VIRUS : TR/Sirefef.abx' [trojan] et 'TR/ATRAPS.Gen2' [trojan]

Domasi Messages postés 37 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,
je suis venu sur ce forum afin de trouver une personne pouvant m'aider à mettre fin à un problème sur mon ordinateur. En effet, depuis une semaine environ, je suis alerté par mon antivirus 4 ou 5 fois par minute par l'avertisseur sonore ( ce qui devient de plus en plus rageant ). Lorsque je vais voir quel virus il a détecté, je trouve :

Dans le fichier 'C:\Windows\System32\services.exe'
un virus ou un programme indésirable 'W32/Patched.UC' [virus] a été détecté.
Action exécutée : Refuser l'accès

'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\80000032.@'
un virus ou un programme indésirable 'TR/ATRAPS.Gen2' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\00000008.@'
un virus ou un programme indésirable 'TR/Cutwail.jhg' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\000000cb.@'
un virus ou un programme indésirable 'TR/Sirefef.abx' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\80000000.@'
un virus ou un programme indésirable 'TR/Sirefef.W.16896' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\00000004.@'
un virus ou un programme indésirable 'TR/ZAccess.H' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Je m'arrête là, la liste étant très très longue avec plus de 500 évènements ...
l'antivirus que j'utilise s'appel AVIRA Antivir Personnal et est à jour.

en vous remerciant d'avance de l'attention que vous pourrez porter à ce post
cordialement,
Domasi

40 réponses

  • 1
  • 2
Résumé de la discussion

Les messages d'alerte antivirus affichent une multitude de détections sur Windows 7, avec AVIRA Antivir Personal, notamment des fichiers système et des composants installés, et signalent des programmes indésirables tels que W32/Patched.UC et divers trojans. Plusieurs contributeurs évoquent une éventuelle infection de type rootkit et recommandent des outils spécialisés; en particulier l'utilisation d OTL en mode sans échec, puis l'obtention de rapports et leur partage via des liens externes. En dernier, des conseils pratiques incluent la vérification des sauvegardes et l'éventuelle réinstallation propre du système si les outils ne résolvent pas les dysfonctionnements, tout en restant prudent face aux liens proposés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Quand Pre_Scan passe les rootkit trépassent \o/
    Encore un bon coup du vengeur masqué ... mouhahahahahaha
    2
    1. g3n-h@ckm@n
       
      lol
      0
  2. g3n-h@ckm@n
     
    aucun ^^

    sinon plus avast qu'antivir en tout cas....
    1
  3. domasi
     
    bon ben voilà, je n'ai plus d'infection ou autres, et le meilleur ==> je n'ai plus le son de détection de virus toute les 3 secondes *_* vraiment merci de votre aide ! +D
    1
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Domasi Messages postés 37 Statut Membre
     
    re,

    j'ai relancé l'ordinateur en mode sans échec puis renommé combofix en Domasi.exe, et le résultat est le même que lorsque je n'étais pas en mode sans échec ou que je n'avais pas changer le nom du logiciel...

    je possède un lecteur CD/DVD, mais pas de graveur, cependant j'ai la possibilité d'en avoir un.
    0
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Bon, ça se complique un peu.
    Au préalable, as tu sauvegarder une sauvegarde de tes documents ?
    Si tu ne peux pas graver immédiatement, as tu une clé usb ?

    A +

    «La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
    0
  7. Domasi Messages postés 37 Statut Membre
     
    re,

    oui j'ai sauvegardé les données que je voulais sauvegarder

    oui je possède une clé USB, la plus grosse étant 16Go
    je ne sais pas si cela peut aider , mais j'ai aussi un CD d'installation Ubuntu

    A+
    0
    1. Domasi Messages postés 37 Statut Membre
       
      et j'ai maintenant le son de détection de virus qui s'active toute les 4 secondes , j'ai compté ! ...
      0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Imprime la procédure ou affiche-la sur un autre PC

    Télécharge Farbar Recovery Scan Tool
    ● Enregistre-le sur une clé USB.

    ● Redémarre le système, tapote la touche F8 (ou F5 pour certains PC)
    ● La fenêtre des Options de démarrage avancées apparaît.
    ● En utilisant les flèches haut et bas du clavier, sélectionne Réparer l''ordinateur
    ● Valide par Entrée
    ● Choisis la langue, ton compte administrateur habituel
    (renseigne le mot de passe si c'est le cas)
    ● Sélectionne Invite de commandes
    ● Dans la fenêtre de commande, tape notepad, valide sur Entrée.
    ● Le bloc-notes s'ouvre. Sous le menu Fichier, sélectionne Ouvrir.
    ● Sélectionne "Ordinateur" (ou Poste de travail sur XP) et trouve la lettre de la clé usb, referme le bloc-notes.
    ● Dans la fenêtre de commande x:\frst.exe et appuie sur Entrée
    Remarque : Remplace la lettre x avec la lettre de la clé.
    ● Patiente puis clique sur Oui au message Disclaimer of warranty
    ● Appuie sur le bouton Scan.
    ● Un rapport FRST.txt sera créé dans la clé usb.

    ● Dans le champ Search : tape services.exe
    ● Clique sur le bouton Search Files
    ● Un rapport Search.txt sera créé dans la clé usb.

    Redémarre normalement et poste les rapports FRST.txt et Search.txt via https://www.cjoint.com/

    A +
    0
  9. Domasi Messages postés 37 Statut Membre
     
    re,

    je suis les étapes dans l'ordre et comme indiqué, jusqu'à l'étape :

    ? Dans la fenêtre de commande x:\frst.exe et appuie sur Entrée
    ? Remarque : Remplace la lettre x avec la lettre de la clé.

    après avoir remplacé x par la lettre et écrit ce qu'il y as d'indiquer , j'appuie sur entré, mais à ce stade un message apparait juste en dessous de ma ligne de commande :

    "le sous système requis pour prendre en charge le type d'image n'est pas présent"

    je ne peu donc pas continuer, que dois-je faire pour y remédier et continuer la procédure ? merci

    A+
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Quand tu tapes dans l'invite de commande x:\frst.exe tu as ce message d'erreur ?
      Je cherche pourquoi, A +
      0
    2. Domasi Messages postés 37 Statut Membre
       
      c'est cela, une fois G:\frst.exe tapé dans l'invité de commande, et après avoir appuyé sur entré cette ligne apparait sous "G:\frst.exe"
      merci
      A+
      0
    3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Tu as tout bien fait, je sais pas pourquoi il y a ce message.
      Je peux reprendre en fin de journée seulement.

      Quand peux tu graver le CD ?
      0
    4. Domasi Messages postés 37 Statut Membre
       
      pas de problème, ce n'est pas urgentissime pour dans la minute, mais se son devient vraiment agaçant...

      sinon je pourrais graver le CD lorsque je serais chez mon père, je verrais pour y passer dans le courant de la semaine prochaine.
      0
    5. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      re,

      Je viens de relire que tu avais sous la main un CD d'ubuntu.
      Est-ce que tu sais naviguer depuis le CD dans Windows et effectuer les suppressions si je te guide ?

      As tu réussi à faire l'analyse avec l'outil OTL ?

      A +
      0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok :)

    Redémarre en mode sans échec

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.*
    /md5stop
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    BASESERVICES
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
  11. Domasi Messages postés 37 Statut Membre
     
    je ferai la manipulation vers mercredi, je n'aurais pas trop le temps entre temps, mais je te tiens au courant =)

    a+
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Bonsoir,

      ok, à bientôt :)

      ps : si tu peux graver un CD entre temps, fait moi signe ;)
      0
  12. Domasi Messages postés 37 Statut Membre
     
    bonjour,

    comme je te l'avais dit, j'ai refais la manipulation avec OTL, après 2 essais freezant, j'ai enfin pu avoir un résultat et les deux documents .txt au 3ème essais, les rapports sont là :

    - https://textup.fr/31556dG (OTL.txt)
    - https://textup.fr/31557o7 (Extra.txt)

    sinon pour graver quelque chose, mon père n'étant pas dans les parages, je ne pourrais pas graver avant un certains temps.

    en espérant que ce problème se règle rapidement maintenant =)

    A+
    0
    1. Domasi Messages postés 37 Statut Membre
       
      j'en suis a 14700 évènements par mon antivirus en seulement 3 jours...
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Bonjour,

      Oui, d'un sens c'est normal, zeroaccess est bien là (avec quelques autre infections moins grave).

      Je regarde en détail le rapport et je te donne les actions à faire sous Ubuntu.

      Tu sais accéder à Windows sous le CD live Ubuntu ?

      A +
      0
    3. Domasi Messages postés 37 Statut Membre
       
      D'accord

      je sais démarrer sur ubuntu avec le CD, après ... il faut que internet soit coupé ou bien ?

      A+
      0
    4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Un fois sur le CD live, Windows ne sera plus en fonctionnement, tu peux être connecté au net.

      Ensuite (suivant ta version) Menu > Ordinateur > et tu dois voir C:\

      A +
      0
    5. Domasi Messages postés 37 Statut Membre
       
      dans ce cas la oui je sais accéder a Windows depuis le CD Ubuntu
      je vérifie que j'ai bien le CD qu'il soit pas chez mon père ça ne m'arrangerais pas.

      A+
      0
  13. g3n-h@ckm@n
     
    salut pourquoi tu essaies pas d'envoyer pre_scan ? logiquement il le crève zeroaccess....
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      C'est une personne qui sur un autre sujet m'a dit avoir tout essayé et qu'aucun logiciel se lance.
      Donc je suis parti sur ce fait, et pensé au Live-CD.
      Si tu veux tenter avec ton outil, pas de soucis, au contraire.
      Dans ce cas je te laisse gérer, je ne connais pas assez ton outil.
      0
  14. g3n-h@ckm@n
     
    ok on peut le tenter ca mange pas de pain et si ca peut faire accelerer les choses c'est un bon coup :)

    ==

    @Domasi :

    fais tourner ca sur ton pc malade

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    il y aura un reboot , le scan devrait reprendre ensuite , et tu auras le rapport soit sur le bureau , soit dans c:\
    0
    1. Domasi Messages postés 37 Statut Membre
       
      bonjour,

      @kalimusic:

      j'ai pris les devant par rapport à mon père, j'ai donc été acheter un lecteur graveur, je suis donc en mesure je graver le script que tu me donneras, je vais cependant essayé quand même ce que g3n-h@ckm@n m'as envoyé, puis je vous dirais comment cela c'est déroulé.

      @g3n-h@ckm@n :

      je vais de ce pas utiliser l'outil que tu m'envoie, puis je posterais un commentaire pour dire ce à quoi j'arrive.

      en attendant, merci =)
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Bonsoir,

      Si l'outil de g3n passe, il poursuivra la désinfection avec toi.

      A +
      0
    3. Domasi Messages postés 37 Statut Membre
       
      @kalimusic:

      d'accord, la j'ai un rapport .txt, je vais le lui envoyer et suivant le résultat je poursuivrais avec lui, dans tout les cas ,merci pour ton aide =)

      @g3n-h@ckm@n :

      Le scan à été passé, cependant il n'as pas repris après le redémarrage de l'ordinateur. J'ai quand même le rapport .txt dans C:\ , où dois-je te l'envoyer ?


      A+
      0
    4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      re,

      Héberge le rapport sur un des sites suivants :
      https://www.cjoint.com/
      http://pjjoint.malekal.com/
      https://textup.fr/
      Tu obtiendras un lien que tu me donneras dans ton prochain message.


      A +
      0
    5. Domasi Messages postés 37 Statut Membre
       
      re ,

      voici le lien : https://textup.fr/33093vV
      j'ai pu constater que mon pare feu avait été réactiver, je le fait remarqué parce qu'avant , impossible de le réactiver. ^^'

      A+
      0
  15. g3n-h@ckm@n
     
    relance-le , option kill pour qu'il puisse finir son scan

    tu le trouveras dans le dossier pre_scan , dans C:\
    0
    1. Domasi Messages postés 37 Statut Membre
       
      c'est à dire option kill ? je vois un fichier nommé "#Kill "dans le dossier, mais je fais quoi avec ?
      0
  16. g3n-h@ckm@n
     
    non tu dois avoir la copie du truc que tu viens de telechaerger et de lancer dans le dossier

    ne touche pas au fichier #kill
    0
  17. Domasi Messages postés 37 Statut Membre
     
    j'ai deux applications : smss.exe et svchost.exe
    est-ce l'une de ces deux application que je dois lancer ?
    0
  18. g3n-h@ckm@n
     
    non retelecharge-le alors ca c'est des composants
    0
  • 1
  • 2