VIRUS : services.exe (win32:Sirefef-ZT[trj])

Fermé
gwenzy71 Messages postés 103 Date d'inscription lundi 6 décembre 2010 Statut Membre Dernière intervention 24 février 2020 - 13 oct. 2012 à 11:59
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 21 mai 2013 à 17:32
Bonjour,
Aujourd'hui, j'ai besoin de votre aide,
J'ai démarré mon pc ce matin et Avast m'a prévenu d'une menace (win32:Sirefef-ZT[trj]) sur services.exe (C:\Windows\system32\services.exe), étant donné que ce programme est dans le dossier system, ne l'ai pas touché et j'attends impatiemment vos réponses.
Cordialement


A voir également:

11 réponses

kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 oct. 2012 à 12:39
Bonjour,

Tu es infecté par la dernière variante de Sirefef.

== == == == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == == == ==

1. Télécharge ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.

IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.

● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération (sous XP)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.

Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

Notes :

▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
▸ Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.


Aide : Comment utiliser ComboFix

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +
0
retsuk2013 Messages postés 5 Date d'inscription mardi 21 mai 2013 Statut Membre Dernière intervention 22 mai 2013
21 mai 2013 à 07:49
J'ai le meme probleme. J'ai lancer comboxFix. Voici le resultat du scan https://www.cjoint.com/c/CEvhRJoB6lQ

Quelqu'un peut-il m'aider

merci
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
21 mai 2013 à 17:32
Bonjour,

Merci de créer un nouveau sujet : https://forums.commentcamarche.net/forum/virus-securite-7/new
0
gwenzy71 Messages postés 103 Date d'inscription lundi 6 décembre 2010 Statut Membre Dernière intervention 24 février 2020 6
13 oct. 2012 à 15:38
J'obtiens ceci : Erreur lors de l'ouverture du fichier en écriture :
"C:\32788R22FWJFW\License\iexplore.exe"
Appuyer sur abandonner pour annuler l'installation,
Réessayer pour réessayer l'écriture du fichier, ou
Ignorer pour passer ce fichier.
Je fais quoi ?
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 oct. 2012 à 15:43
re,

Redémarre en mode sans échec avec prise en charge réseau.
Renomme ComboFix.exe en gwenzy71.exe et relance l'outil.

A +
0
gwenzy71 Messages postés 103 Date d'inscription lundi 6 décembre 2010 Statut Membre Dernière intervention 24 février 2020 6
13 oct. 2012 à 15:53
Plus d'erreur mais le programme se lance, s'exécute et se ferme sans rien dire.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 oct. 2012 à 15:58
L'infection visiblement empêche toujours le bon déroulement de ComboFix.
On va faire différemment, fait cette analyse :

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

msconfig 
netsvcs 
showhidden
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.*
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
BASESERVICES
CREATERESTOREPOINT 

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

Aide : Tutorial OTL (par Malekal)

A +
0
gwenzy71 Messages postés 103 Date d'inscription lundi 6 décembre 2010 Statut Membre Dernière intervention 24 février 2020 6
Modifié par gwenzy71 le 13/10/2012 à 20:31
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 oct. 2012 à 21:05
Bonsoir,

C'est un nid d'infections en tout genre, de plus l'infection principale Sirefef a supprimé des services natifs de Windows qu'il faudra réparer ensuite.

1. Désinstalle si possible :

Ask Toolbar Updater  (inutile)   
ToolbarFR (idem)
Java 6 Update 24 (version obsolète, une version plus récente est installée)  
Java 6 Update 30 (64-bit)   (idem)  

Aide : Comment désinstaller un programme

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

== == == == == == == == == == == == == == == == == == == == == ==

Avis aux utilisateurs de l'antivirus Avast! , ne pas exécuter OTL dans la sandbox.

== == == == == == == == == == == == == == == == == == == == == ==

2. Relance OTL

● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

3. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

● Lance TDSSKiller.exe
● Clique sur Change parameters et coche la case Loaded modules
● Un message Reboot is required s'affiche, valide en cliquant sur Reboot now

Le système redémarre, valide cette demande : Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs) pour que l'outil TDSSKiller se relance.

● Clique sur Change parameters et coche la case Loaded modules
● Coche dans Additionnal options, les cases :
Verify file digital signatures et Detect TDLFS file system puis valide par OK
● Clique sur Start scan
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.

▸▸ Conserve l'action proposée par défaut par l'outil en cas de détection :

▸ Si des éléments Suspicious object sont trouvés, laisse sur Skip

▸ Si des éléments malicieux sont trouvés, tu auras plusieurs options possibles :
Assure toi que Cure est sélectionné, clique sur Continue puis sur Reboot now afin de redémarrer pour finaliser le nettoyage.
Si l'option Cure n'est pas disponible, laisse Skip, ne pas choisir Delete sans indication de ma part.

Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

4. Héberge les 2 rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +
0
gwenzy71 Messages postés 103 Date d'inscription lundi 6 décembre 2010 Statut Membre Dernière intervention 24 février 2020 6
14 oct. 2012 à 10:21
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 oct. 2012 à 13:27
Bonjour,

L'infection résiste, je ne suis pas sûr de la réussite de TDDSKiller dans le traitement du fichier services.exe
Relance ComboFix (merci de te référer à la procédure donné plus haut) et poste le rapport.

A +
0
gwenzy71 Messages postés 103 Date d'inscription lundi 6 décembre 2010 Statut Membre Dernière intervention 24 février 2020 6
14 oct. 2012 à 14:06
OS incompatible. Combofix ne fonctionne que pour Windows 2000 et XP
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 oct. 2012 à 16:47
ok,

ComboFix est bien compatible mais quelque chose bloque toujours son exécution.

1. Rends-toi sur le site de GMER

● Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire et enregistre ce fichier sur le Bureau.
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Développe les onglets en cliquant sur |>>>|
● Clique sur l'onglet Files , parcoure l'arborescence jusqu'à C:\WINDOWS\system32\drivers, met en surbrillance le fichier services.exe puis clique sur Copy.
● Enregistre le sur ton bureau sous le nom test_services.exe

2. Analyse le fichier sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal

3. Relance OTL

● Coche Rapport minimal
Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.

A +
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 oct. 2012 à 18:05
gwenzy71,

Des soucis pour faire cette procédure ?

A +
0