Cheval de Troie TR/Sirefef.A.61

allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention   -  
allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour à vous,

Depuis maintenant 5h j'ai la présence d'un virus dans C:\$RECYCLE.BIN et contre lequel mon antivirus (avira) ne peut rien faire: TR/Sirefef.A.61.
Je supprime ce trojan mais le message d'alerte reviens, ce message apparait toutes les 30 secondes.

Quelqu'un pourrait-il m'aider svp?

Merci d'avance.

35 réponses

  • 1
  • 2
Résumé de la discussion

Un problème de sécurité décrit concerne la détection du virus TR/Sirefef.A.61 dans C:\$RECYCLE.BIN sous Windows Vista et un message d'alerte récurrent qui réapparaît toutes les 30 secondes. Des recommandations évoquent l'utilisation d'outils de nettoyage comme AdwCleaner et Malwarebytes Anti-Malware (version gratuite ou d'essai) pour détecter et supprimer les éléments malveillants. Des vérifications complémentaires portent sur la suppression éventuelle de contenus issus de scripts ou liens envoyés et sur la gestion des dossiers tels que Pre_Scan pour éviter des réapparitions. En cas de persistance, certaines indications suggèrent une vérification approfondie du système et éventuellement une aide professionnelle pour rétablir l'intégrité de Windows et sécuriser l'ordinateur.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    salut,

    il est facile à abattre le vilain rootkit :)

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    télécharge et enregistre Pre_Scan sur ton bureau : https://forums-fec.be/gen-hackman/Pre_Scan.exe

    NOTE : si le lien ne fonctionne pas : http://www.archive-host.com

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    NOTE : si l'outil est bloqué par l'infection utilise cette version avec extension .pif : https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redémarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Héberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en échange

    Ne transmets pas le lien de suppression !!!
    0
  2. allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
     
    re-bonjour...
    et voilà le scan est fait...assez long mais utile je suppose...
    donc l'outil s'est lancé, a rebooté mon pc après m'avoir demandé si je voulais vider ma corbeille car elle était endommagée (effectivement ça avait mis le trojan dedans...enfin je suppose, je suis pas un as sinon j'aurais pas demandé de coup de main)
    alors j'ai renommé mon dossier Pre_Scan mais il n'y a plus de soucis, je n'ai plus de message d'alerte...du coup est-ce utile de le poster? que se passe t-il si je le supprime directement? (ça peut paraitre c... comme questions mais j'aime bien savoir)
    Et sinon puis-je supprimer les raccourcis mis sur mon bureau (réseau, ordinateur, et mon dossier)?

    Merci pour votre aide...heureusement que les forums existent ;)
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    2h30 de scan O_O
    Tu fais jamais le ménage sur ton ordi ?

    Oui, j'aimerais avoir le rapport STP, car ce n'est pas fini :-)
    Donc poste moi le rapport comme demandé, via FEC Upload.

    Ensuite :

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique donc sur Afficher les résultats.
    ▶ Clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

    @+
    0
  4. allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
     
    salut...

    si pourtant ça m'arrive de faire le ménage (j'ai ccleaner, auslogics et glary utilities)...mais apparemment je le fais pas assez souvent :$

    voila j'ai posté: https://forums-fec.be/upload/www/?action=d&id=2565801702

    tu me diras quand je pourrais supprimer ce lien merci

    sinon j'ai un dossier Pre_Scan qui s'est créé dans mon disque C je le laisse ou je peux le supprimer?
    et j'ai aussi des fichiers (commençant par "~$" qui se sont mis sur mon bureau + des raccourcis (réseau, panneau de config, etc) je peux les supprimer?

    bon je suis en train de faire la suite (MBAM)..ya plus qu'à attendre

    Merci beaucoup ^^

    (je pensais avoir déjà posté ma réponse mais ça a du déconné)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Coucou,

    auslogics et glary utilities => poubelle
    Auslogic ça sert à rien sur Vista & 7, la défragmentation se fait seule, plus besoin de ça
    Glary => poubelle ça détruit plus le pc qu'autre chose

    Pour l'instant laisse le rapport Pre_Scan en ligne, je pense que g3n-h@ckm@n sera heureux d'y jeter un oeil.
    Malwarebytes va virer les dernières traces de ZAccess et après on a encore du travail car y'a d'autres logiciels indésirables sur ton ordi. Faut toujours faire attention quand on installe un programme, choisir de préférence le site de l'éditeur et décocher les programmes alternatifs qui sont proposés lors de l'installation.
    01 pas net du tout à bannir
    Softonic à bannir

    et j'ai aussi des fichiers (commençant par "~$" qui se sont mis sur mon bureau + des raccourcis (réseau, panneau de config, etc) je peux les supprimer?
    Fait une capture d'écran stp, et envoie la capture sur FEC Upload

    @ toute
    0
  7. allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
     
    Bien le bonsoir,

    c'est fait et de retour pour te donner la suite.

    voici le rapport (j'ai remplacé le nom de l'administrateur par x)

    Malwarebytes Anti-Malware (Essai) 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.01.17.04

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    x :: PC-DE-x [administrateur]

    Protection: Activé

    17/01/2013 15:09:58
    mbam-log-2013-01-17 (15-09-58).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 445027
    Temps écoulé: 2 heure(s), 24 minute(s), 26 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 10
    C:\Pre_Scan_1701_3h32\Quarantine\C'_$Recycle.bin_S-1-5-18_$ff24043d55f85ce9a20a8337d9b4b888.P_S\n (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Pre_Scan_1701_3h32\Quarantine\C'_$Recycle.bin_S-1-5-18_$ff24043d55f85ce9a20a8337d9b4b888.P_S\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Pre_Scan_1701_3h32\Quarantine\C'_$Recycle.bin_S-1-5-21-1614533194-1546092323-3692082063-1000_$ff24043d55f85ce9a20a8337d9b4b888.P_S\n (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\captura.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
    C:\codigo1.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
    C:\codigo2.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
    C:\codigo3.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
    C:\codigo4.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
    C:\error.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\x\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)


    sinon pour les captures les voici : https://forums-fec.be/upload/www/?action=d&id=5891553005
    Pareil tu me dis quand je peux aller sur le lien pour les supprimer ;)

    Pour tout ce qui est logiciels à bannir ^^ je vais m'en occuper, mais je les trouvais pas mal en plus ils sont gratuits. Je peux télécharger quoi en alternative?
    Pour les téléchargements je passe principalement par 01net...

    à quoi correspond "01 pas net du tout" je ne le retrouve pas dans désinstaller un programme (de meme pour softonic)

    Voilà je crois que c'est tout pour l'instant...je vais me lancer au nettoyage de logiciel lol

    Merci pour la rapidité des réponses

    @+
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonsoir,

    Haaaan ce sont des copies de sauvegarde de documents word qui sont sur ton bureau ça :)
    Normalement ils doivent être cachés. Ouais tu peux les supprimer si tu veux :)
    Tu peux supprimer la capture hébergée sur mes serveurs.

    je vais m'en occuper, mais je les trouvais pas mal en plus ils sont gratuits. Je peux télécharger quoi en alternative?
    CCleaner est largement suffisant. C'est que de la poudre au yeux les 2 autres. T'inquiète on y reviendra.

    Pour les téléchargements je passe principalement par 01net...
    à quoi correspond "01 pas net du tout"

    Ben je viens de te le dire ^^
    01net font des contrats douteux avec des sociétés douteuses, en plus ils "repackent" les logiciels gratuit avec leur toolbar moisie ...
    C'est ça que je dis, faut télécharger sur le site de l'éditeur ... ou sur CCM, ici on repacke pas encore les logiciels :-)

    Télécharge sur cette page: AdwCleaner (de Xplode)

    ▶ Lance-le

    clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
    0
  9. allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
     
    ok ca marche! merci pour ces infos ;)
    alors le rapport: https://forums-fec.be/upload/www/?action=d&id=5891553005
    (ca prenait trop de place à l'écran j'ai trouvé ca plus simple de le mettre sur le site d'hébergment) ;)

    Et pour les autres dossiers que j'ai mis en capture?(du disque C) je touche pas j'imagine lol
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Tu m'as remis tes captures là, pas le rapport AdwCleaner ^^

    Oui oui tout ça va disparaitre, t'en fait pas, tout est prévu et programmé :)
    0
  11. allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
     
    Autant pour moi c'est que j'ai copié les 2 derniers liens dans le même bloc note, ça a du se décaler :$
    voilà , je l'ai vérifié c'est ok :
    https://forums-fec.be/upload/www/?action=d&id=2131635677

    ok je touche pas alors lol ;)
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Nickel il a fait de la place :)

    Relance Pre_scan (winlogon) ( vu que MBAM a supprimé celui sur le bureau, prends sa copie dans C:\Pre_Scan\winlogon.exe ) clique sur Diag au menu qui apparait et envoie le rapport sur FEC :)

    On va supprimer les restes avec un script puis je t'enverrais le final :)

    @+
    0
  13. allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
     
    Pre_scan relancé mais j'avais pas "Diag" donc j'ai cliqué dessus ça l'a relancé directement... j'espère que c'est ok

    voici le lien :
    https://forums-fec.be/upload/www/?action=d&id=2267966987
    ca aura pris du temps encore :$

    bientôt le final!!! et mon pc sera parfait (ou presque je suppose)
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ben ...
    Normalement si tu relance pre_scan il doit t'afficher un menu ...
    et il me faudrait ce rapport Pre_Diag pour scripter ^^
    0
  15. g3n-h@ckm@n
     
    bonsoir

    Pre_scan relancé mais j'avais pas "Diag"

    impossible
    0
  16. allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
     
    ah j'ai fais une boulette alors, le rapport envoyé ne sert à rien donc?

    je vais voir ça
    dsl
    0
  17. g3n-h@ckm@n
     
    du moment que tu relances le programme deux fois minimum tu as un menu à moins que tu aies supprimé le dossier Pre_scan qui est dans C'\........

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      oui mais justement :

      C:\Pre_Scan_1701_3h32\Quarantine\C'_$Recycle.bin_S-1-5-18_$ff24043d55f85ce9a20a8337d9b4b888.P_S\n (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.

      ça a merdé là non ? ^^
      0
  18. g3n-h@ckm@n
     
    à moins que tu aies supprimé le dossier Pre_scan

    ou renommé cela-va-de-soi....
    0
  19. allovirus Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
     
    c'est ok, j'ai relancé, et la deuxième fois j'avais ce menu
    voici : https://forums-fec.be/upload/www/?action=d&id=5591947649

    bon courage ^^

    merci encore pour votre aide!!!
    0
  • 1
  • 2