Aide trojan sirefef B

Résolu
leixjun Messages postés 77 Statut Membre -  
 Utilisateur anonyme -
Bonjour, j'ai depuis quelques jour un trojan sirefef b: Zaccess . Je sais que ce trojan est difficile a effacer car il modifie winsrv.dll en consrv.dll. Si quelqu'un pourrais m'aider cela m'arangerais beaucoup: je n'ais pas envie de voir ma carte bancaire circuler n'importe ou. Merci

15 réponses

  1. Utilisateur anonyme
     
    Bonjour

    windows xp vista ou 7??

    32 ou 64 bits??
    0
  2. leixjun
     
    Merci de répondre si vit. Je possède un 7 64 bit
    0
  3. Utilisateur anonyme
     
    Télécharger AntiZeroAccess sur le bureau
    Double-cliquez dessus pour l'exécuter (Si vous utilisez Vista ou Windows 7, faites un clic droit dessus et sélectionnez "Exécuter en tant qu'administrateur")
    Tapez y et appuyez sur Entrée pour lancer le scan
    Si un redémarrage est nécessaire, le faire immédiatement.
    Poster le rapport AntiZeroAccess_Log.txt sur le forum.
    Ce fichier est enregistré dans le même emplacement que le programme AntiZeroAccess.

    0
    1. leixjun
       
      error only on 32 bit
      0
  4. Utilisateur anonyme
     
    Téléchargez l'outil de désinfection yorkyt.exe (1,31 Mo).

    http://www.pandasecurity.com/resources/tools/yorkyt.exe

    Enregistrez le fichier sur le bureau Windows.
    Double-cliquez sur le fichier yorkyt.exe.
    Un redémarrage sera demandé afin d'installer un pilote.
    Un autre redémarrage sera demandé pour terminer la désinfection.
    Lorsque la désinfection est terminée, accepter le message qui sera affiché.
    Dis moi si au redémarrage, tu as le message Cleanup Completed sur l'écran....
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

    * Télécharge combofix(de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
    /!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
    * Lorsque la recherche sera terminée, un rapport apparaîtra.
    * Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    #Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
    Tutoriel officiel de Combofix : Tuto Combofix
    0
    1. leixjun
       
      Voila le lien
      http://pjjoint.malekal.com/files.php?id=20120528_r12g14r15h9y15
      0
  7. Utilisateur anonyme
     
    Tu connais ces dossiers??

    C:\bc4a67c6d50ad1e9894c5f9455
    C:\04fb7fdf197fe5290183fe5e6b
    C:\9d33743a75fb92300c14a61a0650

    * Télécharge OTL sur ton bureau.

    * Fais un double-clic sur l'icône d'OTL pour le lancer
    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    * Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

    * Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

    * Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    wininit.exe
    consrv.dll
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\system32\consrv.dll
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    nslookup www.google.fr /c
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    SAVEMBR:0
    CREATERESTOREPOINT


    * Cliques sur l'icône "Analyse" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum

    PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

    0
  8. leixjun
     
    Pour l'OTL: http://pjjoint.malekal.com/files.php?id=20120528_x9z15k15h10x8

    Pour l'Extra: http://pjjoint.malekal.com/files.php?id=20120528_n9d6m6l14w12
    0
  9. Utilisateur anonyme
     
    Tu n'as pas répondu a ma question.
    Tu connais ces dossiers??

    C:\bc4a67c6d50ad1e9894c5f9455
    C:\04fb7fdf197fe5290183fe5e6b
    C:\9d33743a75fb92300c14a61a0650


    relançe OTL .
    Fais un double-clic sur l'icône d'OTL pour le lancer
    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:

    :OTL
    [2011/12/27 20:08:07 | 000,002,288 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
    [2012/05/05 12:19:03 | 000,272,384 | ---- | M] () -- C:\Users\Laurence\AppData\Roaming\Acreon\WowMatrix\Modules\curl.exe
    [2012/04/25 13:22:42 | 000,040,630 | R--- | M] () -- C:\Users\Laurence\AppData\Roaming\Microsoft\Installer\{763F6309-24BC-4810-9B27-313EA0DE1047}\_016DE5930858FD7BDBADE3.exe
    [2012/04/25 13:22:42 | 000,040,630 | R--- | M] () -- C:\Users\Laurence\AppData\Roaming\Microsoft\Installer\{763F6309-24BC-4810-9B27-313EA0DE1047}\_0C75FCADEB3BE80015B1E0.exe
    [2012/04/25 13:22:42 | 000,040,630 | R--- | M] () -- C:\Users\Laurence\AppData\Roaming\Microsoft\Installer\{763F6309-24BC-4810-9B27-313EA0DE1047}\_6FEFF9B68218417F98F549.exe
    [1998/10/17 02:10:00 | 000,297,472 | ---- | M] () -- C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\SETUP.EXE
    [1998/09/09 17:34:00 | 000,201,728 | ---- | M] () -- C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\AUTORUN\AUTORUN.EXE
    [1997/07/14 18:00:00 | 000,032,256 | ---- | M] (Microsoft Corporation) -- C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DDHELP.EXE
    [1997/07/14 18:00:00 | 000,023,960 | ---- | M] (Microsoft Corporation) -- C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DPLAYSVR.EXE
    [1997/07/14 18:00:00 | 000,299,520 | ---- | M] (Microsoft Corp.) -- C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DXINFO.EXE
    [1997/07/14 18:00:00 | 000,088,576 | ---- | M] (Microsoft Corporation) -- C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DXSETUP.EXE
    [1997/07/14 18:00:00 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DXTOOL.EXE
    [2012/04/08 14:42:18 | 002,888,083 | ---- | M] (T55 ) -- C:\Users\Laurence\AppData\Roaming\T55\WinMate\OnlineInstall\wm_0.9.15.exe
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. => Toolbar.SweetIM
    IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=111304&babsrc=SP_ss&mntrId=0ef9b1f000000000000070f1a127d47e
    :commands
    [EmptyTemp]
    [EmptyFlash]
    [CREATERESTOREPOINT]
    [ResetHosts]
    [Reboot]


    ===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
    0
  10. leixjun
     
    Désolé pour le retard, oui ce sont des fichiers Temp.
    0
  11. leixjun
     
    Voila le rapport:

    All processes killed
    ========== OTL ==========
    C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml moved successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
    C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll moved successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ deleted successfully.
    C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll moved successfully.
    C:\Users\Laurence\AppData\Roaming\Acreon\WowMatrix\Modules\curl.exe moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Installer\{763F6309-24BC-4810-9B27-313EA0DE1047}\_016DE5930858FD7BDBADE3.exe moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Installer\{763F6309-24BC-4810-9B27-313EA0DE1047}\_0C75FCADEB3BE80015B1E0.exe moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Installer\{763F6309-24BC-4810-9B27-313EA0DE1047}\_6FEFF9B68218417F98F549.exe moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\SETUP.EXE moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\AUTORUN\AUTORUN.EXE moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DDHELP.EXE moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DPLAYSVR.EXE moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DXINFO.EXE moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DXSETUP.EXE moved successfully.
    C:\Users\Laurence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Black Isle\Fallout 2\DIRECTX5\DIRECTX\DXTOOL.EXE moved successfully.
    C:\Users\Laurence\AppData\Roaming\T55\WinMate\OnlineInstall\wm_0.9.15.exe moved successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes
    ->Flash cache emptied: 56466 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Laurence
    ->Temp folder emptied: 168031 bytes
    ->Temporary Internet Files folder emptied: 7472489 bytes
    ->Java cache emptied: 351512 bytes
    ->Google Chrome cache emptied: 77484201 bytes
    ->Flash cache emptied: 456 bytes

    User: Public
    ->Temp folder emptied: 0 bytes

    User: Test
    ->Temp folder emptied: 0 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 8110 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36030939 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 116,00 mb

    [EMPTYFLASH]

    User: All Users

    User: Default
    ->Flash cache emptied: 0 bytes

    User: Default User
    ->Flash cache emptied: 0 bytes

    User: Laurence
    ->Flash cache emptied: 0 bytes

    User: Public

    User: Test

    Total Flash Files Cleaned = 0,00 mb

    Restore point Set: OTL Restore Point
    C:\Windows\System32\drivers\etc\Hosts moved successfully.
    HOSTS file reset successfully

    OTL by OldTimer - Version 3.2.43.2 log created on 05282012_170405

    Files\Folders moved on Reboot...
    C:\Users\Laurence\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

    Registry entries deleted on Reboot...
    0
  12. Utilisateur anonyme
     
    tu as toujours les detections sirefef??
    0
  13. leixjun Messages postés 77 Statut Membre 4
     
    je regarde
    0
  14. leixjun Messages postés 77 Statut Membre 4
     
    Non! c'est génial merci beaucoup!
    0
  15. Utilisateur anonyme
     
    Ton pc est maintenant propre.
    Voici quelques conseils.

    * Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes pour bloquer les publicités: adblock plus

    * WOT - Extension pour ton navigateur internet :
    Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
    Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
    Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
    =============================================
    Je conseille de mettre a jour internet explorer même si vous ne l'utilisé jamais. Les MAJ systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
    * Télécharger IE9 : ici
    ============================================
    ==============================================
    Adobe Reader n'est pas à jour , c'est une faille de sécurité.
    1. Désinstalles le en allant dans menu démarrer
    2. Clic sur panneau de configuration
    3. Rends-toi à ajout/suppression de programmes.
    4. Télécharges et installes la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

    Décoches :McAfee® Security Scan Plus gratuit (en option)

    Pour diminuer les risques, il est conseillé de désactiver l'interprétation du Javascript dans Adobe Reader sur votre ordinateur .Pour cela :

    * Lancez Adobe Reader
    * Cliquez sur Edition --> Préférences --> JavaScript
    * Décochez "Activer Acrobat JavaScript"
    * Validez
    ==============================================
    Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
    Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

    Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

    Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

    * Un conseil : n'installe pas les BETA

    ===============================================
    Pour éliminer les programmes de désinfections.

    * Téléchargez : DelFix sur votre bureau.
    * Lancez le, cliquez sur suppression.
    * Patientez pendant le scan jusqu'à l'ouverture du rapport.
    * Postez le contenu du rapport dans votre prochaine réponse sur le forum.

    * Note : Le rapport se trouve sous C:\DelFixSearch.

    ===============================================
    ==================================================
    Désactiver/Réactiver la restauration système de seven

    https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

    * Pensé a vider la corbeille.
    ==================================================
    Attention, aux idées reçues :

    Ne jamais avoir deux anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

    Les anti-spywares ne servent à rien et n'oublie pas que la meilleure manière de protéger ton ordinateur c'est toi !
    ================================================
    Tu peux mettre ton problème en résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/
    0