virus sirefef.gy Résolu/Fermé

Question

Bonjour, 
mon anti virus me detecte de trojan sirefef.gy, w64/zaccess.g ,sirefef.gz.
de plus quand je navigues sur internet souvent je suis redirigé vers d'autre page 
merci d'avance pour votre aide



Configuration: Windows 7 / Internet Explorer 9.0

kalimusic · Answer

Bonjour,

== == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
 == == == == == == == == == == == == == == == == == == == == == ==

1. Télécharge  ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.

IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération (sous XP)
&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 

 Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

Notes :

&#9656; Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
&#9656; Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
&#9656; Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.

Aide : Comment utiliser ComboFix

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

loic41 · Answer

j'ai téléchargé et lancé combofix, mais il ne fonctionne pas, j'ai attendu mais rien...

kalimusic · Answer

As tu eu un message d'erreur ?


Nous allons utiliser cet outil de diagnostic :

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
/md5start
wshelper.dll
qmgr.dll
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.*
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS /s
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

loic41 · Answer

Voila
https://www.cjoint.com/?3HDrB7MhSGv
https://www.cjoint.com/?3HDrCVzCcvD

kalimusic · Answer

ok,

Regarde si tu n'a pas de rapport ComboFix à la racine du disque, l'outil a fonctionné et supprimé en partie l'infection. 

Désinstalle  Force Download Toolbar  (adware)

Connais tu le dossier END à la racine de C: ?

A +

loic41 · Answer

tu as trouvé quelques choses ??

kalimusic · Answer

J'ai  posté une réponse tout à l'heure mais mon message semble avoir été supprimé, je viens justement de faire une demande à la modération. 

A +

loic41 · Answer

ahhhh.......

kalimusic · Answer

Merci à la modération, mon message est là loic -> https://forums.commentcamarche.net/forum/affich-25957941-virus-sirefef-gy#5
 
A +

loic41 · Answer

je n'arrive pas a aller sur le lien ....

kalimusic · Answer

il renvoie sur le message 5 de ton sujet :)

loic41 · Answer

merci, c'est fait

kalimusic · Answer

Tu as le rapport ComboFix ou pas ?

Tu connais le dossier END ou pas ?

A +

loic41 · Answer

non, je n'ai pas le rapport Combofix, et je ne connais pas le dossier end. 
Mon anti virus m'envois toujours des fenêtres avec les trojans et je suis souvent redirigé quand je surf sur internet

kalimusic · Answer

Bonjour,

Tu es toujours infecté, ComboFix a pu remplacer un fichier système qui avait été patché par l'infection mais c'est insuffisant.

Dans un premier temps on va essayer de relancer ComboFix.

Ouvre le bloc-note et copie/colle les instructions en citation :     

KillAll::

ClearJavaCache::

Folder::
C:\end 
Sauvegarde le fichier sous le nom CFScript.txt  impérativement sur ton Bureau.     

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!        

&#x25CF;  Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img     
&#x25CF; Patiente pendant le travail de l'outil et la création du rapport.
&#x25CF; Héberge le et poste le lien.

A +

loic41 · Answer

bonjour,
j'ai fait ce que tu m'a dit, mais pas de rapport, en revanche voici la fenêtre qui c'est ouverte pendant le travail de combofix https://www.cjoint.com/?3HElHgZ7Bgw

kalimusic · Answer

Trojan Remover était actif et a interféré avec le travail de l'outil ComboFix.
Désinstalle le pour éviter qu'il nous ennuie de nouveau, de toute façon, il ne pourra pas grand chose pour ton infection.
Le rapport de ComboFix aurait bien aider, on va faire différemment. 

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

 == == == == == == == == == == == == == == == == == == == == == ==

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 


2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil en cas de détection.
&#x25CF; Pour "Suspicious object" laisse sur "Skip"
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

3. Héberge les rapports et donne les liens.

A +

loic41 · Answer

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-3639932241-79660682-3660544737-1000\Software\Microsoft\Internet Explorer\SearchScopes\{72D28997-D902-451E-A288-6FAB86885CF9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{72D28997-D902-451E-A288-6FAB86885CF9}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4F37A8FE-00B3-430F-85AA-F97F12E8B651}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F37A8FE-00B3-430F-85AA-F97F12E8B651}\ not found.
File C:\Program Files (x86)\Force Download Toolbar	bcore3.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{37D4F18B-902D-4794-807B-D6C5314B4FF7} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37D4F18B-902D-4794-807B-D6C5314B4FF7}\ not found.
File C:\Program Files (x86)\Force Download Toolbar	bcore3.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\10 deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3639932241-79660682-3660544737-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{37D4F18B-902D-4794-807B-D6C5314B4FF7} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37D4F18B-902D-4794-807B-D6C5314B4FF7}\ not found.
File C:\Program Files (x86)\Force Download Toolbar	bcore3.dll not found.
ADS C:\ProgramData\Temp:CB0AACC9 deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"DisplayName"|"@%SystemRoot%\system32\qmgr.dll,-1000" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"ImagePath"|hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"Description"|"@%SystemRoot%\system32\qmgr.dll,-1001" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"ObjectName"|"LocalSystem" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"ErrorControl"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"Start"|dword:00000002 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"DelayedAutoStart"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"Type"|dword:00000020 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"DependOnService"|hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"ServiceSidType"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"RequiredPrivileges"|hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\"FailureActions"|hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters\"ServiceDll"|hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"Library"|"bitsperf.dll" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"Open"|"PerfMon_Open" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"Collect"|"PerfMon_Collect" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"Close"|"PerfMon_Close" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"InstallType"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"PerfIniFile"|"bitsctrs.ini" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"Last Counter"|dword:00000fc8 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"Last Help"|dword:00000fc9 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"First Counter"|dword:00000fb8 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"First Help"|dword:00000fb9 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"Object List"|"4024" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"1008"|hex(b):50,94,22,ad,0d,ad,cc,01 /E :invalid edit format. Invalid data type.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance\"PerfMMFileName"|"Global\MMF_BITS_s" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security\"Security"|hex:01,00,14,80,94,00,00,00,a4,00,00,00,14,00,00,00,34,00,00,00,02,00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00 /E : value set successfully!
========== FILES ==========
[color=#A23BEC]< ipconfig /flushdns /c >/color
Configuration IP de Windows
Cache de r'solution DNS vid'.
C:\Users\loic\Desktop\cmd.bat deleted successfully.
C:\Users\loic\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41620 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

pour tdsskiller, il n'a rien trouvé, le rapport est vierge

kalimusic · Answer

ok,


1. Télécharge  RogueKiller  (par Tigzy) sur le bureau.

&#x25CF;   Ferme toutes tes applications en cours 
&#x25CF;  Lance RogueKiller.exe  
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
&#x25CF; Laisse le prescan se terminer, clique sur Scan
&#x25CF; Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

2. Relance OTL 

&#x25CF;  Coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.

A +

loic41 · Answer

https://www.cjoint.com/?BHErIZUmfF4
https://www.cjoint.com/?BHErJjwzFcz
voila

kalimusic · Answer

ok,


1. Relance RogueKiller.exe  

&#x25CF; Décoche la ou les cases suivantes :

[TASK][SUSP PATH] HPSA Upgrade : C:\ProgramData\Hewlett-Packard\HPSAUpgrade3\HpSAUpgrade.exe
&#x25CF; Clique sur Suppression
&#x25CF; Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message.

2. Essaye de relancer Combofix  comme indiqué ici : https://forums.commentcamarche.net/forum/affich-25957941-virus-sirefef-gy#1

A +

loic41 · Answer

heu, je ne trouve pas les cases demandés dans roguekiller....

kalimusic · Answer

c'est pour l'exclure de la suppression, regarde sous l'onglet Registre  .

loic41 · Answer

https://www.cjoint.com/?BHEsufxAn7O
voici le rapport roguekiller, pour combofix, rien a faire, il se bloque et ne donne aucun rapport.. il a l'air féroce de trojan !!!

kalimusic · Answer

C'est la dernière variante de Sirefef, c'est coriace mais si ComboFix passe, ensuite ça va tout seul. 

On fait une dernière tentative en le lançant en mode sans échec :

Supprime ComboFix.exe 
Télécharge une nouvelle copie de ComboFix sur ton Bureau.
Redémarre en mode sans échec 
Relance l'outil comme indiqué précédemment.

Si toujours pas mieux, une autre procédure nécessitera une clé usb, en as tu une ?

A +

loic41 · Answer

pas mieux en mode sans échec... 
j'ai une clé usb
a+

kalimusic · Answer

ok, 

Imprime la procédure ou affiche-la sur un autre PC  


Télécharge Farbar Recovery Scan Tool 
&#x25CF; Enregistre-le sur une clé USB.

&#x25CF; Redémarre le système, tapote la touche F8 (ou F5 pour certains PC)
&#x25CF; La fenêtre des Options de démarrage avancées apparaît.
&#x25CF; En utilisant les flèches haut et bas du clavier, sélectionne  Réparer l''ordinateur 
&#x25CF; Valide par Entrée
&#x25CF; Chosis la langue, ton compte administrateur habituel 
(renseigne le mot de passe si c'est le cas)
&#x25CF; Sélectionne  Invite de commandes
&#x25CF;  Dans la fenêtre de commande, tape notepad, valide sur Entrée.
&#x25CF;  Le bloc-notes s'ouvre. Sous le menu Fichier, sélectionne Ouvrir.
&#x25CF; Sélectionne "Ordinateur" (ou Poste de travail sur XP) et trouve la lettre du lecteur flash, referme le bloc-notes.
&#x25CF; Dans la fenêtre de commande x:\frst.exe et appuie sur Entrée
&#9656;  Remarque : Remplace la lettre x avec la lettre du lecteur flash.
&#x25CF; Patiente puis clique sur Oui  au message Disclaimer of warranty
&#x25CF;  Appuie sur le bouton Scan.
&#x25CF; Un rapport FRST.txt sera créé dans la clé usb.

&#x25CF; Dans le champ Search :  tape services.exe;svchost.exe
&#x25CF; Clique sur le bouton Search Files
&#x25CF; Un rapport Search.txt sera créé dans la clé usb.

Redémarre normalement et poste les rapports FRST.txt et Search.txt

Redémarre normalement et poste les liens des rapports FRST.txt et Search.txt 

A + 
  
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

loic41 · Answer

quesque qu'un lecteur flash?? désolé, je suis une quiche en informatique

loic41 · Answer

c'est bon, j'ai trouvé ce que c'était....

loic41 · Answer

j'ai suivit toutes les étapes que me m'as demandé, mais ça coince au moment d'écrire O:\frst.exe
ça me marque le sous systeme requis pour prendre en charge le type d'image n'est pas présent..

kalimusic · Answer

Cela me paraît curieux O comme lettre de lecteur pour une clé USB, es tu certain de celle ci ?
Refais la procédure pour voir.

A +  
  
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

loic41 · Answer

un imprim écran de mon ordinateur
https://www.cjoint.com/?BHEu6fZCkKj

kalimusic · Answer

Une fois en invite de commande, pas sûr que ce soit la même lettre qui soit attribuée.
Tu avais vérifié ?
Sinon, as tu une autre clé pour essayer ?

loic41 · Answer

oui, j'ai vérifié en ouvrant notepad, demain j'irai en acheter une autre...
il me saoule ce trojan !! mdr

kalimusic · Answer

Sinon, on peut faire en gravant un CD et en bootant dessus.

loic41 · Answer

je veux bien essayer, par contre je pourais le faire que demain matin, je suis un lève tôt et un couche tôt également. Merci de t'investire dans mon problème en tout cas, c'est super sympa
bonne soirée

kalimusic · Answer

re,

Nous allons créer un CD bootable qui va nous permettre dans un premier temps d'effectuer une analyse du PC.

Il est préférable d'imprimer ces instructions, afin de faciliter les manipulations sur le pc malade. Suivant ton type de connexion, tu auras accès au net depuis l'environnement du CD, la clé usb n'est pas indispensable.

1. Télécharge OTLPENet.exe sur le Bureau

&#x25CF;  Insère un CD vierge dans le graveur
&#x25CF; Double-clique sur OTLPENet.exe, imgburn s'ouvre pour graver le fichier .iso sur CD, suis les indications afin de réaliser la gravure.

Ouvre le Bloc-note, copie les instructions suivantes et sauvegarde les sur une clé usb sous le nom OTLPE_1.txt

2. Redémarre en utilisant le CD que nous avons créé.

Aide : comment configurer ton ordinateur pour démarrer à partir d'un CD 

    Comme le CD doit détecter le matériel et charger le système d'exploitation, le démarrage est parfois plus long.

&#x25CF;  Il doit maintenant afficher un Bureau REATOGO-X-PE
&#x25CF;  Double-clique sur l'icône jaune OTLPE.
&#x25CF; Sélectionne le dossier Windows du disque infecté si un emplacement est demandé.
&#x25CB;  A la question "Do you wish to load the remote registry", répond Yes
&#x25CB;  A la question  "Do you wish to load remote user profile(s) for scanning", Yes
&#x25CB;  Vérifie que la case "Automatically Load All Remaining Users" soit cochée, OK
&#x25CF;  L'interface s'ouvre, vérifie que les paramètres soient identiques à cette l'image. 

3. Insère la clé USB et ouvre le fichier OTLPE_1.txt
&#x25CF; Copie/colle son contenu dans le cadre blanc sous "Custom Scans/Fixes"
&#x25CF; Clique sur le bouton Run Scan, patiente pendant le balayage du système.   
&#x25CF; Un rapport va s'ouvrir au format bloc-note, sauvegarde le sur ta clé USB sous le nom OTLPE_2.txt

4. Héberge le rapport OTLPE_2.txt  sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF; Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

loic41 · Answer

tout c'est bien passé jusqu'à ce que le bureau se lance, ensuite j'ai eu ça :
https://www.cjoint.com/?3HFloARhnHQ
pfffftttt j'suis dégouté....

loic41 · Answer

Re, j'ai refait une tentative avec combofix ( que j'ai renommé pour l'occasion) il s'est lancé et une fenêtre c'est ouverte pour me prévenir que ma version n'était plus a jour et si je voulais télécharger la nouvelle version ( ma version a été téléchargé hier ) j'ai donc cliqué sur non, et là miracle ça a été jusqu'au bout !!!
voici le rapport :
https://www.cjoint.com/?BHFl3XbqxeB

kalimusic · Answer

Bonjour,

Les alertes de l'antivirus continuent après le passage de ComboFix ou non ?

Relance OTL 

&#x25CF;  Coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

/md5start
services.*
wbemess.dll
sspicli.dll
secur32.dll
netapi32.dll
mshtmled.dll
/md5stop
netsvcs 
%systemroot%\Installer\*.
%systemroot%\System32\config\systemprofile\AppData\Local\*.
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s

&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.  

A +

loic41 · Answer

https://www.cjoint.com/?3HFqNSbuVXJ
mon antivirus ne m'envois plus de message, maintenant je vais essayer de trouver un logiciel qui me tiens tous mes logiciels a jour !!!

kalimusic · Answer

Je regarde le rapport pour voir si c'est ok.
pour le reste c'est prévu, je te le donne dés que le système est sain

A +

kalimusic · Answer

L'infection est toujours présente :/

== == == == == == == == == == == == == == == == == == == == == ==
Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.
 == == == == == == == == == == == == == == == == == == == == == ==

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

2. Supprime ta version de ComboFix (raoul.exe), télécharge une nouvelle version, renomme la et relance l'outil.

3.  Héberge les rapports et poste les liens.

A +

loic41 · Answer

https://www.cjoint.com/?BHFsbs7geZB
https://www.cjoint.com/?BHFsclLLHjC
voila A  +

kalimusic · Answer

As tu fait la correction OTL ou une analyse ?

loic41 · Answer

oups.....

kalimusic · Answer

D'un côté c'est rassurant car ComboFix semble avoir tué l'infection maintenant. 
Lance la correction comme indiqué puis fait une nouvelle analyse rapide. 

A +  
  
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

loic41 · Answer

https://www.cjoint.com/?BHFsoydtt5Q
voici la correction
a+

kalimusic · Answer

Bien, une analyse rapide OTL maintenant, A +

loic41 · Answer

https://www.cjoint.com/?BHFsJiiyE4u
voila
 a+

kalimusic · Answer

Je dis, bravo d'avoir suivi mes instructions sans perdre patience car chez toi cette infection était bien enracinée.  

Pour moi c'est ok, indique moi si de ton côté aussi, je t'envoie ensuite la procédure pour désinstaller proprement les outils et faire les mises à jour.

A +

loic41 · Answer

Yyyyyyyeeeesssss!!!!! merci énormément Kalimusic ! t'es un champion ! de mon côté ça ne bouge plus, mon antivirus ne s'affole plus, c'est super !! merci beaucoup

kalimusic · Answer

ok,


 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Relance AdwCleaner en tant qu'administrateur
&#x25CF; Clique sur Désinstallation  

2. Ouvre la commande Exécuter en pressant Windows + R 
&#x25CF; Dans la boite de dialogue, tape ComboFix /Uninstall 
&#x25CF; Valide par Ok puis suivre les invites à l'écran.
&#x25CF; Un message confirme que ComboFix a été désinstallé. 

3. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

4. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau

== == == == == == == == MISES A JOUR == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

loic41 · Answer

merci énormément pour ce que tu as fait pour moi Kalimusic, c'est super gentil.
loic

kalimusic · Answer

Bonne soirée et bon weekend :)

loic41 · Answer

bonne soirée et bon week end à toi aussi

Virus sirefef.gy

56 réponses

Discussions similaires