Infection par trojan:win32/sirefef.O

Résolu
Sandra -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonsoir,

Mon ordinateur est visiblement infecté par un virus et je n'arrive pas à m'en sortir...je ne sais pas quoi faire.

C'est Windows Defender qui m'a averti de l'infection, le logiciel m'a donc proposé de supprimer le fichier en question mais lorsque j'accepte Windows Defender semble tourner dans le vide et ne fait rien.

J'ai donc voulu lancer un scan avec Avast mais l'antivirus ne répond plus non plus.

Mon pare-feu me demande régulièrement des autorisations de déblocage que je refuse par précaution et lorsque je vais sur internet je suis redirigée vers d'autres pages.

Que dois-je faire ?

Merci d'avance !!! :)

Sandra

26 réponses

  • 1
  • 2
Résumé de la discussion

Plusieurs symptômes décrits indiquent une infection: Windows Defender avertit mais reste bloqué lors de la suppression, Avast cesse de répondre et le navigateur redirige vers d'autres pages. Des réponses recommandent d'utiliser des outils spécialisés et des guides de décontamination, notamment TDSSKiller et des ressources Malekal, puis de redémarrer après détection et de publier les rapports pour aide. D'autres échanges évoquent l'identification de composants suspects via des éléments O23 et la vérification de fichiers système, avec des conseils sur l'analyse des résultats et l'évitement de suppressions hasardeuses. Enfin, certains messages signalent des effets périphériques comme des périphériques qui cessent de fonctionner, ce qui montre que l'infection peut aussi affecter le matériel et non seulement le système logiciel.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Ton infection n'est pas simple à éradiquer :/

    Tu peux essayer ces deux programmes dans l'ordre voir ce que ça donne, redémarre après le premier s'il détecte qq chose :
    https://forum.malekal.com/viewtopic.php?t=34542&start=

    puis : https://www.malekal.com/zeroaccesssirefef-remover/

    Poste les rapports, ensuite.

    1
    1. Sandra
       
      Mince...j'espère qu'on va pouvoir arriver à faire quelque chose quand même. :s

      Voici :
      ¤ Le rapport de RootKit Remover > http://uppix.net/9/2/5/4a050b4a18f9b8cac0ef3f58dc846.jpg
      ¤ Le log file de Anti Zero Access > http://uppix.net/a/6/d/33b0f46ef9ecf992f7bc223a09bed.png
      ¤ Le rapport de Anti Zero Access > http://uppix.net/5/a/a/ca0e4e289b7dc74df3ba27f92e8a6.png

      Merci beaucoup pour ton aide ! ;)


      (PS. Petite question de newbie : d'après ce que j'ai compris mon infection est en réalité un cheval de troie et ce n'est pas ce que l'on appelle un virus informatique mais un autre type de logiciel malveillant...cela signifie-t-il qu'avoir un simple antivirus ne suffit pas ? Faut-il avoir des logiciels spécifique pour éviter ce genre d'attaque ?)
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Trojan, ça veux plus rien dire, c'est comme virus, ça désigne tout et n'importe quoi.
    Les antivirus détete tout....(Pas besoin d'antispywares et encore moins des trucs comme Spybot ou Ad-Aware qui sont dépassés).
    Sauf qu'ils sont un peu à la rue...
    En gros ça protège pas à 100%

    ~~

    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
    Poste le rapport ici.

    SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
    1
  3. Sandra
     
    Hop voilà le rapport : http://www.cijoint.fr/cj201110/cijQskY9Jx.txt ! :)
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    refais TDSSKiller.
    Sur aswTdi, fais cure si tu as comme option.
    Sinon fais delete.

    Ca va flinguer Avast! mais de toute façon il est déjà mort.

    SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Sandra
     
    C'est étonnant le résultat n'est pas le même que tout à l'heure, cette fois-ci il détecte 3 menaces ! Je te mets le nouveau rapport.

    http://www.cijoint.fr/cj201110/cijyFbGsII.txt

    Pour l'instant, au cas où, je n'ai encore rien fait sur aswTdi.
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ben oui ça se remet...
    Mais là à priori tu fais pas ce qui est demandé.

    13:48:53.0220 4544 d6cece93 (8f2bb1827cac01aee6a16e30a1260199) C:\Windows\2479804118:691089772.exe

    Faire delete sur celui-ci.

    Les deux autres, si possible faire Cure.

    Tu peux ou pas ?
    0
  8. Sandra
     
    Je peux faire delete sur d6cece93.

    Quant aux deux autres je peux faire cure sur l'un d'eux mais pas sur le aswTdi. On ne me propose sur celui-ci que Skip, Copy to quarantine, delete. Je fais quoi ?
    0
    1. Sandra
       
      Les trois menaces sont toujours là. :/
      0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    hummm ok :/

    bon sauvegarde bien les documents car tu peux perdre le réseau (et donc internet).
    Si c'est le cas, faut réparer Windows depuis le CD si tu l'as.
    ou sinon faut restaurer avec le CD de restauration.

    Si t'as pas de CD de restauration, fais pas ce qui suis :

    Sauvegarde tes documents importants.

    Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    0
    1. Sanndra
       
      J'ai lancé Combofix, tout a eu l'air de bien se passer, les 50 étapes se sont bien déroulées.
      Mais ensuite je n'ai pas eu le message indiquant que le compte-rendu était en cours de préparation. A la place j'ai eu à plusieurs reprises le message "accès refusé" et au final je ne trouve pas le rapport là où il devrait être...ni nul part ailleurs. -_-'
      0
  10. Sandra
     
    Re-bonjour ! :)

    Dois-je relancer Combofix ? J'hésite car j'ai vu que c'était un logiciel très puissant, je ne voudrais pas faire de bêtises. ^^'
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    t'as noté un chagement ou pas ?

    Relance les deux premiers voir ce qu'ils disent.
    0
  12. Sandra
     
    Pas de changement. J'ai relancé RootKit Remover. Voici le rapport : http://uppix.net/4/4/1/fe6dc5c328c8ab9eb45fdffeb6840.png

    En plus le pad et le clavier ne répondent plus, j'utilise le clavier visuel, mais du coup impossible de lancer zero access. :s
    0
    1. Sandra
       
      Je viens également de me rendre compte que mon lecteur cd/dvd ne fonctionnait plus !!! oO
      (http://uppix.net/b/a/5/0dad70da9f9e4b5bb963133def68e.png)

      Ce virus est vraiment flippant... :S
      0
    2. kressly Messages postés 34 Statut Membre
       
      Oh mon Dieu j'ai le même probleme. Toujours pas de solution ?
      0
    3. Sandra
       
      Pas pour l'instant, mais je reste optimiste une autre personne infectée par le même virus a réussi à s'en débarrasser. :)

      (ici : http://www.commentcamarche.net/forum/affich-23510007-trojan-win32-sirefef-o)
      0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Essaye de retélécharger TDSSKiller : https://support.kaspersky.com/fr/14421

    Tjrs faire cure sur les .sys
    et delete sur chiffre:chiffre

    et Combofix derrière.

    0
    1. Sandra
       
      En fait je n'ai ni de .sys ni de chiffre:chiffre... :S

      http://uppix.net/3/7/4/58dcc3b6a4ab6b7c23880f2185c6c.png

      Je fais quoi ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Comme t'as fait là, c'est bon :)
      0
  14. Sandra
     
    Et voilà le rapport Combofix. J'espère qu'il est bon ! :)

    http://pjjoint.malekal.com/files.php?read=q7l9p9l5b8s15f6u9712s9g6w8z5u15f7k14i10u8i5
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    quel boxon \o/

    Tu peux relancer Combofix pour voir ?
    0
  16. Sandra
     
    Ouep ! Hop nouveau rapport Combofix : http://pjjoint.malekal.com/files.php?read=h10o13h7h5i14l9h5t11x8b5o15x12n13r12n12c7s8j15y14v8
    0
  17. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bon je pense qu'on s'en ai débarrassé.

    Ca donne quoi au niveau des dégâts, y a quoi qui marche plus ?
    Pour les antivirus, si tu as des erreurs d'autorisation, faut les réinstaller.
    0
  18. Sandra
     
    Cool !!!!!!! *\o/*

    A priori plus de lecteur cd/dvd, plus de pad ni de clavier, c'est tout. ^^
    0
  19. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    C:\windows\system32\drivers\i8042prt.sys existe ?
    0
    1. Sandra
       
      Oui, il existe.
      0
  20. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    et lui (il a l'air) : c:\program files\Synaptics\SynTP\SynTPEnh.exe ?
    sinon tu as des fichiers de Toshiba qui ont sauté.

    y a un CD d'utilitaires Toshiba fourni d'install ?

    0
    1. Sandra
       
      Oui il y est aussi.

      Aucun CD n'était fourni avec le portable, en revanche il était demandé de faire un CD de restauration soi-même, ce que j'ai fait.

      Mon frère a quasiment le même ordinateur que moi, peut-être que je peux récupérer des fichiers par son intermédiaire ?

      Sinon cette après-midi Avast m'a détecté un virus nommé cdrom.sys localisé dans C:\windows\system32\drivers j'ai trouvé ça bizarre...du coup j'ai fait un scan minutieux et là il m'a trouvé une vingtaine de virus.

      http://uppix.net/f/1/b/cf6b5b97d60c094eea17ec61c453d.png

      Je les mets en quarantaine, je les supprime ou autre ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui mest en quarantaine, la pluspart sont dans la quarantaine de Combofix
      Les autres, c'est rien.

      Ben faudrait faire HijackThis voir s'il met des (file missing) histoire de voir si y a des fichiers Toshiba qui ont été shootés
      et oui tu peux les récup du PC de ton fréro
      0
    3. Sandra
       
      La quarantaine des quatre derniers a été refusé.

      Et voici le log HijackThis : http://pjjoint.malekal.com/files.php?read=HijackThis_f1313l9i13q5y15g12q13b8b10j7b15f5o11h13b14d13e11c15y5
      0
  21. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voila :
    O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Unknown owner - C:\Windows\system32\agrsmsvc.exe (file missing)
    O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
    O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - Unknown owner - C:\Windows\system32\TODDSrv.exe (file missing
    )

    Bon les deux premiers on s'en fout en fait.
    Par contre le dernier, surtout vu le nom Optical Disc Drive Service, ça doit jouer.
    Essaye de chopper ce C:\Windows\system32\TODDSrv.exe sur le PC de ton frère et de le remettre chez toi au même endroit et de redémarrer l'ordinateur.
    0
  • 1
  • 2