Trojan Win32/Sirefef
Babouline
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je me suis faite infectée ce soir par le trojan Sirefef, c'est windows defender qui me l'a détecté. J'ai vu que je ne suis pas la seule dans ce cas et que ce virus est assez coriace. J'ai également vu des solutions mais je préfère avoir l'aide de quelqu'un pour m'en débarrasser, car je ne sais pas si tous les cas sont adaptés à tout le monde ! Je tourne sous Vista 32 bit.
J'ai essayé TDSSKiller le webroot zeroaccess mais ils ne résolvent pas le problème. Quant à celui de Macafee, Avast me le bloque systématiquement.
De plus, j'ai sans cesse adobe flash player qui se lance pour me demander l'autorisation d'une maj ou je ne sais quoi, qui finit toujours par une fenêtre avec une croix rouge qui me dit que "le client ne dispose pas du privilège nécessaire"... et cela revient dès que je ferme cette dernière fenêtre.
Je n'éteins pas le pc car j'ai peur que cela empire ensuite... :)
Merci d'avance !
Je me suis faite infectée ce soir par le trojan Sirefef, c'est windows defender qui me l'a détecté. J'ai vu que je ne suis pas la seule dans ce cas et que ce virus est assez coriace. J'ai également vu des solutions mais je préfère avoir l'aide de quelqu'un pour m'en débarrasser, car je ne sais pas si tous les cas sont adaptés à tout le monde ! Je tourne sous Vista 32 bit.
J'ai essayé TDSSKiller le webroot zeroaccess mais ils ne résolvent pas le problème. Quant à celui de Macafee, Avast me le bloque systématiquement.
De plus, j'ai sans cesse adobe flash player qui se lance pour me demander l'autorisation d'une maj ou je ne sais quoi, qui finit toujours par une fenêtre avec une croix rouge qui me dit que "le client ne dispose pas du privilège nécessaire"... et cela revient dès que je ferme cette dernière fenêtre.
Je n'éteins pas le pc car j'ai peur que cela empire ensuite... :)
Merci d'avance !
A voir également:
- Trojan Win32/Sirefef
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Trojan agent ✓ - Forum Virus
- Puabundler win32 candyopen - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
64 réponses
Résumé de la discussion
Une infection par le trojan Sirefef est détectée sur Windows Vista 32 bits, le malware résistant aux outils antimalware usuels tels que TDSSKiller, Webroot ZeroAccess, McAfee et Avast.
Des symptômes persistant incluent des fenêtres Adobe Flash se déclenchant pour une mise à jour et affichant une erreur de privilège.
Parmi les interventions évoquées, il est proposé de démarrer en mode sans échec avec réseau et d’utiliser GMER (rootkit) pour détecter et supprimer les éléments indésirables, puis de générer un rapport à transmettre.
L’approche recommandée privilégie une procédure progressive centrée sur le mode sans échec et l’analyse approfondie des rootkits pour préciser les actions à mener.
ah vi d'accord !
on va essayer un truc ! (merci G-H ^^)
attention c'est une torture ce truc ça dure des heures ^^
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ XP: double clic
▶ ▶ Vista/7: clic droit, exécuter en tant qu''administrateur
▶ ▶ Vista/7 : l'UAC demande confirmation > valider par Oui
▶ clique 2 fois sur Ok
▶ clique sur Commencer le scan
▶ réponds Oui
==> L''analyse rapide démarre
(si un pop up s''ouvre, clique sur la croix pour le fermer)
A la fin du scan rapide, il se peut que l''on te demande de restaurer le fichier hosts > Oui
Ensuite:
touche F9
Onglet Actions
Coté Malwares: choisir Quarantaine pour Adwares, Dialers,... [TOUS]
Valider par Ok
▶ choisi analyse complète et clique sur le Play vert
▶ De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique <Oui> pour tout à l''invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
>> Si tu as un soucis (la mémoire ne peut pas être Read) clique deux fois sur ok et redémarre en mode sans échec, refais les mêmes manipulations
▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur l'icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l''autre). Si oui, alors clique dessus et ensuite clique sur l''icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l''objet indésirable>.
▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit
▶ Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse
on va essayer un truc ! (merci G-H ^^)
attention c'est une torture ce truc ça dure des heures ^^
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ XP: double clic
▶ ▶ Vista/7: clic droit, exécuter en tant qu''administrateur
▶ ▶ Vista/7 : l'UAC demande confirmation > valider par Oui
▶ clique 2 fois sur Ok
▶ clique sur Commencer le scan
▶ réponds Oui
==> L''analyse rapide démarre
(si un pop up s''ouvre, clique sur la croix pour le fermer)
A la fin du scan rapide, il se peut que l''on te demande de restaurer le fichier hosts > Oui
Ensuite:
touche F9
Onglet Actions
Coté Malwares: choisir Quarantaine pour Adwares, Dialers,... [TOUS]
Valider par Ok
▶ choisi analyse complète et clique sur le Play vert
▶ De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique <Oui> pour tout à l''invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
>> Si tu as un soucis (la mémoire ne peut pas être Read) clique deux fois sur ok et redémarre en mode sans échec, refais les mêmes manipulations
▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur l'icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l''autre). Si oui, alors clique dessus et ensuite clique sur l''icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l''objet indésirable>.
▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit
▶ Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse
J'ai retenté le scan rapide, il a encore une fois rebooté seul, et comme il se lance en normal, l'écran se bloque :/
J'ai relancé un scan rapide, mais même redémarrage, et comme il se relance en normal eh bien l'écran se brouille, donc ça fait coincer le scan et je pense que de toute façon ce n'est pas normal qu'il redémarre à la moitié du scan rapide sans prévenir.
J'ai quand même un fichier log de dr web dans mes documents mais je crois que le rapport n'est pas fini, ça s'arrête dans les D (drivers). Peut-être une piste par là ?
J'ai quand même un fichier log de dr web dans mes documents mais je crois que le rapport n'est pas fini, ça s'arrête dans les D (drivers). Peut-être une piste par là ?
Re !
Désolé pour ce silence !
Oui, on va tenter ça depuis le mode sans échec toujours :
▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau
▶ ▶ Désactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "exécuter en tant qu'administrateur"
▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la présence d''un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
▶ ▶ Ensuite
▶ sur les lignes rouge:
▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
Désolé pour ce silence !
Oui, on va tenter ça depuis le mode sans échec toujours :
▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau
▶ ▶ Désactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "exécuter en tant qu'administrateur"
▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la présence d''un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
▶ ▶ Ensuite
▶ sur les lignes rouge:
▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pas cool !
On va passer aux choses supérieures ! En live CD, ça risque pas de planter !
▶ Télécharge l''image de Dr.Web LiveCD.
ftp://ftp.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso
▶ Il faut graver l'image sur CD ou DVD. Par exemple, si vous utilisez Nero Burning ROM :
* Met le disque vide CD/DVD dans le lecteur
* Sélectionne "Ouvrir"
* Trouve et choisis une image mémorisée
* Clique sur le bouton "Graver" et attend la fin du processus d''enregistrement
▶ Vérifie si ton PC va démarrer depuis le lecteur de CD-ROM où se trouve votre Dr.Web LiveCD, ou depuis un autre support contenant Dr.Web LiveCD. En cas de nécessité, fait entrer les paramétrages nécessaires dans le BIOS de ton ordinateur
▶ Au démarrage de Dr.Web LiveCD, une boîte de dialogue va s''afficher et là, tu peux choisir un mode de lancement : standard ou sans échec (safe mode)
▶ A l''aide des touches flèches du clavier, sélectionne STANDARD, et presse [Enter]
▶ Afin de lancer la version du scanner avec GUI, sélectionne le mode standard de lancement de DrWeb-LiveCD (Default)
▶ Si le mode standard est sélectionné DrWeb-LiveCD (Default)), le système opérationnel trouvera automatiquement toutes les parties disponibles du disque dur et effectuera la connexion au réseau local si c'est possible
▶ A la fin du chargement, sélectionne tous tes disques durs, clés usb, etc et cliques sur Start
On va passer aux choses supérieures ! En live CD, ça risque pas de planter !
▶ Télécharge l''image de Dr.Web LiveCD.
ftp://ftp.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso
▶ Il faut graver l'image sur CD ou DVD. Par exemple, si vous utilisez Nero Burning ROM :
* Met le disque vide CD/DVD dans le lecteur
* Sélectionne "Ouvrir"
* Trouve et choisis une image mémorisée
* Clique sur le bouton "Graver" et attend la fin du processus d''enregistrement
▶ Vérifie si ton PC va démarrer depuis le lecteur de CD-ROM où se trouve votre Dr.Web LiveCD, ou depuis un autre support contenant Dr.Web LiveCD. En cas de nécessité, fait entrer les paramétrages nécessaires dans le BIOS de ton ordinateur
▶ Au démarrage de Dr.Web LiveCD, une boîte de dialogue va s''afficher et là, tu peux choisir un mode de lancement : standard ou sans échec (safe mode)
▶ A l''aide des touches flèches du clavier, sélectionne STANDARD, et presse [Enter]
▶ Afin de lancer la version du scanner avec GUI, sélectionne le mode standard de lancement de DrWeb-LiveCD (Default)
▶ Si le mode standard est sélectionné DrWeb-LiveCD (Default)), le système opérationnel trouvera automatiquement toutes les parties disponibles du disque dur et effectuera la connexion au réseau local si c'est possible
▶ A la fin du chargement, sélectionne tous tes disques durs, clés usb, etc et cliques sur Start
Pouaaaah ok. Mais t'façon j'aurais pas tenu comme hier soir mdr. T'es là à partir de 5h jusque quand ?
Là c'est lancé. Mais l'écran est noirci (comme dans vista quand il demande des autorisations). Normal ? Ou alors la luminosité est au plus faible ?
Je suis sur la page d'accueil, avec scanner, quarantine, results... je lance juste scanner où y'a d'autres trucs à faire avant ?
Là c'est lancé. Mais l'écran est noirci (comme dans vista quand il demande des autorisations). Normal ? Ou alors la luminosité est au plus faible ?
Je suis sur la page d'accueil, avec scanner, quarantine, results... je lance juste scanner où y'a d'autres trucs à faire avant ?
Bon, ça viendrait pas d'un driver de la carte graphique ?
qui fonctionnait bien jusque là, et qui fonctionne pourtant en mode sans échec... mais est-ce que le premier combofix à moitié raté n'a pas fichu la misère là-dedans ? Comment est-ce qu'on le désinstalle ? (si c'est faisable, je sais pas si c'est uniquement un exécutable ou si c'est installé quelque part).
Je pars en fin d'aprèm et pas sûr que je sois là l'aprèm donc si t'as des idées... que je puisse magouiller le matin lol :)
ça commence à me désespérer cette histoire de brouillage...
qui fonctionnait bien jusque là, et qui fonctionne pourtant en mode sans échec... mais est-ce que le premier combofix à moitié raté n'a pas fichu la misère là-dedans ? Comment est-ce qu'on le désinstalle ? (si c'est faisable, je sais pas si c'est uniquement un exécutable ou si c'est installé quelque part).
Je pars en fin d'aprèm et pas sûr que je sois là l'aprèm donc si t'as des idées... que je puisse magouiller le matin lol :)
ça commence à me désespérer cette histoire de brouillage...
mmmmmm
rentre dans le gestionnaire de peripheriques , clic droit sur ta carte graphique , desinstalle le pilote puis redemarre ton pc
rentre dans le gestionnaire de peripheriques , clic droit sur ta carte graphique , desinstalle le pilote puis redemarre ton pc
Juste au cas où, ma carte graphique est une ATI mobility Radeon HD3450, je tourne sous vista 32 bit. Plus ça va plus ça empire :D
Dans le gestionnaire de périphériques, le pc ne me reconnaît plus que la carte VGA standard, et il a installé son "pilote" lorsque j'ai reboot en mode sans échec. Walla walla.
Dans le gestionnaire de périphériques, le pc ne me reconnaît plus que la carte VGA standard, et il a installé son "pilote" lorsque j'ai reboot en mode sans échec. Walla walla.
supprime combofix , retelecharge-le , renomme-le au telechargement puuis relance-le , heberge le rapport
Bon...
Je me suis mal exprimée : lorsque je cherche combofix / uninstalld ans la barre de recherche, il me le trouve mais lorsque je le lance, il me dit que windows ne le trouve pas. Lorsque j'essaye avec nom_que_j'ai_donné / uninstall, il ne le trouve pas du tout dans la barre de recherche...
Je n'ai toujours pas réussi à le supprimer. J'y vais manuellement (clic droit supprimer) ou y'a autre chose ?
Je suis pas là de l'aprèm ni ce soir, et je ne reviens que vendredi soir ensuite car je suis en déplacement.
Ne m'oubliez pas en attendant :( Je commence à désespérer de le récupérer :( Tchuss :)
Je me suis mal exprimée : lorsque je cherche combofix / uninstalld ans la barre de recherche, il me le trouve mais lorsque je le lance, il me dit que windows ne le trouve pas. Lorsque j'essaye avec nom_que_j'ai_donné / uninstall, il ne le trouve pas du tout dans la barre de recherche...
Je n'ai toujours pas réussi à le supprimer. J'y vais manuellement (clic droit supprimer) ou y'a autre chose ?
Je suis pas là de l'aprèm ni ce soir, et je ne reviens que vendredi soir ensuite car je suis en déplacement.
Ne m'oubliez pas en attendant :( Je commence à désespérer de le récupérer :( Tchuss :)
Salut :-)
Merci à gen hackman d'avoir continué avec toi :-)
Télécharge et installe les nouveaux drivers pour ta carte graphique : http://support.amd.com/us/psearch/Pages/psearch.aspx?type=2.4.1&product=2.4.1.3.15&contentType=GPU+Download+Detail&ostype=Windows+Vista+-+32-Bit+Edition&keywords=&items=20
pour voir :-)
Merci à gen hackman d'avoir continué avec toi :-)
Télécharge et installe les nouveaux drivers pour ta carte graphique : http://support.amd.com/us/psearch/Pages/psearch.aspx?type=2.4.1&product=2.4.1.3.15&contentType=GPU+Download+Detail&ostype=Windows+Vista+-+32-Bit+Edition&keywords=&items=20
pour voir :-)
Ok, je vais essayer. J'avais re-dl les pilotes sur le site de HP par rapport à mon modèle mais comme j'ai dit, il me dit que pas possible de charger le pilote de détection. J'espère que c'est pas windows et son pilote qui mettent le bazard...
Je te redis ça dans un moment avec les pilotes que tu me fais dl, je dois sortir, j'espère revenir pour pouvoir au moins tester ça ^^
Je te redis ça dans un moment avec les pilotes que tu me fais dl, je dois sortir, j'espère revenir pour pouvoir au moins tester ça ^^
Bien, j'ai dl Driver scanner 2012 (version gratuite). Lorsque je le lance en mode sans échec, il me dit "l'application ne prend pas en charge plusieurs sessions d'utilisateur. Pour l'exécuter en tant qu'utilisateur actuel, driver scanner doit être fermée depuis un compte d'utilisateur différent". Honnêtement, là je pige pas ce qu'il me raconte... sachant que j'ai qu'une seule session sur ce pc...
Re,
Citation de G-H :
tu dois essayer de telecharger Driver Scanner ou un truc comme ca :) pas bons ces trucs-là ^^
Donc, ne le fait pas !
Citation de G-H :
tu dois essayer de telecharger Driver Scanner ou un truc comme ca :) pas bons ces trucs-là ^^
Donc, ne le fait pas !
nos posts se sont croisés, alors heu j'ai pas compris cette question : https://forums.commentcamarche.net/forum/affich-23642018-trojan-win32-sirefef?page=3#155
^^
^^
Bon, bah toujours ce même problème de chargement de pilote de détection... impossible de le charger et si je fais ok, tout s'arrête.
Ah, et autre petite surprise qui ne me plait que moyennement : j'ai voulu essayer de désinstaller l'ATI catalyst install manager depuis "programmes et fonctionnalités". En cliquant sur réparer, il me dit qu'il est impossible d'accéder au service windows installer, et que cela peut se produire si le programme d'installation de windows n'est pas bien installé... ahah...
Mais si je passe par le catalyst install manager pour désinstaller, il m'affiche certes le message de non chargement du pilote de détection, mais il m'affiche plusieurs trucs que je peux supprimer : le catalyst control center, le pilote d'affichage ATI, le pilote RAID SATA de Promise, la prise en charge pilote AMD pour HP 3D driveguard et microsoft visual c++ 2005...
Je n'ai pas testé si la désinstallation fonctionne par ce biais là car je ne sais quoi supprimer...
Je n'ai pas testé si la désinstallation fonctionne par ce biais là car je ne sais quoi supprimer...
A G-H : j'ai reçu un mail avec un super commentaire qu'apparemment était posté ici. " Ce message vient de recevoir la réponse suivante de g3n-h@ckm@n
_______________________________________________________
tu telecharges n'importe quoi , je te fais comprendre que ca vaut rien et tu cliques sur n'importe quoi , je me retire de cette desinfection , tu telecharges des rogues , tu installes des logiciels pourris , faut pas t'etonner que ton pc soit pourri....à bon entendeur...... "
Je télécharge n'importe quoi ? sérieusement ? Je télécharge ce qu'il y a sur le site d'ATI, je suis vos conseils depuis le début sans en faire plus de mon côté parce que j'y connais pas grand chose, quand j'ai dit que je dl driver sweeper je ne l'ai même pas utilisé parce que j'attends de savoir ce qu'il faut vraiment faire. Quand à Driver Scanner je ne savais même pas ce que c'était jusqu'à ce que t'en parles et que tu tournes ta phrase assez mal pour que je comprenne également mal. Mais merci beaucoup... Vraiment. On croit rêver là.
_______________________________________________________
tu telecharges n'importe quoi , je te fais comprendre que ca vaut rien et tu cliques sur n'importe quoi , je me retire de cette desinfection , tu telecharges des rogues , tu installes des logiciels pourris , faut pas t'etonner que ton pc soit pourri....à bon entendeur...... "
Je télécharge n'importe quoi ? sérieusement ? Je télécharge ce qu'il y a sur le site d'ATI, je suis vos conseils depuis le début sans en faire plus de mon côté parce que j'y connais pas grand chose, quand j'ai dit que je dl driver sweeper je ne l'ai même pas utilisé parce que j'attends de savoir ce qu'il faut vraiment faire. Quand à Driver Scanner je ne savais même pas ce que c'était jusqu'à ce que t'en parles et que tu tournes ta phrase assez mal pour que je comprenne également mal. Mais merci beaucoup... Vraiment. On croit rêver là.
mais aucun conflit avec ton antivirus.
et heu oui nous pensons.