Virus : Trojan et abnow (3]

[Jeannou]

Bonsoir,

Je sais qu'il y a déjà eu des sujets là-dessus, mais comme j'ai l'impression que la solution varie en fonction des rapports d'analyse, je poste quand même... J'ai donc un problème de trojan.sirefef.bp persistant (bitdefender m'en détecte au moins une demi douzaine à chaque fois que je redémarre), un Gen.variant.graftor.7741 (idem, quoiqu'il revient moins souvant) et un truc de redirection de google dont je ne me rappelle plus le nom, mais bitdfender me l'avait aussi détecté pendant la dernière analyse système - sauf que le problème n'est pas résolu.

Help ! Qu'est ce que j'peux faire ???

Au cas où, voici le rapport AdwCleaner, et puis à la suite, un truc qui s'affiche au démarrage, je ne sais pas trop ce que c'est :

 

# AdwCleaner v1.501 - Rapport créé le 06/03/2012 à 23:31:37

# Mis à jour le 04/03/2012 par Xplode

# Système d'exploitation : Windows Vista Home Premium Service Pack 2 (32 bits)

# Nom d'utilisateur : Jeanne-Bathilde - JBL

# Exécuté depuis : C:\Users\Jeanne-Bathilde\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\Jeanne-Bathilde\AppData\Roaming\FissaSearch

Dossier Supprimé : C:\Users\Jeanne-Bathilde\AppData\Roaming\OfferBox

Dossier Supprimé : C:\Users\Jeanne-Bathilde\AppData\Local\Ilivid Player

Dossier Supprimé : C:\Users\Jeanne-Bathilde\AppData\LocalLow\searchquband

Dossier Supprimé : C:\Program Files\Windows iLivid Toolbar

Dossier Supprimé : C:\Users\Jeanne-Bathilde\AppData\Roaming\Mozilla\Firefox\Profiles\0hk3y9ns.default\searchqutoolbar

Dossier Supprimé : C:\Users\Jeanne-Bathilde\AppData\Roaming\Mozilla\Firefox\Profiles\0hk3y9ns.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}

Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\SearchResults.xml

Fichier Supprimé : C:\Users\Jeanne-Bathilde\AppData\Roaming\Mozilla\Firefox\Profiles\0hk3y9ns.default\searchplugins\SearchResults.xml

 

***** [H. Navipromo] *****

 

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\DataMngr

Clé Supprimée : HKCU\Software\DataMngr_Toolbar

Clé Supprimée : HKCU\Software\FissaSearch

Clé Supprimée : HKCU\Software\ilivid

Clé Supprimée : HKCU\Software\Offerbox

Clé Supprimée : HKCU\Software\pdfforge.org

Clé Supprimée : HKCU\Software\Spointer

Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar

Clé Supprimée : HKLM\SOFTWARE\DataMngr

Clé Supprimée : HKLM\SOFTWARE\FissaSearch

Clé Supprimée : HKLM\SOFTWARE\Offerbox

Clé Supprimée : HKLM\SOFTWARE\pdfforge.org

Clé Supprimée : HKLM\SOFTWARE\SearchquMediabarTb

Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard

Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}

Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079a25-328f-4bd4-be04-00955acaa0a7}]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v10.0.2 (fr)

 

Profil : 0hk3y9ns.default

Fichier : C:\Users\Jeanne-Bathilde\AppData\Roaming\Mozilla\Firefox\Profiles\0hk3y9ns.default\prefs.js

 

C:\Users\Jeanne-Bathilde\AppData\Roaming\Mozilla\Firefox\Profiles\0hk3y9ns.default\user.js ... Supprimé !

 

Supprimée : user_pref("extensions.Fissa.lastRunTime", "Sun, 23 Jan 2011 15:24:23 GMT");

Supprimée : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&appid=102&systemid=406&q=");

 

-\\ Google Chrome v [impossible d'obtenir la version]

 

Fichier : C:\Users\Jeanne-Bathilde\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [324 octets] - [06/03/2012 23:30:47]

AdwCleaner[s2].txt - [4576 octets] - [06/03/2012 23:31:37]

 

########## EOF - C:\AdwCleaner[s2].txt - [4704 octets] ##########

 

 

 

Et donc, deuxième rapport qui s'ouvre dans un bloc-notes (et qui s'appelle desktop.ini) :

 

 

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

 

Un grand merci d'avance si vous pouvez me tirer d'affaire ! j'y ai déjà passé une partie de la nuit et de la journée et ça n'avance pas d'un poil...

 

Je viens de lire les topics jusqu'au bout, super, ça promet...

Et pendant que j'y suis, le rapport ZHP Diag, des fois que ça aide...

Lien CJoint.com 0ChaDwF1hD4

[Apollo]

Bonsoir,

 

Essaie d'abord l'outil anti ZeroAccess de BitDefender: Malekal's forum • BitDefender ZeroAccess/Sirefef Removal tool : Programmes utiles

 

 

 

@++

[Jeannou]

C'est parti, mais c'est très, très, très lent...

[Apollo]

Bonsoir,

 

Je ne puis le tester pour l'instant, vu que je travaille sur un 64 Bits, l'autre pc est au repos et moi je vais y aller aussi

 

Si le tool de BitDefender a +/- travaillé, ce n'est pas pour ça que ce serait terminé, il faudrait alors poursuivre avec ComboFix.

Je donne toujours la procédure:

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes soient fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

+++ Bonne nuit.

[Jeannou]

Bonsoir,

Alors, je ne suis pas chez moi et vais devoir interrompre l'operation sauvetage jusqu'a dimanche mais pour resumer les derniers evenements :

- le truc bitdefender a a peu pres marche, en tout cas je pouvais me connecter sur des sites auxquels je n?avais pas acces avant

- mais le combofix a bien detecte un rootkit.sirefef et plusieurs trojans sirefef

Problem is, windows n'a pas voulu redemarrer, meme en mode sans echec avec reseau ; y suis finalement arrivee ce matin en mode sans echec tout court, combofix a refait ses petits trucs mais n' a pas pu achever toutes les etapes car pas en mode administrateur (???) , je poste le rapport des que je rentre et que j?arrive a me connecter depuis l?ordi

Merci en tout cas de m'avoir aidee jusque la ! je me remets dessus dimanche sans faute

Juste petite question : est ce aue ce truc affecte les disques durs externes et les clefs ? parce que si c'est le cas, c?est la cata...

(desolee pour les fautes de frappe je suis sur un clavier qwerty)

A bientot !

[Apollo]

Bonsoir,

 

Je n'en suis pas sûr mais je pense que non, il s'attaque plutôt au système proprement dit.

 

C'est déjà une bonne chose que le tool BitDfender ait pu régler l'une ou l'autre chose; cela permettrait entr'autres de faire une analyse en mode sans échec avec le virus removal tool (voir ma signature).

 

L'outil pourra être, si besoin, transféré par une clé usb.

 

@++

[Jeannou]

Bonjour,

Pendant que j'ai une connexion j'envoie le rapport combofix en MP (pas possible de faire autrement depuis cet ordi, apparemment)

J'essaie le reste ce soir...

[Apollo]

Bonsoir,j

 

Pas de bonne nouvelle, Vista est sérieusement amoché.

 

Je te conseille de réparer le système: http://www.vista-xp.fr/forum/topic428.html

 

http://www.vista-xp.fr/forum/topic39.html

 

@++

[Jeannou]

Bon ben je vais tenter ça (pas fait le kapersky, j'avais laissé le monde d'emploi au boulot...)

[Jeannou]

Hello,

Alors, quelques nouvelles de ce front là : je n'ai pas de dvd d'installation de vista, HP ne m'en a pas fourni, sous prétexte que je peux réinstaller vista au démarrage... ce qui est le cas, mais visiblement je ne peux pas faire la procédure permettant de conserver mes logiciels... j'ai cru comprendre que je pouvais me procurer un dvd auprès de microsoft, mais du coup il va encore falloir que je mette tout ça en stand-by quelques temps...

Bonne soirée !