l'infection par MSN / WLM Préliminaires Méthodes de désinfection Première méthode : MalwareBytes' Anti-Malware Deuxième méthode : UsbFix Troisième méthode : Clean Virus MSN Quatrième méthode : Msncleaner Cinq
  •  Supprimer une infection 023NT » Fiches pratiques : Supprimer une infection : 023 service NT visible sur un rapport HijackThis Certains chevaux de Troie utilisent un service de leur composante, en plus d'autres programmes lancés au démarrage pour leur réinstallation. L'option du bouton...
  •  Comment supprimer les infections par AOL Instant Messenger » Fiches pratiques : Préliminaires Méthodes de désinfection Première méthode : MalwareBytes' Anti-Malware Deuxième méthode :AIM Fix Troisième méthode: Usbfix Quatrième méthode : Combofix Après nettoyage Préliminaires
Plus
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?
Désinstaller Personal Shield Pro (Rogue)
Scanner un réseau avec Nessus (sous Debian)