Cheval de troie (win32 sirefef jq et autres)

Résolu
tititoto tititoto Messages postés 27 Statut Membre -  
 davidetjo -
Bonjour,

Je viens d 'avoir, sur mon ordinateur (xp) , plusieurs cheval de troie (découverts par avast) :

plusieurs win32 sirefef jq , plusieurs win 32 MalOb-Je et win 32 MalOb-IK et enfin 1 win 32 aluroot B.

Je les ai déplacé en quarantaine et j ai deja fait quelques nettoyages (CCleaner et Malware Bytes) mais il me reste encore ces virus !!

Au passage, je n ai plus de connexion internet (j ecris depuis 1 autre PC) et Kerio Firewall ne marche plus !!

Merci de m aider car mes connaissances en informatique sont assez limitées !!

34 réponses

  • 1
  • 2
Résumé de la discussion

Un ordinateur sous Windows XP est infecté par plusieurs trojans identifiés par Avast (Win32 Sirefef, MalOb-Je, MalOb-IK et Aluroot B), avec perte de connexion internet et Kerio Firewall inopérant. Plusieurs intervenants proposent des outils de détection et désinfection successifs: BitDefender ZeroAccess removal tool, TDSSKiller, puis Malwarebytes à jour et un balayage rapide, en sauvegardant et partageant les rapports. D'autres préconisent ComboFix en mode sans échec, puis le dépôt du rapport sur un site de partage pour assistance, et l'exécution éventuelle d'un redémarrage et d'un nettoyage guidé. En parallèle, des messages évoquent un problème réseau lié à un driver manquant ou endommagé et suggèrent de vérifier les drivers réseau, voire remplacer tcpip.sys et d'autres fichiers système en mode sans échec.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
    Si des fichiers sont détectés, note les.
    Redémarre l'ordinateur si proposé.

    puis :

    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
    Poste le rapport ici.

    puis :

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.

    puis :

    Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
    Télécharge le et mets le sur ton bureau.
    Accepte l'installation des définitions virales d'Avast! et fais un scan.
    Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
    Poste le rapport ici.
    2
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu avais des redirections lors des recherches Google ?
    Si oui, ça donne quoi là ?

    Sauvegarde tes documents importants.
    A lire en entier.

    Désactive les logiciels de protection (Antivirus, Antispywares)
    En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

    ensuite :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
    Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.

    1
  3. tititoto tititoto Messages postés 27 Statut Membre
     
    Merci j 'essaye tout de suite !!
    0
  4. tititoto tititoto Messages postés 27 Statut Membre
     
    J ai fait dans l 'ordre :

    - Bit defender et ça donne : https://www.cjoint.com/?BCpvg0OpFKa

    - TDSSKiller et ça donne : https://www.cjoint.com/?BCpvkAu3YoH ET https://www.cjoint.com/?BCpvnq26fc7

    - Malwarebyte et ça donne : https://www.cjoint.com/?BCpvodeicwr

    Je vais faire aswmbr et je vous renvoie un message dès que possible (normalement samedi et au plus tard lundi soir)

    Ps : Merci à CommentCaMarche de m avoir fait découvrir le site cijoint.com
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Les éléments détectés par TDSSKiller fallait pas les mettre en quarantaine.
    Faudrait le relancer voir si tu peux les sortir de la quarantaine.
    0
  7. tititoto tititoto Messages postés 27 Statut Membre
     
    J ai supprimé les fichiers de quarantaine de TDSSKiller.

    Avast me liste toujours ces fichiers en quarantaine : https://www.cjoint.com/?BCroemlerZz

    (L image est dans l archive car elle etait trop lourde !!)

    Puis je en supprimer ?? Si oui lesquels ??? Sinon que dois je en faire ???

    A ce stade Kerio Firewall est toujours complètement planté et je ne peux toujours pas accéder à mon réseau (windows n arrive pas à le connecter). Ce sont les seuls et uniques signes restants du virus.

    Enfin, est ce que vous pensez que j aurait besoin du CD d'installation Windows si je lance Combofix ???

    Je vous remercie de l intéret que portez à mon problème.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      J'attends le rapport Combofix.
      0
  8. tititoto tititoto Messages postés 27 Statut Membre
     
    Que dois-je faire maintenant ?

    PS : Je tiens à préciser, si ce n est pas écrit, que combofix m a signalé un rootkit zero tcp/ip ou quelquechose qui y ressemble pendant l analyse ...
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ça donne quoi au niveau réseau ?
    0
  10. tititoto tititoto Messages postés 27 Statut Membre
     
    Malheureusement windows n arrive toujours pas à me connecter à Internet ...
    0
  11. tititoto tititoto Messages postés 27 Statut Membre
     
    Avez vous une idée pour réparer cela ??
    0
  12. tititoto tititoto Messages postés 27 Statut Membre
     
    Rectification : en fait windows me connecte MAIS :

    - Il ne réussit qu 'au démarrage

    - En réalité je n ai pas d'IP (voir image : https://www.cjoint.com/?BCssDDAU1Lu )

    Merci de m aider svp !!!!!
    0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Vas dans le dossier Windows puis driver puis system32.

    Vérifie que :
    - afd.sys est présent
    - ipsec.sys est présent
    - netbt.sys est présent
    - tcpip.sys est présent

    Lequel est manquant ?
    0
  14. tititoto tititoto Messages postés 27 Statut Membre
     
    Ils y sont tous (netbt.sys en double) mais c'est dans C:\Windows\System32 et pas C:\Windows\Driver\\System32.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oups dossier Windows puis system32 puis drivers.
      0
  15. tititoto tititoto Messages postés 27 Statut Membre
     
    Ils y sont tous et en 1 fois chacun.

    Il fallait qu il en manque 1 ?????
    0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    non c'est bon.

    Tu peux repasser un coup de BitDefender ZeroAccess removal tool
    Est-ce qu'il détecte encore des trucs ?

    ~~

    Tu peux faire ça : https://www.commentcamarche.net/faq/2743-windows-xp-reparer-la-connexion-reseau-en-ligne-de-commande

    ca marche ou t'as des erreurs ?
    0
  17. tititoto tititoto Messages postés 27 Statut Membre
     
    BitDefender ZeroAccess removal tool ne détecte rien.

    Voici ce que j ai tapé dans la ligne de commande :

    La dernière et la premiere ligne (= les memes) n ont rien fait ...

    J ai redémarré mais ca n a rien fait !!

    Quand j essaie de faire réparer : windows fini toujours par me dire qu il n arrrive pas à se connecter ...
    0
  18. tititoto tititoto Messages postés 27 Statut Membre
     
    Oups j ai oublié le lien : voici ce que j ai tapé dans la ligne de commande :

    https://www.cjoint.com/?BCstX4pGeC0
    0
    1. tititoto tititoto Messages postés 27 Statut Membre
       
      Que dois je faire ??

      PS : Mon réseau marche très bien avec tous les ordis/téléphones et autres appareils pouvant se connecter au wi fi.
      0
  19. tititoto tititoto Messages postés 27 Statut Membre
     
    Rectification tout ce que j ai tapé dans la ligne de commande à fonctionné, juste cela n a pas réussi à rétablir la connexion ...

    Voici donc le rapport : https://www.cjoint.com/?BCsv5QfujeY

    Je reste donc avec 1 seul et unique problème (tout le reste est redevenu normal) :

    Comment récupérer ma connexion Internet ???

    Si vous avez des solutions n hésitez pas car je ne vois plus comment faire ...
    0
  • 1
  • 2