Infection win32/Sirefef.O

Salut,


Bienvenue sur Comment Ça Marche. On va essayer de résoudre ton problème ensemble. Voici quelques régles ==>

-Ici, les helpers sont volontaires, et nous avons également une vie de famille, du travail, comme tout le monde. En conséquences, sois patient en attendant tes réponses de la part du helper.

-Suis la procédure jusqu'au bout, sinon ça ne servira à rien.

-Ne panique pas, n'hésite pas à poser des questions si tu as des doutes, car c'est beaucoup mieux que de planter ton PC si tu ne sais pas quoi faire.

-Avant d'effectuer des manipulations, lis la procédure jusqu'au bout, afin de ne pas faire d'erreur.

-Lors de la désinfection, désactive ton antivirus, afin que la désinfection puisse s'effectuer normalement.

-Si tu es sous Vista/7, éxécute un programme toujours en faisant un clic droit puis ==> Éxécuter en tant qu'administrateur

-Si tu crack (Emule, BiTorrent, etc...) arrête tout de suite, c'est une source d'infection, et la désinfection sera donc inutile.

-N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre).

Si tu es prêt, c'est partit ==>


On va faire un diagnostic de ton PC pour plus de renseignements ==>

=> Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou :

http://www.premiumorange.com/zeb-help-process/zhpdiag.html

ou :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


=> Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag".

/!\Utilisateur de Vista et Seven/!\ : Clic droit sur le logo de ZHPdiag (parchemin) puis « Exécuter en tant qu'Administrateur »

=> Clique sur l'icône, en haut à gauche, représentant une loupe : « Lancer le diagnostic ».
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.
=> Héberge le rapport ZHPDiag.txt sur un des sites ci-dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

ou


http://www.cijoint.fr/

ou :

http://ww38.toofiles.com/fr/documents-upload.html

ou :


http://pjjoint.malekal.com/

ou :

https://www.casimages.com/



Si tu as besoin d'aide, ou quelque chose n'est pas clair, n'hésite pas à poser la question.

Merci,

Gabriel.

Merci beaucoup pour votre réponse rapide,

Voici le rapport de l'analyse, (j'ai du faire un copier coller dans le bloc note, je n'arrivais pas à l'enregistrer directement via l'icone.)

https://www.cjoint.com/?AKhvJ1X1CX6

Merci,

Ok, ça se confirme, tu as un rootkit :)

- Télécharge TDSSKiller : https://support.kaspersky.com/downloads/utils/tdsskiller.zip

- Lance-le (Utilisateurs de Vista/Seven => Clic droit puis "Exécuter en tant que administrateur")

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. À la fin de l'analyse, appuie sur une touche de ton choix. Un rapport va s'ouvrir.

- Copie/Colle son contenu dans ta prochaine réponse sur le forum.

N.B : Le rapport se trouve également sous C:\tdsskiller.txt.

Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4 (\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess est détecté règle sur "cure" en haut , et "delete" en bas.

Si tu as des questions sur l'utilisation de TDSSkiller, n'hésite pas à me les poser !

@+

Gabriel.

Okay, je vais faire ça,

Par contre petit problème, depuis ce soir, je ne peux plus accéder à windows, ou au mode sans echec avec prise en charge réseau, un écran bleu apparait avec le fameux message "a problem has been detected and windows has been shut down"
puis il redémarre.
Je ne peux qu'accéder au mode sans échec, (sans prise en charge réseau), et à ma partition ubuntu sur laquelle internet fonctionne.

Sur le mode sans échec, je ne pourrais donc pas télécharger la dernière version de TDSSkiller, je présume que cela va poser problème ?

Re,

Mets sur un CD vierge ou sur une clé USB que tu formateras :)

@+

Gabriel.

okay, voilà le rapport

http://www.cijoint.fr/cjlink.php?file=cj201111/cij4UWbLkM.txt

Ok ça ne m'étonne pas, tu as ZAccess.

Procède de la même façon que pour TDSSkiller :

/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>>>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<<<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : DANGEREUX ! <<<<<<<<
=====================================================

? Surtout, pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. Tout simplement car il ne sera pas détécté par l'infection.

Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\Choisis la version adéquate (32 ou 64 bits)/!\

=>Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

? Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe

? Lance-le : Utilisateurs de Vista et Seven => Clic droit : Éxécuter en tant qu'administrateur.

Une fenêtre apparait : clique sur "Disable"

? Fais redémarrer l'ordinateur si l'outil te le demande.

>> N.B : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" <<

_________________________________________________________

>> Referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Si tu as XP => double clique .
Si tu as Windows Vista ou Windows 7 => clic droit "Éxecuter en tant que Administrateur"

Sur le combofix renommé.

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

? !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....), sauf si l'outil te le demande !!!!! Cela peut planter complètement ton système !!!

? N'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

?? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


Si tu as des questions sur l'utilisation de Combofix, n'hésite pas à me les poser !

@+

Gabriel.

Bonjour,

Voici le rapport :)
https://www.cjoint.com/?AKirMTB2IMN

Ok.
Repasse un coup de TDSSkiller.

@+

Gabriel.

voilà https://www.cjoint.com/?AKitHWnovwR

Je présume qu'au vu des résultats, cela veut dire que nous avons réussi à le supprimer ??

Internet est là ?

Tu peux me refaire un ZHPdiag ?

@+

Gabriel.

Voila : https://www.cjoint.com/?AKivrVMxU53

Et non toujours pas d'internet, le problème persiste, je reste en connection local seulement.. J'ai vu un autre poste à ce sujet, qui ressemble fortement au mien,
https://forums.commentcamarche.net/forum/affich-23540472-infecte-par-trojan-win32-sirefef-o#top
J'ai tenté la technique qui a permis de résoudre le problème, soit la réparation de fichier système, via la commande, sfc /scannow, mais l'analyse ne dépasse pas le 69%

ZAccess est malheureusement toujours là...

depuis ce lien : http://anywhere.webrootcloudav.com/antizeroaccess.exe
Le télécharger et le lancer.
Répondre Yes (oui) à la question, en tapant sur Y puis Entrée
Le fix vous informe qu'un des fichiers systèmes a été patché et vous propose de le nettoyer.
Tapez Y (oui) et Entrée pour lancer le nettoyage.
Si l'opération a réussi, vous devez avoir le message Cleaned en vert.
Appuyez sur une touche et redémarrer l'ordinateur.

@+

Gabriel.

Coriace la bête !

J'ai tenté avec AntiZeroAccess, mais j'ai eu de message à l'a fin, l'un disait qu'il persiste une ou plusieurs erreurs, l'autre que mon système n'était plus infecté... Mais je n'ai pas vu de différence, tjr pas accès à internet, alors je ne sais pas si cela à fonctionné.

J'ai de nouveau fait un scan avec ZHPdiag, voilà le rapport https://www.cjoint.com/?AKjsfG4a30u

Parfait c'est bon :)

Patience, j'arrive^^

Télécharge ToolbarShooter (de 2011N2) sur ton bureau (Si il est bloqué, ignore l'alerte et lance le programme).
Double-clique sur l'icône présente sur ton bureau.
Appuye sur 1 (Recherche) puis ==> Entrée.
Patiente lors du scan.
À la fin, un rapport s'ouvre, héberge le ici : https://www.cjoint.com/
Le rapport est également sauvegardé sous C:\ au nom de Rapport ToolbarShooter.

@+

Gabriel.

Bonjour, et merci,

Voici le rapport https://www.cjoint.com/?AKpmpgs4n5o

Re,

/!\Ferme toutes les applications en cours avant de continuer/!\
Double-clique sur l'icône Toolbar Shooter présente sur ton bureau.
Appuye sur 2 (Suppression) puis ==> Entrée.
Patiente lors du scan.
À la fin du nettoyage, il est demandé de redémarrer l'ordinateur, tape 1 pour redémarrer l'ordinateur.
Une fois l'ordinateur redémarré, le rapport de ToolbarShooter est sauvegardé à la racine du disque <gras<C:\</gras> sous le nom de ToolbarShooterSUP, héberge le ici : https://www.cjoint.com/

@+

Gabriel.

Voila le rapport : https://www.cjoint.com/?AKpvYB004EO

Ok :)

Tu peux me faire un nouveau ZHPdiag ?

@+

Gabriel.

https://www.cjoint.com/?AKrmOkjACA8

Voila ;)