Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Ordi infecté par ATRAPS GEN, SIREFEF et win32


Messages recommandés

Bonjour,

 

Voilà je suis très ennuyé par deux trojan apparuent hier : ATRAPS et SIREFEF!

 

Mon systéme d'exploitation est windows xp service pack 3

 

j'avais avira free installé qui a detecté et bloqué ces virus.

 

Ausssitot, j'ai essayé d'enlever avec Malware-A-M, qui a réussi a detecté et en enlever un peu, après j'ai recommencé en mode sans échec.

 

les virus apparaissaient toujours sur avira, j'ai poursuivi par tdsskiller qui m'a oté les virus et qui m'a permis de pouvoir refaire fonctionner avira en temps reel.

 

j'ai passé à chaque fois ccleaner (nettoyeur et registre)

 

malgré tout avira continuait à me signaler le probleme.

 

Etant un peu enerve par ça, j'ai desinstaller et installer AVAST free qui aussitot m'a detecté win 32, SIREFEF A et AO mais dans le fichier C:\RECYCLER, ce qui me laisse penser à un probleme sur la corbeille, j'ai donc vidé la corbeille en y mettant un dossier bidon!

 

SUite à cela j'ai passé ESET, qui m'a enleve encore 2 virus.

 

malgré ceci 3 messages en permanence d'avast!

 

J'ai donc fait roguekiller, qui ne detecte rien, MBAM qui ne detecte rien, ADwcleaner rien et Virus tool remover de chez kapersky.

 

Ayant des données sensibles, je suis très très embeté!

 

J'ai un rapport ZHPDIAG à dispo, et je suis entrain de faire une analyse avast qui me trouve 58 infections pour le moment (j'avoue ne plus rien comprendre!)

 

Merci de l'aide future apportée.

 

P.S ; j'ai voulu faire windows update mais j'ai un message d'erreur qui apparait.

  • Upvote 1
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Beaucoup d'analyses mais aucun rapport?

 

Si tu en as sauvegardé, poste-les stp mais héberge-les sur Accueil de Cjoint.com

 

--------

Si services.exe est signalé comme infecté, tu ne peux pas le supprimer; il doit être réparé.

 

Dans l'attente de ta réponse.

 

++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Beaucoup d'analyses mais aucun rapport?

 

Si tu en as sauvegardé, poste-les stp mais héberge-les sur Accueil de Cjoint.com

 

--------

Si services.exe est signalé comme infecté, tu ne peux pas le supprimer; il doit être réparé.

 

Dans l'attente de ta réponse.

 

++

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.08.29.03

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrateur :: SERVEURETUDE [administrateur]

 

29/08/2012 12:53:03

mbam-log-2012-08-29 (12-53-03).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 202817

Temps écoulé: 5 minute(s), 11 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|syshost32 (Backdoor.Agent) -> Données: C:\WINDOWS\Installer\{D16EC83A-538B-52F3-EBCD-76DACB5579E1}\syshost.exe -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\WINDOWS\Installer\{D16EC83A-538B-52F3-EBCD-76DACB5579E1}\syshost.exe (Backdoor.Agent) -> Suppression au redémarrage.

 

(fin)

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.08.29.03

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrateur :: SERVEURETUDE [administrateur]

 

29/08/2012 13:04:03

mbam-log-2012-08-29 (13-04-03).txt

 

Type d'examen: Examen complet (A:\|C:\|D:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 258669

Temps écoulé: 19 minute(s), 51 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\RECYCLER\S-1-5-18\$448b9bb192402e08e3290dddcfa6676a\U\[email protected] (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.08.29.03

 

Windows XP Service Pack 3 x86 NTFS (Mode sans échec)

Internet Explorer 8.0.6001.18702

Administrateur :: SERVEURETUDE [administrateur]

 

30/08/2012 13:33:42

mbam-log-2012-08-30 (13-33-42).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 205946

Temps écoulé: 6 minute(s), 47 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

 

je ne trouve pas le rapport avast!

 

rapport roguekiller :

 

RogueKiller V8.0.1 [30/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Recherche -- Date : 30/08/2012 09:35:53

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 1 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[41] : NtCreateKey @ 0x80623FD6 -> HOOKED (Unknown @ 0xF7BF52DE)

SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7BF52D4)

SSDT[63] : NtDeleteKey @ 0x80624472 -> HOOKED (Unknown @ 0xF7BF52E3)

SSDT[65] : NtDeleteValueKey @ 0x80624642 -> HOOKED (Unknown @ 0xF7BF52ED)

SSDT[98] : NtLoadKey @ 0x806261FA -> HOOKED (Unknown @ 0xF7BF52F2)

SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7BF52C0)

SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7BF52C5)

SSDT[193] : NtReplaceKey @ 0x806260AA -> HOOKED (Unknown @ 0xF7BF52FC)

SSDT[204] : NtRestoreKey @ 0x806259B6 -> HOOKED (Unknown @ 0xF7BF52F7)

SSDT[247] : NtSetValueKey @ 0x80622548 -> HOOKED (Unknown @ 0xF7BF52E8)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

# Copyright © 1993-1999 Microsoft Corp.

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD3200AAKS-00UU3A0 +++++

--- User ---

[MBR] 9adaad0b0ac20b29aa4a68993d03f027

[bSP] d0b0fad2e1887ad707702b9eb5a7254a : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 81915435 | Size: 265245 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

le ZHPDIAG est plus haut sur cjoint

merci apollo de t'occuper de moi!

Lien vers le commentaire
Partager sur d’autres sites

Utilise le bouton "Ajouter une réponse" et non "répondre" afin de ne pas me citer chaque fois. Merci.

 

Note: si je demande d'héberger les rapports, c'est pour ne pas prendre le risque de planter le sujet.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

NB: Si ComboFix dit qu'il y a quand-même un antivirus actif, faire l'analyse en mode sans échec avec prise en charge du réseau, les protections seront désactivées quoi qu'il en dise: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

  • attention.gifSi la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
     
    consolerestaucf.jpg
     
  • Assure toi que tous les programmes soient fermés avant de commencer.
  • Double-clique ComboFix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  • Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

je viens de le faire en mode sans echec avec prise en charge reseau, une liste d ecriture en vert à defiler, et j'ai entendu un double bip et sont apparus deux masques gris qui ont disparu aussi vite!

 

dans le dossier combofix je ne trouve pas de rapport en.txt, il ya pleins de trucs mais pas le rapport???

Lien vers le commentaire
Partager sur d’autres sites

Tout cela est normal mais à part pour la console de récupération, tu dois attendre que ComboFix effectue ses 50 étapes sans toucher à rien.

 

Il ouvrira son rapport, et c'est seulement à cet instant qu'il aura terminé sa recherche et désinfection première. Sois patient.

 

 

Le double bip est une alerte (fausse en mode sans échec) sur les protections actives, ce qui est impossible dans ce mode.

 

@++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

alors je n'ai pas été patient, une fois termine les analyses en vert dans combofix, j'ai redemarrer pour revenir en mode normal (alors que faire?)

Malgré tout, j'ai un fichier c:\Combofix avec pleins de programmes inconnus pour mon ordi des txt etc...

 

en attendant j'ai regarde windows update qui ne me parle plus d'erreur!

 

dois je recommencer?

Modifié par lamangouste
Lien vers le commentaire
Partager sur d’autres sites

Oué, t'es trop pressé ;)

 

Les "trucs" en vert ne sont pas des analyses mais seulement le chargement des fichiers :D

 

Recommence et laisse travailler CF jusqu'au bout; normalement il redémarre l'ordi lui-même puis t'affiche son rapport, qui sera de toute manière enregistré sur le C:\

 

++

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...