ZeroAccess / Sirefef et Microsoft Security Essentials et redémarrage en boucle

La dernière mutation depuis quelques semaines de ZeroAccess/Sirefef sur les environnements 64 bits lorsque l’on a Microsoft Security Essentials provoque des redémarrages du PC en boucle.
Pour rappel en 64 bits, ZeroAccess modifie le fichier services.exe qui est alors détecté par Microsoft Security Essentials, on obtient alors le message : « Windows a rencontré un problème critique et redémarrera automatiquement dans une minute. Enregistrez votre travail maintenant ». 

Ceci pose bien entendu des problèmes pour désinfecter le PC.

Pour récupérer la main sur le PC, il faut remettre un fichier services.exe sain (en général, il y a des copies dans le dossier Windows).
Voici une procédure avec le CD OTLPE qui demande quelques connaissances, bien entendu, il existe d’autres moyens de copier le fichier.
Vous pouvez le faire depuis Ubuntu si vous êtes en Dual Boot, en mettant le disque dur en esclave sur un autre PC ou en ligne de commandes.
Ensuite tu démarres sur OTLPE.
Le but étant d’arriver sur un système d’exploitation tiers qui permet l’accès à tes fichiers Windows en autre.

La procédure est la suivante :

  • Telechter et Graver le CD OTLPE (ou mettre sur clef USB): http://forum.malekal.com/otlpe-live-t23453.html#p213090
  • Insérer le CD / Clef USB sur le PC infecté.
  • Redémarrer l’ordinateur et changer la séquence de démarrage : http://forum.malekal.com/booter-sur-dvd-t9447.html pour « booter » sur le CD ou clef USB.
  • OTLPE se charge
    • Une fois dessus, lancez OTL (icone jaune)
    • Naviguer dans les disques afin de sélectionner le dosssier Windows puis votre session infectée.
    • Copier/coller l’intégralité du script ci-dessous dans la partie scan personnalisé/Custon Scan.
      • /md5start
      • services.exe
      • /md5stop
    • Attendre que le scan s’effectue pour obtenir le rapport.

 

La partie qui est interressante, se trouve en fin de rapport – ce sont les fichiers services.exe qui ont été trouvés avec leurs hashs.

Une recherche sur Google du hash du fichier C:/Windows/system32/services.exe soit donc A302BBFF2A7278C0E239EE5D471D86A9 confirme bien qu’il est infecté puisque l’on tombe sur : https://www.virustotal.com/file/4c1096f2855ca7e6a043b312ea80921d3ce445630697eb4f4850ae842424a602/analysis/

SHA256: 4c1096f2855ca7e6a043b312ea80921d3ce445630697eb4f4850ae842424a602
File name: $$DeleteMe.services.exe.01cd76cb81848bf8.0000
Detection ratio: 29 / 42
Analysis date: 2012-08-13 11:33:13 UTC ( 4 heures, 6 minutes ago )

AntiVir W32/Patched.UB 20120813
Antiy-AVL Virus/Win32.ZAccess.gen 20120813
AVG Patched_c.LYU 20120813
BitDefender Trojan.Patched.Sirefef.C 20120813
ClamAV Trojan.Zeroaccess-473 20120813
Commtouch W32/Backdoor2.HKZP 20120813
DrWeb BackDoor.Maxplus.5220 20120813
Emsisoft Virus.Win32.Sirefef!IK 20120813
eSafe Win32.Trojan 20120812
ESET-NOD32 Win32/Sirefef.FC 20120813
F-Prot W32/Backdoor2.HKZP 20120813
F-Secure Virus:W32/ZeroAccess.B 20120813
Fortinet W32/ZAccInf.B!tr 20120813
GData Trojan.Patched.Sirefef.C 20120813
Ikarus Virus.Win32.Sirefef 20120813
K7AntiVirus Trojan 20120810
Kaspersky Virus.Win32.ZAccess.m 20120813
McAfee ZeroAccess.ds.gen.c 20120813
McAfee-GW-Edition ZeroAccess.ds.gen.c 20120813
Microsoft Virus:Win32/Sirefef.R 20120813
Norman W32/Suspicious_Gen4.AKUIL 20120813
PCTools Trojan.Zeroaccess 20120813
Sophos Troj/ZAccInf-B 20120813
Symantec Trojan.Zeroaccess!inf4 20120813
TheHacker Trojan/Sirefef.fc 20120812
TotalDefense Win32/ZAccess.ES 20120812
TrendMicro PTCH_ZACCESS.A 20120813
TrendMicro-HouseCall PTCH_ZACCESS.TRI 20120813
VIPRE Virus.Win32.Sirefef.r (v) 20120813

On peux bien sûr scanner, si internet fonctionne, directement le fichier sur VirusTotal : http://www.virustotal.com 

Il suffit ensuite de trouver la bonne version du fichier services.exe qu’il faudra recopier dans C:/Windows/System32/services.exe afin de remplacer celui infecté.
C’est là que la taille de fichier intervient :

Dans notre exemple, il faut donc copier C:/Windows/winsxs/x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b/services.exe vers C:/Windows/System32/services.exe et redémarrer l’ordinateur.
Microsoft Security Essentials ne fera plus planter Windows.
Un scan Combofix est alors ensuite vivement conseillé : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

 

L’infection ZeroAccess/Sirefef se propage fortement par des exploits sur site WEB – vous êtes alors potentiellement vulnérables :

Un exploit sur site WEB permet l’infection de ton ordinateur de manière automatiquement à la visite d’un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l’execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d’infecter ton système.
Exemple avec :  Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d’entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s’installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :  http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 46 times, 1 visits today)

2 thoughts on “ZeroAccess / Sirefef et Microsoft Security Essentials et redémarrage en boucle

  1. bonjour, a noter aussi un sfc /scannow en mode offline: autre technique qui est visible en mode « reparer l’ordinateur » ss vista et seven accessible en appuyant sur F8 au démarrage

  2. et aussi , sans vouloir faire ma pub une vidéo youtube pour réparer après coup les services de sécurité Windows (update, centre de sécurité, par feu..).
    Encore désolé malekal, ya ma pub dans ma vidéo Youtube mais je n’ai pas vu d’autre tutos de réparation concernant certaines variantes de zeroaccess et leur propension a foutre en l’air les services cités:
    http://youtu.be/PNhnw65D7DU

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *