Infection Cheval de Troie : TR/Sirefef.A.61Résolu/Fermé

Question

Bonjour,

en faisant une mise à jour de Avira, celui-ci m'indique la présence du Cheval de Troie TR/Sirefef.A.61 dans C:\$RECYCLE.BIN, dont il n'arrive apparemment pas à se débarrasser. 
J'ai un message d'avertissement quasiment toutes les minutes. J'avais remarqué que mon ordinateur portable était très lent les derniers temps.
 
Quelqu'un peut-il m'aider pour savoir comment procéder s'il vous plaît?

Merci d'avance pour vos conseils avisés!

Lili

Malekal_morte- · Answer

Salut,


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

lilita · Answer

Merci pour ta réponse "éclair"! Voici le rapport, cependant j'espère que j'ai procédé correctement, en effet après avoir fait le scan puis cliqué sur suppression, RogueKiller m'a fait redémarrer l'ordi. J'ai donc du exécuter à nouveau RogueKiller, et refaire un scan (sans suppression cette fois-ci) pour avoir accès au rapport. RogueKiller V8.4.3 [Jan 10 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6000 ) 32 bits version Demarrage : Mode normal Utilisateur : Aurélie [Droits d'admin] Mode : Recherche -- Date : 17/01/2013 17:49:14 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U --> TROUVÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[48] : NtClose @ 0x829F1A40 -> HOOKED (Unknown @ 0x8B4742F4) SSDT[75] : NtCreateSection @ 0x829D7893 -> HOOKED (Unknown @ 0x8B4742FE) SSDT[77] : NtCreateSymbolicLinkObject @ 0x829EFE0F -> HOOKED (Unknown @ 0x8B4742D6) SSDT[129] : NtDuplicateObject @ 0x829F2157 -> HOOKED (Unknown @ 0x8B4742EF) SSDT[165] : NtLoadDriver @ 0x8299852A -> HOOKED (Unknown @ 0x8B4742DB) SSDT[194] : NtOpenProcess @ 0x82A13AA7 -> HOOKED (Unknown @ 0x8B474290) SSDT[197] : NtOpenSection @ 0x829DA71B -> HOOKED (Unknown @ 0x8B4742D1) SSDT[201] : NtOpenThread @ 0x82A13E07 -> HOOKED (Unknown @ 0x8B474295) SSDT[275] : NtRequestWaitReplyPort @ 0x829BE4C4 -> HOOKED (Unknown @ 0x8B474308) SSDT[293] : NtSetContextThread @ 0x82A1AEBB -> HOOKED (Unknown @ 0x8B474303) SSDT[318] : NtSetSecurityObject @ 0x829F4694 -> HOOKED (Unknown @ 0x8B47430D) SSDT[321] : NtSetSystemInformation @ 0x82A82CA3 -> HOOKED (Unknown @ 0x8B4742E0) SSDT[336] : NtSystemDebugControl @ 0x82A90DD1 -> HOOKED (Unknown @ 0x8B474312) SSDT[338] : NtTerminateProcess @ 0x82A1B2B3 -> HOOKED (Unknown @ 0x8B47429F) SSDT[362] : NtWriteVirtualMemory @ 0x829D71AB -> HOOKED (Unknown @ 0x8B47429A) S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8B474326) S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8B47432B) ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1001namen.com 127.0.0.1 1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD1200BEVS-60RST0 ATA Device +++++ --- User --- [MBR] 0ff21b9cd47cd8eada4f969cbc0d0aae [BSP] cbde515c894842a820a8afd0baf67c93 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 106728 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 218580390 | Size: 7742 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3]_S_17012013_174914.txt >> RKreport[1]_S_17012013_172613.txt ; RKreport[2]_D_17012013_172721.txt ; RKreport[3]_S_17012013_174914.txt

Malekal_morte- · Answer

Faire Suppression.

lilita · Answer

Voici le rapport après avoir fait Suppression: RogueKiller V8.4.3 [Jan 10 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6000 ) 32 bits version Demarrage : Mode normal Utilisateur : Aurélie [Droits d'admin] Mode : Suppression -- Date : 17/01/2013 17:53:48 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U --> SUPPRIMÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[48] : NtClose @ 0x829F1A40 -> HOOKED (Unknown @ 0x8B4742F4) SSDT[75] : NtCreateSection @ 0x829D7893 -> HOOKED (Unknown @ 0x8B4742FE) SSDT[77] : NtCreateSymbolicLinkObject @ 0x829EFE0F -> HOOKED (Unknown @ 0x8B4742D6) SSDT[129] : NtDuplicateObject @ 0x829F2157 -> HOOKED (Unknown @ 0x8B4742EF) SSDT[165] : NtLoadDriver @ 0x8299852A -> HOOKED (Unknown @ 0x8B4742DB) SSDT[194] : NtOpenProcess @ 0x82A13AA7 -> HOOKED (Unknown @ 0x8B474290) SSDT[197] : NtOpenSection @ 0x829DA71B -> HOOKED (Unknown @ 0x8B4742D1) SSDT[201] : NtOpenThread @ 0x82A13E07 -> HOOKED (Unknown @ 0x8B474295) SSDT[275] : NtRequestWaitReplyPort @ 0x829BE4C4 -> HOOKED (Unknown @ 0x8B474308) SSDT[293] : NtSetContextThread @ 0x82A1AEBB -> HOOKED (Unknown @ 0x8B474303) SSDT[318] : NtSetSecurityObject @ 0x829F4694 -> HOOKED (Unknown @ 0x8B47430D) SSDT[321] : NtSetSystemInformation @ 0x82A82CA3 -> HOOKED (Unknown @ 0x8B4742E0) SSDT[336] : NtSystemDebugControl @ 0x82A90DD1 -> HOOKED (Unknown @ 0x8B474312) SSDT[338] : NtTerminateProcess @ 0x82A1B2B3 -> HOOKED (Unknown @ 0x8B47429F) SSDT[362] : NtWriteVirtualMemory @ 0x829D71AB -> HOOKED (Unknown @ 0x8B47429A) S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8B474326) S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8B47432B) ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1001namen.com 127.0.0.1 1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD1200BEVS-60RST0 ATA Device +++++ --- User --- [MBR] 0ff21b9cd47cd8eada4f969cbc0d0aae [BSP] cbde515c894842a820a8afd0baf67c93 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 106728 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 218580390 | Size: 7742 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[4]_D_17012013_175348.txt >> RKreport[1]_S_17012013_172613.txt ; RKreport[2]_D_17012013_172721.txt ; RKreport[3]_S_17012013_174914.txt ; RKreport[4]_D_17012013_175348.txt

lilita · Answer

Bonjour,
mon problème est-il réglé ou reste-t-il des traces d'infection ?
Merci d'avance de m'indiquer comment procéder dans ce cas là!

Malekal_morte- · Answer

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

lilita · Answer

Voici les liens des rapports:

http://pjjoint.malekal.com/files.php?id=20130118_u13i6b10f15c6

http://pjjoint.malekal.com/files.php?id=20130118_u15o5r12u5y14

Qu'en est-il ?

Malekal_morte- · Answer

Tu es en allemagne ?
Car tu as des DNS allemands.

~~

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

lilita · Answer

Oui, je suis en Allemagne. Est-ce que je dois quand même faire la manip avec AdwCleaner du coup ?

lilita · Answer

Voici le rapport :

# AdwCleaner v2.106 - Rapport créé le 18/01/2013 à 07:58:36
# Mis à jour le 17/01/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium  (32 bits)
# Nom d'utilisateur : Aurélie - PORTABLE_LYLIA
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Aurélie\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Windows Searchqu Toolbar
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\Users\Aurélie\AppData\LocalLow\searchquband
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\SearchResults.xml
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Fichier Supprimé : C:\Users\AURLIE~1\AppData\Local\Temp\pack.epk
Fichier Supprimé : C:\Users\AURLIE~1\AppData\Local\Temp\Searchqu.ini
Fichier Supprimé : C:\Users\AURLIE~1\AppData\Local\Temp\searchqutoolbar-manifest.xml
Fichier Supprimé : C:\Users\AURLIE~1\AppData\Local\Temp\SetupDataMngr_Searchqu.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Classes\S
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Navigateurs] *****

-\ Internet Explorer v7.0.6000.17037

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v18.0 (fr)

Fichier : C:\Users\Aurélie\AppData\Roaming\Mozilla\Firefox\Profiles\clmq9sfr.default\prefs.js

Supprimée : user_pref("browser.search.defaultenginename", "Searchqu Web Search");
Supprimée : user_pref("browser.search.order.1", "Searchqu Web Search");
Supprimée : user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&appid=0&systemid=410&sr=0&q=");

*************************

AdwCleaner[S1].txt - [2958 octets] - [18/01/2013 07:58:36]

########## EOF - C:\AdwCleaner[S1].txt - [3018 octets] ##########

Malekal_morte- · Answer

well done :)


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

lilita · Answer

Merci beaucoup pour ton aide !  =)

Je vais m'occuper des mis à jour des programmes au plus vite.

Dernière petite question: tu me conseilles quoi entre Avast et Avira comme antivirus? J'ai déjà eu Avast mais je me souviens que je ne pouvais alors pas mettre à jour Firefox parce que celui-ci m'indiquait une incompatibilité avec cet antivirus. 

Encore merci !

philou1282 · Answer

bonjour,

Voici mon lien du logiciel OTL que je dois laisser tel qu'indiquer sur tutorial OTL:
 https://pjjoint.malekal.com/files.php?id=20131018_l14h7c65x14

Infection Cheval de Troie : TR/Sirefef.A.61

13 réponses

Discussions similaires

Newsletters