Infection Cheval de Troie : TR/Sirefef.A.61 [Résolu/Fermé]

Signaler
-
Messages postés
5
Date d'inscription
jeudi 17 octobre 2013
Statut
Membre
Dernière intervention
18 octobre 2013
-
Bonjour,

en faisant une mise à jour de Avira, celui-ci m'indique la présence du Cheval de Troie TR/Sirefef.A.61 dans C:\$RECYCLE.BIN, dont il n'arrive apparemment pas à se débarrasser.
J'ai un message d'avertissement quasiment toutes les minutes. J'avais remarqué que mon ordinateur portable était très lent les derniers temps.

Quelqu'un peut-il m'aider pour savoir comment procéder s'il vous plaît?

Merci d'avance pour vos conseils avisés!

Lili

13 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Salut,


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Merci pour ta réponse "éclair"!
Voici le rapport, cependant j'espère que j'ai procédé correctement, en effet après avoir fait le scan puis cliqué sur suppression, RogueKiller m'a fait redémarrer l'ordi. J'ai donc du exécuter à nouveau RogueKiller, et refaire un scan (sans suppression cette fois-ci) pour avoir accès au rapport.


RogueKiller V8.4.3 [Jan 10 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Aurélie [Droits d'admin]
Mode : Recherche -- Date : 17/01/2013 17:49:14

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[48] : NtClose @ 0x829F1A40 -> HOOKED (Unknown @ 0x8B4742F4)
SSDT[75] : NtCreateSection @ 0x829D7893 -> HOOKED (Unknown @ 0x8B4742FE)
SSDT[77] : NtCreateSymbolicLinkObject @ 0x829EFE0F -> HOOKED (Unknown @ 0x8B4742D6)
SSDT[129] : NtDuplicateObject @ 0x829F2157 -> HOOKED (Unknown @ 0x8B4742EF)
SSDT[165] : NtLoadDriver @ 0x8299852A -> HOOKED (Unknown @ 0x8B4742DB)
SSDT[194] : NtOpenProcess @ 0x82A13AA7 -> HOOKED (Unknown @ 0x8B474290)
SSDT[197] : NtOpenSection @ 0x829DA71B -> HOOKED (Unknown @ 0x8B4742D1)
SSDT[201] : NtOpenThread @ 0x82A13E07 -> HOOKED (Unknown @ 0x8B474295)
SSDT[275] : NtRequestWaitReplyPort @ 0x829BE4C4 -> HOOKED (Unknown @ 0x8B474308)
SSDT[293] : NtSetContextThread @ 0x82A1AEBB -> HOOKED (Unknown @ 0x8B474303)
SSDT[318] : NtSetSecurityObject @ 0x829F4694 -> HOOKED (Unknown @ 0x8B47430D)
SSDT[321] : NtSetSystemInformation @ 0x82A82CA3 -> HOOKED (Unknown @ 0x8B4742E0)
SSDT[336] : NtSystemDebugControl @ 0x82A90DD1 -> HOOKED (Unknown @ 0x8B474312)
SSDT[338] : NtTerminateProcess @ 0x82A1B2B3 -> HOOKED (Unknown @ 0x8B47429F)
SSDT[362] : NtWriteVirtualMemory @ 0x829D71AB -> HOOKED (Unknown @ 0x8B47429A)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8B474326)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8B47432B)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1200BEVS-60RST0 ATA Device +++++
--- User ---
[MBR] 0ff21b9cd47cd8eada4f969cbc0d0aae
[BSP] cbde515c894842a820a8afd0baf67c93 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 106728 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 218580390 | Size: 7742 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_S_17012013_174914.txt >>
RKreport[1]_S_17012013_172613.txt ; RKreport[2]_D_17012013_172721.txt ; RKreport[3]_S_17012013_174914.txt
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Faire Suppression.
Voici le rapport après avoir fait Suppression:


RogueKiller V8.4.3 [Jan 10 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Aurélie [Droits d'admin]
Mode : Suppression -- Date : 17/01/2013 17:53:48

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U --> SUPPRIMÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[48] : NtClose @ 0x829F1A40 -> HOOKED (Unknown @ 0x8B4742F4)
SSDT[75] : NtCreateSection @ 0x829D7893 -> HOOKED (Unknown @ 0x8B4742FE)
SSDT[77] : NtCreateSymbolicLinkObject @ 0x829EFE0F -> HOOKED (Unknown @ 0x8B4742D6)
SSDT[129] : NtDuplicateObject @ 0x829F2157 -> HOOKED (Unknown @ 0x8B4742EF)
SSDT[165] : NtLoadDriver @ 0x8299852A -> HOOKED (Unknown @ 0x8B4742DB)
SSDT[194] : NtOpenProcess @ 0x82A13AA7 -> HOOKED (Unknown @ 0x8B474290)
SSDT[197] : NtOpenSection @ 0x829DA71B -> HOOKED (Unknown @ 0x8B4742D1)
SSDT[201] : NtOpenThread @ 0x82A13E07 -> HOOKED (Unknown @ 0x8B474295)
SSDT[275] : NtRequestWaitReplyPort @ 0x829BE4C4 -> HOOKED (Unknown @ 0x8B474308)
SSDT[293] : NtSetContextThread @ 0x82A1AEBB -> HOOKED (Unknown @ 0x8B474303)
SSDT[318] : NtSetSecurityObject @ 0x829F4694 -> HOOKED (Unknown @ 0x8B47430D)
SSDT[321] : NtSetSystemInformation @ 0x82A82CA3 -> HOOKED (Unknown @ 0x8B4742E0)
SSDT[336] : NtSystemDebugControl @ 0x82A90DD1 -> HOOKED (Unknown @ 0x8B474312)
SSDT[338] : NtTerminateProcess @ 0x82A1B2B3 -> HOOKED (Unknown @ 0x8B47429F)
SSDT[362] : NtWriteVirtualMemory @ 0x829D71AB -> HOOKED (Unknown @ 0x8B47429A)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8B474326)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8B47432B)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1200BEVS-60RST0 ATA Device +++++
--- User ---
[MBR] 0ff21b9cd47cd8eada4f969cbc0d0aae
[BSP] cbde515c894842a820a8afd0baf67c93 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 106728 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 218580390 | Size: 7742 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4]_D_17012013_175348.txt >>
RKreport[1]_S_17012013_172613.txt ; RKreport[2]_D_17012013_172721.txt ; RKreport[3]_S_17012013_174914.txt ; RKreport[4]_D_17012013_175348.txt
Bonjour,
mon problème est-il réglé ou reste-t-il des traces d'infection ?
Merci d'avance de m'indiquer comment procéder dans ce cas là!
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Voici les liens des rapports:

http://pjjoint.malekal.com/files.php?id=20130118_u13i6b10f15c6

http://pjjoint.malekal.com/files.php?id=20130118_u15o5r12u5y14

Qu'en est-il ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Tu es en allemagne ?
Car tu as des DNS allemands.

~~

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Oui, je suis en Allemagne. Est-ce que je dois quand même faire la manip avec AdwCleaner du coup ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
oui
Voici le rapport :

# AdwCleaner v2.106 - Rapport créé le 18/01/2013 à 07:58:36
# Mis à jour le 17/01/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
# Nom d'utilisateur : Aurélie - PORTABLE_LYLIA
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Aurélie\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Windows Searchqu Toolbar
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\Users\Aurélie\AppData\LocalLow\searchquband
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\SearchResults.xml
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Fichier Supprimé : C:\Users\AURLIE~1\AppData\Local\Temp\pack.epk
Fichier Supprimé : C:\Users\AURLIE~1\AppData\Local\Temp\Searchqu.ini
Fichier Supprimé : C:\Users\AURLIE~1\AppData\Local\Temp\searchqutoolbar-manifest.xml
Fichier Supprimé : C:\Users\AURLIE~1\AppData\Local\Temp\SetupDataMngr_Searchqu.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Classes\S
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6000.17037

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v18.0 (fr)

Fichier : C:\Users\Aurélie\AppData\Roaming\Mozilla\Firefox\Profiles\clmq9sfr.default\prefs.js

Supprimée : user_pref("browser.search.defaultenginename", "Searchqu Web Search");
Supprimée : user_pref("browser.search.order.1", "Searchqu Web Search");
Supprimée : user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&appid=0&systemid=410&sr=0&q=");

*************************

AdwCleaner[S1].txt - [2958 octets] - [18/01/2013 07:58:36]

########## EOF - C:\AdwCleaner[S1].txt - [3018 octets] ##########
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
well done :)


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Merci beaucoup pour ton aide ! =)

Je vais m'occuper des mis à jour des programmes au plus vite.

Dernière petite question: tu me conseilles quoi entre Avast et Avira comme antivirus? J'ai déjà eu Avast mais je me souviens que je ne pouvais alors pas mettre à jour Firefox parce que celui-ci m'indiquait une incompatibilité avec cet antivirus.

Encore merci !
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Avast.
Messages postés
5
Date d'inscription
jeudi 17 octobre 2013
Statut
Membre
Dernière intervention
18 octobre 2013

bonjour,

Voici mon lien du logiciel OTL que je dois laisser tel qu'indiquer sur tutorial OTL:
https://pjjoint.malekal.com/files.php?id=20131018_l14h7c65x14
Messages postés
5
Date d'inscription
jeudi 17 octobre 2013
Statut
Membre
Dernière intervention
18 octobre 2013