Trojan sirefef AA
nanouu13
Messages postés
66
Statut
Membre
-
nanouu13 Messages postés 66 Statut Membre -
nanouu13 Messages postés 66 Statut Membre -
Bonjour,
Depuis quelques jours mon antivirus détecte le trojan sirefef aa, impossible de le supprimer, de plus dans mes recherches google il me redirige sur un site "abnow.com". L'antivirus le met en quarantaine mais il revient tout le temps. J'espère qu'une personne voudra bien m'aider, c'est assez embêtant...
Merci
<config>Windows 7 / Firefox 10.0.2</config>
Depuis quelques jours mon antivirus détecte le trojan sirefef aa, impossible de le supprimer, de plus dans mes recherches google il me redirige sur un site "abnow.com". L'antivirus le met en quarantaine mais il revient tout le temps. J'espère qu'une personne voudra bien m'aider, c'est assez embêtant...
Merci
<config>Windows 7 / Firefox 10.0.2</config>
A voir également:
- Trojan sirefef AA
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Automobile aa prélèvement - Guide
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Trojan impossible à supprimer! ✓ - Forum Virus
47 réponses
re,
Oui j'ai fait ça pendant la correction ^^
J'ai eu l'alerte en ouvrant OTL pour commencer la correction.
Oui j'ai fait ça pendant la correction ^^
J'ai eu l'alerte en ouvrant OTL pour commencer la correction.
Je viens de faire une analyse avec Malwarebytes et il détecte un autre virus... C'est peut-être le même que sirefef aa, il s'appelle rootkit zeroaccess...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.05.04
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Pilou k :: PILOUK-PC [administrateur]
Protection: Activé
05/03/2012 22:06:44
mbam-log-2012-03-05 (22-06-44).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 219400
Temps écoulé: 4 minute(s), 38 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
www.malwarebytes.org
Version de la base de données: v2012.03.05.04
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Pilou k :: PILOUK-PC [administrateur]
Protection: Activé
05/03/2012 22:06:44
mbam-log-2012-03-05 (22-06-44).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 219400
Temps écoulé: 4 minute(s), 38 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
c'est bon j'ai retrouvé ^^
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.05.04
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Pilou k :: PILOUK-PC [administrateur]
Protection: Activé
05/03/2012 21:22:45
mbam-log-2012-03-05 (21-22-45).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 219458
Temps écoulé: 7 minute(s), 40 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.05.04
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Pilou k :: PILOUK-PC [administrateur]
Protection: Activé
05/03/2012 21:22:45
mbam-log-2012-03-05 (21-22-45).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 219458
Temps écoulé: 7 minute(s), 40 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
(fin)
Ce n'était qu'un résidu.
As tu le rapport de correction de OTL
Comment se comporte le pc maintenant ?
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
As tu le rapport de correction de OTL
Comment se comporte le pc maintenant ?
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Il se comporte bien, j'ai quelques soucis avec le réseau, il est un peu lent des fois mais sinon depuis cette après midi il n'a plus détecté le virus.
Je le vois pas, regarde si tu as un rapport jjmmaaaa_xxxxxxxx.log dans ce répertoire : C:\_OTL\MovedFiles
voilou :
All processes killed
========== OTL ==========
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Secondary_Page_URL| /E : value set successfully!
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultName| /E : value set successfully!
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultURL| /E : value set successfully!
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-228566944-1440548765-3280435419-1001\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{557C21FE-7274-410D-853E-9ED4471BF193}\ not found.
Prefs.js: {6E19037A-12E3-4295-8915-ED48BC341614}:1.3.328.4 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems
C:\Users\Pilou k\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Protection.lnk moved successfully.
Registry key HKEY_USERS\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org\ deleted successfully.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
C:\Windows\System32\%APPDATA%\Microsoft\Windows\IETldCache folder moved successfully.
C:\Windows\System32\%APPDATA%\Microsoft\Windows folder moved successfully.
C:\Windows\System32\%APPDATA%\Microsoft folder moved successfully.
C:\Windows\System32\%APPDATA% folder moved successfully.
C:\Users\Pilou k\AppData\Local\88ca753a folder moved successfully.
C:\Windows\System32\dds_log_trash.cmd moved successfully.
C:\Users\Pilou k\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chat-Land messenger.lnk moved successfully.
C:\Users\Pilou k\AppData\Roaming\OpenCandy\OpenCandy_83BC6EA6CBA14148A27A2A3B92772B36 folder moved successfully.
C:\Users\Pilou k\AppData\Roaming\OpenCandy folder moved successfully.
C:\Users\Pilou k\AppData\Roaming\teamspeak2 folder moved successfully.
========== FILES ==========
[color=#A23BEC]< ipconfig /flushdns /c >/color
Configuration IP de Windows
Cache de r'solution DNS vid'.
C:\Users\Pilou k\Desktop\cmd.bat deleted successfully.
C:\Users\Pilou k\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LogMeInRemoteUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Mcx1-PILOUK-PC
->Temp folder emptied: 0 bytes
User: Mcx1-PILOUK-PC.Pilouk-PC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Pilou k
->Temp folder emptied: 88916 bytes
->Temporary Internet Files folder emptied: 447220 bytes
->Java cache emptied: 1994885 bytes
->FireFox cache emptied: 55825249 bytes
->Google Chrome cache emptied: 6099312 bytes
->Flash cache emptied: 1415 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8829 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 61,00 mb
OTL by OldTimer - Version 3.2.35.1 log created on 03052012_143249
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
All processes killed
========== OTL ==========
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Secondary_Page_URL| /E : value set successfully!
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultName| /E : value set successfully!
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultURL| /E : value set successfully!
HKU\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-228566944-1440548765-3280435419-1001\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{557C21FE-7274-410D-853E-9ED4471BF193}\ not found.
Prefs.js: {6E19037A-12E3-4295-8915-ED48BC341614}:1.3.328.4 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems
C:\Users\Pilou k\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Protection.lnk moved successfully.
Registry key HKEY_USERS\S-1-5-21-228566944-1440548765-3280435419-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org\ deleted successfully.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
C:\Windows\System32\%APPDATA%\Microsoft\Windows\IETldCache folder moved successfully.
C:\Windows\System32\%APPDATA%\Microsoft\Windows folder moved successfully.
C:\Windows\System32\%APPDATA%\Microsoft folder moved successfully.
C:\Windows\System32\%APPDATA% folder moved successfully.
C:\Users\Pilou k\AppData\Local\88ca753a folder moved successfully.
C:\Windows\System32\dds_log_trash.cmd moved successfully.
C:\Users\Pilou k\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chat-Land messenger.lnk moved successfully.
C:\Users\Pilou k\AppData\Roaming\OpenCandy\OpenCandy_83BC6EA6CBA14148A27A2A3B92772B36 folder moved successfully.
C:\Users\Pilou k\AppData\Roaming\OpenCandy folder moved successfully.
C:\Users\Pilou k\AppData\Roaming\teamspeak2 folder moved successfully.
========== FILES ==========
[color=#A23BEC]< ipconfig /flushdns /c >/color
Configuration IP de Windows
Cache de r'solution DNS vid'.
C:\Users\Pilou k\Desktop\cmd.bat deleted successfully.
C:\Users\Pilou k\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LogMeInRemoteUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Mcx1-PILOUK-PC
->Temp folder emptied: 0 bytes
User: Mcx1-PILOUK-PC.Pilouk-PC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Pilou k
->Temp folder emptied: 88916 bytes
->Temporary Internet Files folder emptied: 447220 bytes
->Java cache emptied: 1994885 bytes
->FireFox cache emptied: 55825249 bytes
->Google Chrome cache emptied: 6099312 bytes
->Flash cache emptied: 1415 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8829 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 61,00 mb
OTL by OldTimer - Version 3.2.35.1 log created on 03052012_143249
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
ok, on termine :
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle:
● Clique sur le bouton Correction.
3. Relance OTL en tant qu'administrateur
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
4. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant
5. Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour :
Tutoriel SX Check&Update
N'oublie pas de désinstaller les versions obsolètes de Java :
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne continuation
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle:
:commands [clearallrestorepoints]
● Clique sur le bouton Correction.
3. Relance OTL en tant qu'administrateur
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
4. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant
5. Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour :
Tutoriel SX Check&Update
N'oublie pas de désinstaller les versions obsolètes de Java :
Java(TM) 6 Update 22 Java(TM) 6 Update 29
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne continuation
Re,
Pour la partie 1, après avoir mis la commande pour désinstaller combofix il ne m'a pas confirmé que combofix a été effacé, l'autre jour aussi.
J'ai effacé les versions de java.
Par contre je voulais savoir comment j'ai pu avoir ce trojan ? Comment j'ai pu l'attraper ^^ parce que je vois pas comment ça a pu arriver.
Je continue le reste, merci
Pour la partie 1, après avoir mis la commande pour désinstaller combofix il ne m'a pas confirmé que combofix a été effacé, l'autre jour aussi.
J'ai effacé les versions de java.
Par contre je voulais savoir comment j'ai pu avoir ce trojan ? Comment j'ai pu l'attraper ^^ parce que je vois pas comment ça a pu arriver.
Je continue le reste, merci
Bonjour,
Si tu penses que les outils ont été mal désinstallés, fait une recherche avec DelFix (d'Xplode) et poste le rapport.
Télécharge et installe JRE 6 Update 31
Comment tu t'es fait infecter exactement je ne sais pas mais tes logiciels tels Java n'étaient pas à jour, une faille de sécurité facilement exploitable.
Java Exploit en augmentation
Pourquoi et comment je me fais infecter?
A +
Si tu penses que les outils ont été mal désinstallés, fait une recherche avec DelFix (d'Xplode) et poste le rapport.
Télécharge et installe JRE 6 Update 31
Comment tu t'es fait infecter exactement je ne sais pas mais tes logiciels tels Java n'étaient pas à jour, une faille de sécurité facilement exploitable.
Java Exploit en augmentation
Pourquoi et comment je me fais infecter?
A +
