Trojan win32 /Sirefef.AC et AH
Marianne
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
mon ordinateur a été infecté hier par un trojan win32/Sirefef. AC et AH. J'utilise microsoft security essentials, qui n'arrête pas de m'envoyer des alertes mais qui n'arrive pas à le supprimer complètement. Les fichiers malveillants se trouvent tous dans file:C/windows/system32/ les noms des fichiers changent à chaque fois, c'est surtout des .dll.
J'ai fait un scan avec Pre-scan, voici le rapport que j'ai obtenu:
http://pjjoint.malekal.com/files.php?id=20120416_p14u13n12b12q6
l'antivirus continu toujours de me faire des alertes en boucle.
Quelqu'un qui s'y connaît aurait-il l'amabilité de m'aider?
Depuis l'infection, je rencontre des problèmes avec google chrome qui bloque certains sites. Le virus m'a aussi installé une page d'accueil malveillante, mais ça je crois que j'ai réussi à la supprimer.
Merci d'avance
mon ordinateur a été infecté hier par un trojan win32/Sirefef. AC et AH. J'utilise microsoft security essentials, qui n'arrête pas de m'envoyer des alertes mais qui n'arrive pas à le supprimer complètement. Les fichiers malveillants se trouvent tous dans file:C/windows/system32/ les noms des fichiers changent à chaque fois, c'est surtout des .dll.
J'ai fait un scan avec Pre-scan, voici le rapport que j'ai obtenu:
http://pjjoint.malekal.com/files.php?id=20120416_p14u13n12b12q6
l'antivirus continu toujours de me faire des alertes en boucle.
Quelqu'un qui s'y connaît aurait-il l'amabilité de m'aider?
Depuis l'infection, je rencontre des problèmes avec google chrome qui bloque certains sites. Le virus m'a aussi installé une page d'accueil malveillante, mais ça je crois que j'ai réussi à la supprimer.
Merci d'avance
A voir également:
- Trojan win32 /Sirefef.AC et AH
- Zimbra ah ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Serveur SMTP pour Free (Zimbra) - Forum Mail
- Puadimanager win32/offercore ✓ - Forum Virus
- Zimbra Desktop - Télécharger - Mail
33 réponses
@Marianne :
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
command::
copy /y "C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.1.7600.16802_none_d81220b5bf827af7\afd.sys" "C:\afd.sys"
copy /y "C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.1.7600.16802_none_d81220b5bf827af7\afd.sys" "C:\afd2.sys"
Replace::
"C:\afd.sys" "C:\Windows\System32\drivers\afd.sys"
"C:\afd2.sys" "C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.1.7601.17603_none_d9f97e05bca8003a\afd.sys"
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
command::
copy /y "C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.1.7600.16802_none_d81220b5bf827af7\afd.sys" "C:\afd.sys"
copy /y "C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.1.7600.16802_none_d81220b5bf827af7\afd.sys" "C:\afd2.sys"
Replace::
"C:\afd.sys" "C:\Windows\System32\drivers\afd.sys"
"C:\afd2.sys" "C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.1.7601.17603_none_d9f97e05bca8003a\afd.sys"
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
salut, moi c est Sylvain
j ai le m[eme maudit probleme que Marianne
quand tu parles du Pre_scan, je ne comprends pas
merci
j ai le m[eme maudit probleme que Marianne
quand tu parles du Pre_scan, je ne comprends pas
merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour Sylvain,
Si ce n'est déjà fait, clique sur "Créer un nouveau sujet" et explique tes problèmes, tu sera pris en charge.
La procédure n'est pas la même pour tout le monde,
Ne fait pas le script de g3n-h@ckm@n, c'est juste pour le pc de Marianne :).
Si ce n'est déjà fait, clique sur "Créer un nouveau sujet" et explique tes problèmes, tu sera pris en charge.
La procédure n'est pas la même pour tout le monde,
Ne fait pas le script de g3n-h@ckm@n, c'est juste pour le pc de Marianne :).
Merci g3n-h@ckm@n pour ta réponse, voilà le script:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.413 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Branchette : Windows 7 Professional (32 bits)
Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs
Script : 20:36:35
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Fichier Batch executé
¤
¤
explorer.exe -> Processus redémarré
Fin : 20:36:36
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.413 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Branchette : Windows 7 Professional (32 bits)
Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs
Script : 20:36:35
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Fichier Batch executé
¤
¤
explorer.exe -> Processus redémarré
Fin : 20:36:36
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
ok bonsoir Marianne , l'antivirus s'énerve toujours ?
on a pas fini je te prepare la suite
on a pas fini je te prepare la suite
installe internet explorer 9
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKU\S-1-5-21-1006899763-2031130779-1287518949-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"Media Finder"=-
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update]
[HKU\S-1-5-21-1006899763-2031130779-1287518949-1000\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\luposde]
[-HKCU\Software\MediaFinder]
[-HKLM\Software\Babylon]
txt::
C:\Windows\System32\Tasks\{4393BAD4-54CB-4401-BA1A-B70A9898021E}
C:\Windows\System32\Tasks\{F9BF2F1F-415E-4B84-805F-5CEF437BF870}
file::
C:\Users\Branchette\Downloads\Adobe.Illustrator.Cs3.french.crack.by.cat.zip
C:\Windows\system32\dds_trash_log.cmd
folder::
C:\Program Files\Media Finder
C:\Windows\Temp\vakmdh
C:\Users\Branchette\AppData\Roaming\Babylon
C:\Users\Branchette\AppData\Roaming\Media Finder
C:\ProgramData\Babylon
C:\Users\Branchette\AppData\Local\Babylon
Info::
C:\windows\system32\drivers\afd.sys
MBR::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKU\S-1-5-21-1006899763-2031130779-1287518949-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"Media Finder"=-
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update]
[HKU\S-1-5-21-1006899763-2031130779-1287518949-1000\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\luposde]
[-HKCU\Software\MediaFinder]
[-HKLM\Software\Babylon]
txt::
C:\Windows\System32\Tasks\{4393BAD4-54CB-4401-BA1A-B70A9898021E}
C:\Windows\System32\Tasks\{F9BF2F1F-415E-4B84-805F-5CEF437BF870}
file::
C:\Users\Branchette\Downloads\Adobe.Illustrator.Cs3.french.crack.by.cat.zip
C:\Windows\system32\dds_trash_log.cmd
folder::
C:\Program Files\Media Finder
C:\Windows\Temp\vakmdh
C:\Users\Branchette\AppData\Roaming\Babylon
C:\Users\Branchette\AppData\Roaming\Media Finder
C:\ProgramData\Babylon
C:\Users\Branchette\AppData\Local\Babylon
Info::
C:\windows\system32\drivers\afd.sys
MBR::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Par contre j'ai toujours des alertes de microsoft essentials comme quoi mon ordinateur est en danger :(
merci, j'ai fait ce que tu m'as dit g3n-h@ckm@n: voilà le script!
http://pjjoint.malekal.com/files.php?id=20120419_c6f10i13s10v15
http://pjjoint.malekal.com/files.php?id=20120419_c6f10i13s10v15
Bon, mon antivirus a l'air de s'être calmé depuis tout à l'heure, je n'ai plus d'alerte. Pourvu que ça dure!!
relancepre_scan , choisis tools puis TDSSKiller
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
formidable
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
encore des soucis ou on finalise ?
Edit::
hop !!!
2mn j'ai oublié de te faire virer les ramasse- merd$$ de tes navigateurs :
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
clique sur suppression et poste son rapport.
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Edit::
hop !!!
2mn j'ai oublié de te faire virer les ramasse- merd$$ de tes navigateurs :
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
clique sur suppression et poste son rapport.
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
