Trojan sirefef

[funkybill]

Bonjour à tous,

depuis lundi, je me retrouve avec 2 trojan sirefef (.ac + .b) sur mon petit sony vaio VGN P11Z sous vista. Au démarrage, après + ou - 1 mn, un message d'erreur s'affiche : "windows a rencontré un problème critique et redémarrera automatiquement dans une minute", ce qu'il fait effectivement sans fin. Microsoft security essentials repère les 2 trojan, me dit qu'il les traite, et... message d'erreur et redémarrage...

j'arrive a démarrer en mode sans echec avec prise en charge réseau.

 

J'ai trainé sur les forums ou mon problème est abordé, mais il y a tellement de manières de faire que je m'y perds un peu...

 

J'ai téléchargé ZHP diag, et fait un scan. je m'apprète à télécharger malwarebytes.

 

Etant juste un utilisateur, un peu d'assistance serait la bienvenue...

 

Merci d'avance

 

Je joins le rapport de ZHPDiag.

 

-édit- Voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible.

 

Il est donc préférable de faire héberger de tels rapports, par exemple chez

C'est ce que j'ai fait avec le tien

 

Dans cette section, il ne faut pas multiplier les messages dans ton sujet avant d'avoir été pris en charge : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs…

Modifié le 5 juillet 2012 par Dylav
Hébergement d'un rapport volumineux et fusion des messages ;o)

[pear]

Bonjour,

 

Tout d'abord, Sauvegardez vos données sur support externe car il n'y a pas garantie de succès en raison des versions différentes qui se succèdent.

 

Il s'agit d'abord de tenter une Restauration à une date antérieure.

Cela n'a d'intétérêt que si la restauration est restée fonctionnelle et qu'il y a donc des points de restauration.

Si ce n'est pas le cas, passez au point 3)

Deux méthodes possibles:

 

1)Démarrer en mode sans échec

Choisir-> Dernière bonne configuration connue :

Cette option démarre Windows en utilisant une configuration précédente identifiée comme correcte.

 

2)tenter une restauration système à une date antérieure.

Démarrer->Tous les programmes->Accessoires->Outils Systeme->Restauration

si ça bloque:

Lancer la restauration en ligne de commande

 

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

Choisissez un point antérieur au problème.

 

 

3)Si vous n'avez pas de connexion internet, démarrez en mode sans échec avec opton réseau

ou installez les logiciels sur clé usb à l'aide d'un pc valide.

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

 

Cliquer surStart scan pour lancer l'analyse

Lorsque l'outil a terminé son travail d'inspection

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

 

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher, si nécéssaire p.ex faux positifs)

Cliquer sur Suppression. Cliquer sur r Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des indexes)

 

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[funkybill]

Bonsoir Pear,

 

Merci de ton aide..

 

Apparemment TDSSKiller n'a rien trouvé..

Lien CJoint.com BGevZSrlP0I

 

les rapports rogue killer

Lien CJoint.com BGevYa2kPYJ

Lien CJoint.com BGewlEN0o6G

Lien CJoint.com BGewmwvERj2

Lien CJoint.com BGewm4fu4it

Lien CJoint.com BGewol1ryTu

Lien CJoint.com BGewoT3A0SA

[pear]

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimeretc..

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

 

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[funkybill]

Bonjour Pear,

 

je te joins le rapport de Malwarebytes (qui n'a pas marché, donc...)

 

Lien CJoint.com BGffSE39R8r

 

Au fait, pas possible de faire une restauration à une date antérieure...

 

Je m'occupe de combofix quand j'ai un moment..

 

Merci !!

[pear]

Je m'occupe de combofix quand j'ai un moment..

 

Et je vous répondrez quand j'aurai un moment.

Cela peut durer..

[funkybill]

Bonjour Pear,

 

J'aurais du lire Confucius...

 

j'ai mis 3 jours à redémarrer en mode sans échec... j'ai lancé combofix, et ça semble fonctionner correctement, meme si je n'ai pas encore éteint l'ordi...

 

je te joins, le rapport combofix :

 

Lien CJoint.com BGiq1o249Gh

 

 

Merci beaucoup pour ton intervention et ton suivi !!

[pear]

Combofix vous dit:

 

c:\windows\system32\Services.exe . . . est infecté!!

 

Suivez cette procédure:

 

Vérifier et réparer les fichiers système Vista/7 sans le cd

 

 

et si cela ne suffit pas:

 

Réparer le démarrage Vista avec le cd