Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par « sirefef »


Messages recommandés

Bonjour à tous,

 

Je suis nouveau sur le forum.

Je me présente : Alexis, habite Pontarlier dans le Doubs et suis artisan plombier/électricien et suis dépendant de mon ordinateur quotidiennement!

 

Après plusieurs alertes et une multitudes d'essai de nettoyage avec C-cleaner et search and destroy, aucun résultat j'ai tjrs ce retour d'alerte windows.

J'ai également constaté qu'il m'était pas possible de réactiver mon pare-feu windows bizarre...

 

Je sais que je n'ai pas pris le temps d'installer un bon prog antivirus mais je ferais le nécessaire une fois débarassé de cette salo....!

 

Je m'adresse donc aux pros de l'info pour me conseiller sur les démarches à suivre afin de soigner mon ordi?!

 

Merci d'avance à vous.

 

Bonne journée.

 

Alexis

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

1)

Il faut savoir que Spybot utilise une technologie dépassée.

Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....

Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident.

 

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

 

 

Vaccination Spybot

Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"

cliquez sur "Vaccination" dans la colonne sur la gauche :

Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.

 

Désinstaller Spybot

 

 

2) Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

En cas de blocage Renommer RogueKiller.exe -> winlogon.exe

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher:celles que vous avez volontairement modifiées)

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Il y aura 6 rapports à fournir.

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Merci bien pour votre aide.

 

Avant d'avoir votre réponse j'avais pris l'initiative d'installer ditdefender 2012 plus qui est à l'heure actuelle en train de réaliser un scan complet de l'ordi. est-ce un bon prog?

J'ai suivi vos indications, téléchargé roguekiller et je souhaiterais savoir en quoi consiste le copier/coller dont vous me parlez? il faut que je vous transmette sur le sujet le copier coller? ou je me trompe?

 

crdlt

merci Alexis.

Lien vers le commentaire
Partager sur d’autres sites

en quoi consiste le copier/coller dont vous me parlez? il faut que je vous transmette sur le sujet le copier coller? ou je me trompe?

 

C'est bien cela.

Il en va ainsi pour tous les rapports.

Sans eux, nous sommes désarmés.

Lien vers le commentaire
Partager sur d’autres sites

Ok PEAR,

 

Parfait je procède de suite aux manips!

 

premier scan :

 

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/60)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mylène et Alexis [Droits d'admin]

Mode : Recherche -- Date : 05/10/2012 09:06:37

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 3 ¤¤¤

[HJPOL] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST1000DM 003-9YN162 SATA Disk Device +++++

--- User ---

[MBR] 1d4649286fa22ce694a26d8117cf7b8f

[bSP] fcf03a72c799e33deecc8eb4ea42b069 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 935912 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1916954624 | Size: 17855 Mo

User = LL1 ... OK!

User != LL2 ... KO!

--- LL2 ---

[MBR] 88d30cb838a16d44390d810e5a8c4674

[bSP] 75f250a899d98479fb0430d1d76317b1 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 205154304 | Size: 300 Mo

 

+++++ PhysicalDrive2: HP Officejet Pro 86 USB Device +++++

Error reading User MBR!

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

Proxy RAZ :

 

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/60)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mylène et Alexis [Droits d'admin]

Mode : Suppression -- Date : 05/10/2012 09:08:23

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 3 ¤¤¤

[HJPOL] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST1000DM 003-9YN162 SATA Disk Device +++++

--- User ---

[MBR] 1d4649286fa22ce694a26d8117cf7b8f

[bSP] fcf03a72c799e33deecc8eb4ea42b069 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 935912 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1916954624 | Size: 17855 Mo

User = LL1 ... OK!

User != LL2 ... KO!

--- LL2 ---

[MBR] 88d30cb838a16d44390d810e5a8c4674

[bSP] 75f250a899d98479fb0430d1d76317b1 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 205154304 | Size: 300 Mo

 

+++++ PhysicalDrive1: Multiple Card Reader USB Device +++++

Error reading User MBR!

User = LL1 ... OK!

Error reading LL2 MBR!

 

+++++ PhysicalDrive2: HP Officejet Pro 86 USB Device +++++

Error reading User MBR!

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

 

Proxy RAZ :

 

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/60)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mylène et Alexis [Droits d'admin]

Mode : HOSTS RAZ -- Date : 05/10/2012 09:09:58

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

 

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

 

 

DNS RAZ :

 

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/60)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mylène et Alexis [Droits d'admin]

Mode : Proxy RAZ -- Date : 05/10/2012 09:10:25

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

 

Racc. RAZ :

 

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/60)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mylène et Alexis [Droits d'admin]

Mode : DNS RAZ -- Date : 05/10/2012 09:10:41

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

 

 

Dernier rapport :

 

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/60)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Mylène et Alexis [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 05/10/2012 09:11:52

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 1 / Fail 0

Lancement rapide: Success 1 / Fail 0

Programmes: Success 7 / Fail 0

Menu demarrer: Success 1 / Fail 0

Dossier utilisateur: Success 118 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 82 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 92 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[E:] \Device\CdRom0 -- 0x5 --> Skipped

[F:] \Device\HarddiskVolume5 -- 0x2 --> Restored

[G:] \Device\HarddiskVolume4 -- 0x2 --> Restored

 

¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤

 

Termine : << RKreport[7].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt ; RKreport[7].txt

 

 

 

 

C'est bizarre j'ai 7 rapport!

Redites moi si j'ai fais une gourde!

Merci à bientôt.

Lien vers le commentaire
Partager sur d’autres sites

Non, pas de bourde.

Le rapport de recherche n'est pas compris dans les 6.

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de Subs

 

et sauvegardez le sur le bureau

 

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer etc..

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

2)Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré

Il se trouve à c:\combofix.txt

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Salut pear,

 

J'ai bien suivis à la lettre tes explications! Combofix est en fonctionnement mais il est sur l'étape 3 depuis 1h30!! Dois-je m'inquiéter? Sachant que le Pc n'est pas planté ni combofix puisse qu'il continue de clignoter!

 

À plus tard merci.

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...