[résolu]Trojan Win32/Sirefef.AH

Bonjour à tous,
J'ai un problème de Trojan Win32/Sirefef.AH et je souhaite votre aide pour le supprimer car Microsoft Security Essentials n'y arrive pas.
Merci d'avance
Didette

Bonjour

fais ceci STP

Clique ici pour télécharger MalwareByte's Anti-Malware sur ton bureau.

• Installe le programme
  
• Lance-le et mets à jour la base de définition en allant dans l'onglet "mise à jour" puis "Recherche de mise à jour".
  
• Choisis "Exécuter un examen complet" puis Rechercher
  
• Laisse l'analyse se faire (cela peut durer longtemps).
  
  Une fois le scan terminé, clique sur "Afficher les résultats", vérifie que les éléments trouvés soient cochés puis sur Supprimer la sélection" en bas.
  
  
• Un redémarrage peut être nécessaire.

Un rapport va s'afficher, enregistre-le sur ton bureau. Sinon, après le démarrage, il se trouvera dans l'onglet Rapports/logs de Malwarebyte.
Poste le rapport svp

Une aide à l'utilisation ici

Je tiens tout d'abord à te remercier pour ton aide.
Je te post le rapport MalwareByte's Anti-Malware :

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.28.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Win XP :: WIN-5CA159C6034 [administrateur]

28/03/2012 14:35:58
mbam-log-2012-03-28 (14-35-58).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 214340
Temps écoulé: 3 heure(s), 11 minute(s), 5 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\WORT (Trojan.Vilsel) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Documents and Settings\Win XP\Application Data\Adobe\shed\thr1.chm (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Win XP\Application Data\Adobe\plugs\mmc258291625.txt (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Win XP\Application Data\Adobe\plugs\mmc32.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Win XP\Application Data\Adobe\plugs\mmc49.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Re

Ok très bien maintenant fais ceci STP

ZHPDiag :




Clique ici ou ici pour Télécharger ZHPDiag ( de Nicolas coolman )

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut (Coche " Créer une icône sur le bureau " )

• Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Exécuter en tant qu'administrateur ( Vista/seven )
  
  
• Clique sur la loupe en haut à gauche, puis laisse l'outil scanner
  
  
• Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau

Poste le contenu du rapport


Si les rapports sont trop longs utilisez ce site : http://www.cijoint.fr/
Cliquez sur Parcourir pour rechercher les rapports puis cliquez sur Cliquez ici pour déposer le fichier
Donnez le lien dans le sujet.
Il est de type : http://www.cijoint.fr/cjlink.php?file=cj201003/abcZ8MD0zB.txt

Lien pour le rapport ZHPDiag


http://cjoint.com/?BCCuoLjSVxx

Pour info, Microsoft Security Essentials détecte d'autres virus, à savoir
Win32/Sirefef.AC
Downloader:Win32/Misun.A
Adware:JS/Pornpop.A

bonjour

Bizarre je t'ai posé une question et je ne la vois plus

ton Windows est il legal ou pas ?

Pour le reste fais ceci les outils de microsoft je m'en méfie

Rends toi sur kaspersky online scanner (clique ici)

• Clique sur Accept en bas pour installer le programme.
  
• Ferme toutes tes fenêtres et désactive tes logiciels de sécurité.
  
• Clique sur Exécuter pour lancer le programme.
  Patiente le temps de la mise à jour ...
  
• Clique sur My Computer sous Scan (à gauche)
  Patiente le temps du scan.
  
• Dès que c'est fini, clique sur Report... à gauche, puis clique sur Save Report...

Sauvegarde le rapport sous le nom kaspersky.txt et copie/colle son contenu ici svp.
Réactive ton antivirus.

ps : n'utilise pas ton pc le temps du scan.

Une aide en image ici

Le lien pour kaspersky online scanner (clique ici) ne fonctionne pas....

bonsoir

désoler du retard

prend celui ci

http://www.eset.eu/eset-online-scanner

Bonsoir,
J'ai lancé le scan. Il était terminé et m'a signalé 12 infections. Malheureusement, mon PC à planté à la dernière phase, là ou il demandait - list of found threats ou manage quarantaine
Que dois-je faire ? Le relancer ? Si oui, je coche quoi à la fin ?

non je veux juste le rapport ne supprime rien avant

J'ai relancé le scan. Par contre, je suis nulle en anglais donc il faut me dire ce que je dois faire en dernier soit "list of found threats ou manage quarantaine ?

A 86 % de scan, j'ai 0 fichiers infectés. Bizarre non ?

Le scan est terminé. 0 fichiers infectés. Par contre, je n'ai pas de rapport....désolée

bonjour

reposte un autre rapport ZHpdiag stp

Bonjour,

http://cjoint.com/?BCFjSLH0Geq

hello

/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Hey
Comme d'hab, j'ai lancé Combofix et mon ordi à planté avant la fin............ Donc je n'ai rien, même pas l'icône de Combofix sur mon bureau.
Je fais quoi ?????

Finalement, j'ai réussi à relancé Combofix. Toutefois, il termine l'étape 50 et au moment du supprimer les fichiers, mon orid plante

hello

as tu un message d'erreur ?

Voilà tout les messages que j'ai pu notés lors de Combofix :

- Parasites trouvés : c:\Program Files\SuperCopier2\SC2Hook.dll

- PC infecté par Rootkit.ZeroAccess. Il est inséré dans la pile tcp/ip

- Combofix à détecté la présence d'une activité rootkit et à besoin de faire redémarrer le PC (ce qu'il fait)

Par contre, aucun message lorsque l'ordi plante

ok très bien ta chopée du lourd je donne le bain a ma fille et reviens vers toi pour te donner le reste des instructions

rends toi ici

http://forum.malekal.com/bitdefender-zeroaccess-sirefef-removal-tool-t36424.html

suit exactement ce qui est demandé mais avant de faire désinstalle supercopier tu le remettra si tu veux ensuite par contre ton Windows n'est pas légal vu que cela fais trois fois que je te pose la question et que tu n'y répond pas.

Désolée, mais j'ai complètement oublié de te répondre concernant Windows. En fait, je pense que windows est légal mais je n'en suis pas sur. Mon PC à été formaté l'an dernier par un copain et je ne sais pas du tout ce qu'il a fait.

Analyse terminée : 0 fichiers nettoyés de 0 fichiers infectés

essaye celui ci

http://forum.malekal.com/panda-zeroaccess-sirefef-removal-t37048.html

demande a ton copain pour ceci

Citation :

O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] Clé orpheline
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] Clé orpheline
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] Clé orpheline
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] Clé orpheline
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll

J 'espère que ce n'est pas urgent car je ne le vois pas souvent.
Par contre, j'ai suivi les instructions et te post le rapport MalwareByte's
Je n'ai pas fermé l'application car il me demande si je veux supprimer le selection. Puis-je le faire ?

http://cjoint.com/?BDcwtBJ0M3s

J'ai relu ton premier post. J'ai donc supprimer la selection et je te post le nouveau rapport

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.04.02.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Win XP :: WIN-5CA159C6034 [administrateur]

02/04/2012 21:00:46
mbam-log-2012-04-02 (21-00-46).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 207988
Temps écoulé: 1 heure(s), 13 minute(s), 6 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\System Volume Information\_restore{15B45298-BDD1-494D-9C31-CF85A33E5B18}\RP1\A0000011.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

(fin)

Bonjour,

D'après Microsoft Security, le virus est toujours là. Il le supprime mais il revient toujours

http://cjoint.com/?BDds1RDFDiS

bonsoir

lance combofix en mode sans echec

http://www.commentcamarche.net/faq/5004-windows-demarrage-en-mode-sans-echec

Hello

J'ai lancé combofix en mode sans échec et le résultat est identique à savoir,

Combofix à détecté la présence d'une activité rootkit et à besoin de faire redémarrer le PC (ce qu'il fait)

il termine l'étape 50 et au moment du supprimer les fichiers, mon ordi s'arrête et redémarre

Par contre, est-ce normal que je n'ai plus que le disque dur C dispo dans mon poste de travail ?? Je n'ai plus le graveur, ni le lecteur DVD

hello

non c'est pas normal, bon on va essaye autrement

▶ Télécharge TDSSKiller : http://2011n2.forumgratuit.org/t438-tdsskiller

▶ Lance-le (Utilisateurs de Vista/Seven => Clique droit puis "Exécuter en tant que administrateur")

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. À la fin de l'analyse, appuie sur une touche de ton choix. Un rapport va s'ouvrir.

▶ Copie/Colle son contenu dans ta prochaine réponse sur le forum.

Note : Le rapport se trouve également sous C:\tdsskiller.txt.

Canned speech issu de FEI : http://2011n2.forumgratuit.org/

Bonjour
le lien est mort dans le canned de Shion , pour l'avancer.
Voici un lien officiel et valide : http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip
Décompresse l'archive sur ton bureau et doublie clic sur tdsskiller.exe (Sous vista/seven Clique droit puis "Exécuter en tant que administrateur")
Attendez la fin de l’analyse et de la réparation. Un redémarrage est recommandé après la réparation.

Besoin d'aide pour envoyer le rapport. Impossible de le copier/coller !!!!

Utilise le site cjoint.com comme précédemment

OK


http://cjoint.com/?BDepYOCVE5Q

Je ne sais pas si cela peut vous aider mais j'ai relancé un scan mais en changeant les paramètres (j'ai tout coché) et là, il trouve 3 fichiers suspicieux. Ci joint rapport

http://cjoint.com/?BDeqt1n2Zo8

hello

non rien de bien méchant sur tes 3 fichiers on va essaye autre chose vu que combofix ne veux pas fonctionner question l'as tu renommer d’ailleurs combofix ?

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
• Suis ce tutoriel pour héberger le rapport et poste le lien correspondant dans ta prochaine réponse.

Bonjour,
Désolée, mais je ne sais pas comment faire pour télécharger Gmer sous un nom aléatoire. j'ai besoin d'explication car dès l'instant que je clique sur Download Exe je ne peux pas modifier le nom. Si je le télécharge tel quel, mon ordi coupe

Bonjour
le canned est clair il faut cliquer sur le bouton indiqué, et là lui meme donnera un nom aléatoire au programme pour le telecharger afin qu'il ne soit pas détecté par une infection.

Je clique sur Download Exe, j'enregistre et dès que je veux l'ouvrir, l'ordi plante

Voici ci joint, le message que j'ai lorsque j'ouvre la page de Gmer

http://cjoint.com/?BDftLWSr7ma

as tu renommer d’ailleurs combofix ? Non

bonsoir

Pas grave on va la faire a l'ancienne vu que les copains du pc fond la fête on va aller jouer avec eux

télécharge

http://oldtimer.geekstogo.com/OTLPENet.exe

Le fichier est assez lourd donc le téléchargement peut prendre un peu de temps.
Insérer un CD vierge dans le graveur.
Double-cliquer sur le fichier téléchargé. Cela va procéder de façon automatique au brûlement du fichier téléchargé sur le CD.
redémarre le pc il faut que tu boot sur le cd
http://www.commentcamarche.net/faq/389-bios-acceder-au-setup-du-bios
ou
http://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot
ensuite télécharge combofix renommer je l' ai fait pour toi

https://sd-1.archive-host.com/membres/up/97910451919192382/Didette.exe

si tu as un souci viens ici nous le dire

@laddy merci

Hello

Help !!!!! J'ai télécharge le premier fichier et je fais quoi maintenant ???? J'ai à l'écran ImgBur et ImgBur Log.
J'arrête l'ordi ?? Et je boot sur le CD ??

J'ai suivi les instructions, allez sous bios (F2) mais ensuite je ne trouve rien qui ressemble à Boot séquence ou Start Device

as tu graver le cd ?

Franchement je n en sais rien. Lorsque j'ai cliqué sur télécharger, je pense qu'il c'est mis sur le disque dur. De toute manière, il me demande d'enregistrer et je ne peux pas modifier là où je veux le mettre