Virus Sirefef.y Aide svp
Jpracing
-
Paul -
Paul -
Bonjour,
http://pjjoint.malekal.com/files.php?id=20120605_l12n14u6x12q5
Voici mon rapport.. J'ai le virus Sirefef depuis ce matin... Window Essential le detecte mais aussitot qu'il le detecte, le virus ferme l'ordi.
Malware byte n'as pas ete capable de le supprimer..
J'ai runner Pre_Scan
maintenant j'arrive pas a m'en debarasser
Si quelqun pourrais m'aider
merci
http://pjjoint.malekal.com/files.php?id=20120605_l12n14u6x12q5
Voici mon rapport.. J'ai le virus Sirefef depuis ce matin... Window Essential le detecte mais aussitot qu'il le detecte, le virus ferme l'ordi.
Malware byte n'as pas ete capable de le supprimer..
J'ai runner Pre_Scan
maintenant j'arrive pas a m'en debarasser
Si quelqun pourrais m'aider
merci
A voir également:
- Virus Sirefef.y Aide svp
- Virus mcafee - Accueil - Piratage
- Comment détruire un virus informatique - Guide
- Powershell.exe virus - Guide
- Format factory virus - Forum Logiciels
- Impossible de terminer l'opération car le fichier contient un virus - Forum Virus
48 réponses
- 1
- 2
- 3
Suivant
Résumé de la discussion
Un utilisateur signale sur Windows 7 une infection Sirefef qui se réactive et ferme l’ordinateur dès la détection, Malwarebytes n’arrive pas à la supprimer et un Pre_Scan est lancé. Des solutions proposées incluent l’utilisation d’OTLPE et TDSSKiller avec des réglages de cure, l’analyse de fichiers via VirusTotal et des interventions manuelles sur les tâches planifiées et les clés de registre. En cas de doute, certaines instructions préconisent des vérifications complémentaires comme la désinstallation de Java et l’envoi de fichiers sur VirusTotal, sans garantir une résolution immédiate.
desinstalle tout Java on mettra le dernier
======
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\SaveStartDate.exe
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
======
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\SaveStartDate.exe
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKU\S-1-5-21-3132242301-3121610837-280955733-1138\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
txt::
C:\Windows\System32\Tasks\{37052A57-B564-4B57-A53F-509CAB62F688}
C:\Windows\System32\Tasks\{58C17284-70D4-4C72-A366-6798101613FF}
Folder::
C:\Windows\Installer\{ec6dd41e-08d9-9206-ce3c-d6ec7d654f44}
MBR::
clean::
Reboot::
___________________________________________________
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
===============
relance pre_scan , choisis tools puis tdsskiller
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
___________________________________________________
Kill::
Registry::
[HKU\S-1-5-21-3132242301-3121610837-280955733-1138\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
txt::
C:\Windows\System32\Tasks\{37052A57-B564-4B57-A53F-509CAB62F688}
C:\Windows\System32\Tasks\{58C17284-70D4-4C72-A366-6798101613FF}
Folder::
C:\Windows\Installer\{ec6dd41e-08d9-9206-ce3c-d6ec7d654f44}
MBR::
clean::
Reboot::
___________________________________________________
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
===============
relance pre_scan , choisis tools puis tdsskiller
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai fais un Scan avec ZHPDiag j'ignore si ça peu aider..!
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120606_r7m6h9s157
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120606_r7m6h9s157
Le file etait: C:\Windows\Prefetch\SAVESTARTDATE.EXE-E7BD5DB1.pf
https://www.virustotal.com/file/08851bc3b0a0994b83a15e8a0038498638950b3d9ce765b5ba1ac0dbfc207b42/analysis/1338987584/
https://www.virustotal.com/file/08851bc3b0a0994b83a15e8a0038498638950b3d9ce765b5ba1ac0dbfc207b42/analysis/1338987584/
http://pjjoint.malekal.com/files.php?id=20120606_w9x7p6n6k5
http://pjjoint.malekal.com/files.php?id=20120606_h12t15l15r11d12
http://pjjoint.malekal.com/files.php?id=20120606_h12t15l15r11d12
refais un script avec juste ca mais en mode sans echec :
Folder::
C:\Windows\Installer\{ec6dd41e-08d9-9206-ce3c-d6ec7d654f44}
Folder::
C:\Windows\Installer\{ec6dd41e-08d9-9206-ce3c-d6ec7d654f44}
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
Quand je pars Combofix la procedure dure 10 seconde et la fenetre se ferme. Jai renommer en tonnom.exe et erreur lors douverture du fichier "C:\32788R22FWJFW\License\iexplore.exe
telecharge ca :
http://public.avast.com/~gmerek/aswMBR.exe
clic sur scan , ensuite une fois le scan fini clic sur savelog et colle le contenu
http://public.avast.com/~gmerek/aswMBR.exe
clic sur scan , ensuite une fois le scan fini clic sur savelog et colle le contenu
- 1
- 2
- 3
Suivant
