Virus / Trojan Sirefef Résolu/Fermé

Question

Bonsoir à toutes et a tous,  

En cette heure tardive j'aurais besoin d'aide pour résoudre un problème de virus. Après avoir réinstallé un antivirus et anti-malware j'ai reçu divers messages me signalant la présence d'un virus sur mon pc. Malgré les alertes de Avira il m'étais impossible de supprimer ce dernier.  
Aujourd'hui j'ai décidé de changer et passer sur Microsoft Security pour essayer de vacciner mon pc et ce dernier m'a signalé la présence de 6 infections toutes sur la base du virus Sirefef.  
Le problème et que même si avant rien de semblait être endommager, Microsoft Security semble avoir aggravé les choses et mon pc se retrouve a redémarrer toutes les 5 à 10 minutes indiquant une erreur grave de Windows.  
Si j'essaye de vacciner les fichiers infectés il arrive la même chose mais dans la seconde.  
C'est la première fois que j'ai un virus aussi virulent ( la plupart du temps un changement d'heure du pc me permettais de gagner du temps sur les virus éteignant le pc mais la rien a faire)  
J'aurais en tant normal reformé le pc sans me posé de question mais je n'ai pas sur moi les cd Windows.  
J'ai du aujourd'hui lancer une réparation système pour allumé mon pc et cela semble avoir stoppé le cycle de redémarrage mais je me doute que le virus est encore la (MSI le signale d'ailleurs)  

J'en arrive donc a vous demander de l'aide. J'ai vu que je n'étais pas le seul dans ce cas mais je n'ai trouver aucune solution miracle ni aucun patch mais plutôt des topics personnalisés avec postage de rapport donc j'en ouvre un moi-même.  

Je vous remercie d'avance   

Romain  

Configuration: Windows 7 / Firefox 14.0.1

Utilisateur anonyme · Answer

Bonsoir

/!\ A l'attention de ceux qui passent sur ce sujet /!\  
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.  

/!\ Désactive tous tes logiciels de protection  (Antivirus, Antispywares)  /!\  

* Télécharge combofix(de sUBs) sur ton Bureau.  
* Double-clique sur ComboFix.exe afin de le lancer.  
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème) 
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Lorsque la recherche sera terminée, un rapport apparaîtra.   
* Héberge le rapport C:\Combofix.txt  sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum 
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec . 
Tutoriel officiel de Combofix : Tuto Combofix

vermich89 · Answer

Merci pour ta réponse rapide et désolé pour l'attente mais tout ne s'est pas passé comme prévus

Les 2 premières tentatives d'installation se sont terminé après des messages d'erreur et l'écran bleu n'est jamais apparu.
J'ai décidé de redémarré le pc et la l'installation s'est mieux passée: elle  a redémarrer le pc puis avant que le bureau ne réapparaisse combofix s'est réinstallé sans problème et a lancé le scan

problème: aucune demande d'installation de console de réparation ne m'a était faite et le redémarrage du pc à relancé l'antivirus et anti-malware  juste avant le scan

le rapport est par contre bien sorti:

https://pjjoint.malekal.com/files.php?id=20120821_p10k12u8h6y8

Utilisateur anonyme · Answer

Tu été infecté par zaccess.

Ce type d' infections a lieu suite à des publicités malicieuses (Malvertising) sur les sites de streaming.
Ces publicités malicieuses conduisent à des exploits sur des sites Internet pour infecter les visiteurs.
Les visiteurs qui ont des logiciels non à jour (Adobe Reader/Flash, Java) peuvent donc se faire infecter de manière automatique, ces logiciels non à jour sont des portes d'entrées pour infecter l'ordinateur.
D'où l'importance de maintenir à jour ses logiciels. 

Definition du mots exploits===> En informatique un exploit est un programme, ou un "objet piégé" (par exemple une image dans certains cas) qui permet d'exploiter une faille d'un programme ou d'un système d'exploitation. 
=======================================

* Télécharge et installe : Malwarebyte's Anti-Malware 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats 
* Coche tous les éléments détectés puis clique sur Supprimer la sélection 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer, clique sur Yes 
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.) 
* Si tu as besoin d'aide regarde ce tutorial  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

vermich89 · Answer

Merci, voici le rapport de MBAM:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.21.07

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Vermich :: MASTER [administrateur]

21/08/2012 12:18:21
mbam-log-2012-08-21 (12-18-21).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 338987
Temps écoulé: 1 heure(s), 20 minute(s), 33 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\00000004.@.vir (Rootkit.Zaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\00000008.@.vir (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\000000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\80000000.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U\80000032.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

(fin)


Je vais vérifier que le virus est bien supprimé, et si c'est bon je mets le sujet en résolu. 

Merci pour ton temps.

vermich89 · Answer

j'ai repassé un coup d'antivirus MSI et il me ressort la présence de win32/Sirefef.R 
Je le signale avant d'essayer de le désinfecter au cas ou cela relancerai les redémarrages systèmes.


edit: La désinfection m'a affiché un message d'erreur me signalant que l'action ne pouvait être réalisé, mais le rapport semble indiquer le contraire. 
Je ne peux plus mettre a niveau les "définitions de virus et logiciel espions"

je vais relancé un scan MSI pour voir si les fichiers infectés sont partis.

Utilisateur anonyme · Answer

Tu peux faire ce qui suit.

* Télécharger sur le bureau 
 https://www.luanagames.com/index.fr.html
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

vermich89 · Answer

RogueKiller V7.6.6 [10/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: Vermich [Droits d'admin] Mode: Recherche -- Date: 21/08/2012 20:09:18 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 5 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND [HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : c:\windows\installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> FOUND [ZeroAccess][FOLDER] L : c:\windows\installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> FOUND [ZeroAccess][FILE] @ : c:\users\vermich\appdata\local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\@ --> FOUND [ZeroAccess][FOLDER] U : c:\users\vermich\appdata\local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> FOUND [ZeroAccess][FOLDER] L : c:\users\vermich\appdata\local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> FOUND ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++ --- User --- [MBR] afd9e6b96496273bf0d3e6bc62d8a7f6 [BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

vermich89 · Answer

Salut Autant pour moi, je croyais que c'étais un version plus récente. voila le rapport : RogueKiller V8.0.0 [21/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur : Vermich [Droits d'admin] Mode : Recherche -- Date : 22/08/2012 19:07:56 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 6 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> TROUVÉ [ZeroAccess][FILE] @ : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\@ --> TROUVÉ [ZeroAccess][FOLDER] U : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> TROUVÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++ --- User --- [MBR] afd9e6b96496273bf0d3e6bc62d8a7f6 [BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Utilisateur anonyme · Answer

* ReLancer RogueKiller.exe. V8.0.0
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad

Tigzy si tu passes dans le coin pourrais tu m'expliquer pourquoi combofix supprimes zaccess et il se retrouves avec l'infection.?
Je penses a une réinfection?

vermich89 · Answer

Nouveau rapport, je crois qu'il est encore là. RogueKiller V8.0.0 [21/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur : Vermich [Droits d'admin] Mode : Suppression -- Date : 22/08/2012 23:16:47 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 6 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> REMPLACÉ (1) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> REMOVED [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> REMOVED [ZeroAccess][FILE] @ : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\@ --> REMOVED [ZeroAccess][FOLDER] ROOT : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\U --> REMOVED [ZeroAccess][FOLDER] ROOT : C:\Users\Vermich\AppData\Local\{cb670f9c-87d8-f68e-86c7-64b96709788b}\L --> REMOVED ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++ --- User --- [MBR] afd9e6b96496273bf0d3e6bc62d8a7f6 [BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: WD My Passport 0730 USB Device +++++ --- User --- [MBR] 1b9620e04f5601b4fc1269ee9139b6cd [BSP] cadf22e4ca0b4188ae4617bc2f032600 : Windows XP MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953836 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Utilisateur anonyme · Answer

Relances combofix et postes le rapport.

vermich89 · Answer

voila le compte rendu.

https://pjjoint.malekal.com/files.php?id=20120823_q11o15h11h12x10

vermich89 · Answer

Ca semble être bon. j'ai refait un scan roguekiller et il ne me ressort pas de zaccess. ( il me repropose de supprimer des fichiers par contre, est-ce important de le faire ?)

J'attend ton avis, et si tu as des conseils pour ne pas que zaccess reapparaisse.

Sinon encore un grand merci de m'avoir consacré de ton temps

vermich89 · Answer

RogueKiller V8.0.0 [21/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur : Vermich [Droits d'admin] Mode : Recherche -- Date : 23/08/2012 12:50:55 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++ --- User --- [MBR] afd9e6b96496273bf0d3e6bc62d8a7f6 [BSP] 45eac75189ee460c9e227ce0df4f8ca7 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: WD My Passport 0730 USB Device +++++ --- User --- [MBR] 1b9620e04f5601b4fc1269ee9139b6cd [BSP] cadf22e4ca0b4188ae4617bc2f032600 : Windows XP MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953836 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

vermich89 · Answer

Bon alors tout semble être rentré dans l'ordre, j'ai fait tous les scans possibles et réinstallé l'anti virus ( je peux de nouveaux le mètre a jour)

Un grand merci encore à vous deux !!!

Virus / Trojan Sirefef

15 réponses

Discussions similaires