\_SIRCAM

éradication d'un virus : (backdoor) SIRCAM

Le tutoriel suivant est issu de plusieurs pages web (commentcamarche.net, secuser.com, certa.ssi.gouv.fr, 01net.com). Le plan de désinstallation du virus SIRCAM est un résumé des différentes manoeuvres possibles, auparavant évoquées, que vous devrez mettre en oeuvre pour éradiquer tout programme non sollicité.

W32/SirCam@mm, Backdoor.Sircam ou encore W32.Sircam.Worm@mm : les mails infectés commencent par "Hola como estas ?" ou "Hi! How are you?". Ils ont comme objet et nom du fichier joint (une double extension en .jpg.com, .mpg.pif) le nom d'un document copié sur l'ordinateur récepteur.

Les fichiers suivants sont installés :

C:\RECYCLED\SirC32.exe
C:\Windows\System\SCam32.exe

Plusieurs clés de la base de registre sont aussi créées ou modifiées :

HKCR\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1" %*
HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
HKLM\Software\Sircam

Actions engendrées par Sircam

diffusion par mail de fichiers trouvés sur le disque dur de la machine contaminée puis infectée ;
suppression aléatoire de fichiers du disque dur voire effacement complet ;
remplissage de l'espace restant sur le disque dur par ajout de texte au fichier \Recycled\sircam.sys.
sircam possède son propre service SMTP qui envoie des messages aux correspondants du carnet d'adresses Outlook ainsi qu'aux adresses trouvées dans les fichiers temporaires d'Internet Explorer.
Sircam recherche les répertoires partagés sans protection sur le réseau. Lorsqu'il en trouve, il tente de s'installer dans le répertoire Recycled sous le nom SirC32.exe et de renommer rundll32.exe en run32.exe dans le répertoire Windows du disque partagé.
Le fichier autoexec.bat est modifié de façon à exécuter Rundll32.exe au démarrage.

désinstallation de sircam

déconnectez la machine du réseau,
mettez à jour votre antivirus,
vérifiez que l'explorateur affiche tous les fichiers,
supprimer tous les fichiers \windows\SIrC32.exe et Scam32.exe s'ils existent ;
si run32.exe existe, supprimer rundll32.exe et renommer run32.exe en rundll32.exe.
Dans la base de registre, supprimer les clés
HKEY_LOCAL_MACHINE\Software\Sircam
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesirCam
changer la valeur "%1" de la clé HKEY_CLASSES_ROOT\exefile\shell\open\command par "%*".
Supprimer, si elle existe, la ligne @Win \recycled\sirc32.exe du fichier autoexec.bat;
supprimer le fichier Sircam.sys s'il existe;
supprimer tous les fichiers détectés par l'antivirus.

FIXSIRC

Autre solution pour éliminer le virus sircam : Télécharger l'utilitaire FIXSIRC (Symantec)

éliminer le virus sircam avec l'utilitaire FIXSIRC de Symantec

Complément d'information : badtrans et rmagic Lantern

Windows : autres pages traitant des installations licites et virales

les exécutables Windows Installation d'un programme Windows Désinstallation d'un programme Windows Eorezo Cachotteries : liens, menus non affichés Désinstallation de EoRezoBHO (base de registre) Désinstallation de EoRezoBHO et MSN Messenger (ligne de commande) Désinstallation en mode sans échec (F8) Nettoyage de C:\WINDOWS\Prefetch Nettoyage avec Ccleaner et Hitjackthis Quelques virus et méthodes d'éradication Eradication du virus SIRCAM Firefox : Trojan.PWS.ChromeInject.B Hoaks (canulars), faux virus et chaînes de mails Liens complémentaires

Formation Ubuntu/Windows, développement et administration de sites
déclaration à la CNIL : n° 1397076
Photographies, logo, illustrations : Pierre BELLENEY