Trojan Win32:Sirefef-ZT

[Résolu/Fermé]
Signaler
-
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
-
Bonjour à tous !

D'après mon antivirus Avast, mon fichier services.exe est infecté par la virus "Win32:Sirefef-ZT [Tjr]".
Je ne sais pas comment faire pour désinfecter ce fichier et après une journée de recherche sur internet, j'ai l'impression que personne ne sait vraiment trop comment faire ?
Auriez vous une idée ?

Merci d'avance :)

25 réponses

Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 206
Bonjour,

--> Fais un scan avec RogueKiller et poste le rapport.

https://www.commentcamarche.net/faq/30719-utiliser-roguekiller
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41713 internautes nous ont dit merci ce mois-ci

Merci pour ta réponse rapide !

Voici le rapport :

RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : victor [Droits d'admin]
Mode : Recherche -- Date : 09/05/2013 19:31:52
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : SearchProtection (C:\ProgramData\Search Protection\_run.bat) [x] -> TROUVÉ
[TASK][SUSP PATH] RVLKL : C:\ProgramData\rvlkl\rvlkl.exe /b [x] -> TROUVÉ
[STARTUP][SUSP PATH] rvlkl.lnk @Common : C:\ProgramData\rvlkl\rvlkl.exe [x] -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{9ddd1c62-2490-c7a9-6c21-d14aa822b821}\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{9ddd1c62-2490-c7a9-6c21-d14aa822b821}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{9ddd1c62-2490-c7a9-6c21-d14aa822b821}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1 192.150.14.69
127.0.0.1 192.150.18.101
127.0.0.1 192.150.18.108
127.0.0.1 192.150.22.40
127.0.0.1 192.150.8.100
127.0.0.1 192.150.8.118
127.0.0.1 209-34-83-73.ood.opsource.net
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 3dns.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 4b7d1120896272656a55ca64a8646ea7
[BSP] 889582c84bd01a693324a98de83a4528 : Linux MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 101 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 212992 | Size: 20000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 41172992 | Size: 400543 Mo
3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 861487102 | Size: 56291 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_09052013_193152.txt >>
RKreport[1]_S_09052013_193152.txt
Je viens d'utiliser la fonction "supprimer" de Rogue Killer j'ai bien l'impression que ce sale cheval de troie est parti ! : avast considère services.exe comme "propre" maintenant. Dois-je lui faire confiance ?
Merci infiniment !
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 206
Tu peux et à RogueKiller également.

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, un rapport est créé sur le Bureau.

--> Utilise le site http://pjjoint.malekal.com/ pour me transmettre le rapport ZHPDiag car il est plutôt long. Copie-colle le lien donné par le site dans ton prochain message.
Voilà le rapport :
(Merci encore pour ton aide !!)

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130509_g1410o15n10x5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 206
--> Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Suppression" et poste le rapport.
Et ben, mon ordi a pas l'air tout propre ...

# AdwCleaner v2.300 - Rapport créé le 09/05/2013 à 20:57:36
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : victor - VICTOR-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\victor\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : dqupdate
Arrêté & Supprimé : dqupdatem

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Duuqu
Dossier Supprimé : C:\Program Files (x86)\FrameFox
Dossier Supprimé : C:\ProgramData\rvlkl
Dossier Supprimé : C:\ProgramData\search protection
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\victor\AppData\Local\Duuqu
Dossier Supprimé : C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiofjbkodmcfkhmljgdmjcildliojoli
Dossier Supprimé : C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc
Dossier Supprimé : C:\Users\victor\AppData\Roaming\dvdvideosoftiehelpers
Dossier Supprimé : C:\Users\victor\AppData\Roaming\Mozilla\Firefox\Profiles\yj9lsxti.default\jetpack
Dossier Supprimé : C:\Users\victor\AppData\Roaming\OpenCandy
Dossier Supprimé : C:\Users\victor\AppData\Roaming\pdfforge
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\adawaretb.xml
Fichier Supprimé : C:\Windows\Tasks\DuuquUpdateTaskMachineCore.job
Fichier Supprimé : C:\Windows\Tasks\DuuquUpdateTaskMachineUA.job

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.duuqu.com/omaha/tools//Duuqu Update;version=3
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.duuqu.com/omaha/tools//Duuqu Update;version=9
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [FrameFox Extensions]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{acaa314b-eeba-48e4-ad47-84e31c44796c}]
Valeur Supprimée : HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist [1]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16476

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v20.0.1 (fr)

Fichier : C:\Users\victor\AppData\Roaming\Mozilla\Firefox\Profiles\yj9lsxti.default\prefs.js

C:\Users\victor\AppData\Roaming\Mozilla\Firefox\Profiles\yj9lsxti.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v26.0.1410.43

Fichier : C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [3126 octets] - [09/05/2013 20:57:36]

########## EOF - C:\AdwCleaner[S1].txt - [3186 octets] ##########
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 206
--> Relance AdwCleaner et choisis "Désinstaller".

--> Je voudrais un nouveau rapport ZHPDiag.

Désolé pour la réponse tardive, voilà le rapport :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130510_n6g8g9p15f8
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 206
Tu te sers de "QTTabBar" ?

Je l'avais installé comme ça mais je ne m'en suis jamais servi pourquoi ? Il pose problème ?
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 206
S'il te pose problème, désinstalle-le.

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
G0 - GCSP: Preference [User Data\Default] ore_on_startup": ["http://securesearch.lavasoft.com
G0 - GCSP: Preference [User Data\Default] tore_on_startup": ["http://securesearch.lavasoft.com
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://securesearch.lavasoft.com
OPT:O4 - HKCU\..\Run: [ISUSPM Startup] C:\Program Files (x86)\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe (.not file.)
OPT:O4 - HKLM\..\Wow6432Node\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
OPT:O4 - HKUS\S-1-5-21-1584796620-3557977501-3236082489-1001\..\Run: [ISUSPM Startup] C:\Program Files (x86)\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe (.not file.)
[HKCU\Software\Duuqu]
[HKLM\Software\Wow6432Node\Duuqu]
[HKCU\Software\Reimage]
[HKLM\Software\Boxore]
[HKLM\Software\Reimage]
O44 - LFC:[MD5.3966F035DD5870F59086C9058FCD3534] - 09/05/2013 - 13:46:11 ---A- . (...) -- C:\Windows\Reimage.ini [162]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc
C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiofjbkodmcfkhmljgdmjcildliojoli
O43 - CFD: 05/04/2013 - 01:46:41 - [0,001] --H-D C:\Users\victor\AppData\Local\GlWhP8seL
O42 - Logiciel: FrameFox Extensions 1.0.2.0 - (.QwertyBox Team.) [HKLM][64Bits] -- {A1D62CC4-1453-4245-9C6E-E9E8EF0B620C}
HOSTFix
EmptyCLSID
EmptyFlash
EmptyTemp



--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton "Coller le presse-papier".

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

Merci encore pour ton aide, c'est vraiment sympa de ta part !

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-10-05-2013-20-27-10.txt
Run by victor at 10/05/2013 20:27:09
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Logiciel(s) ==========
ABSENT Software Key: {A1D62CC4-1453-4245-9C6E-E9E8EF0B620C}

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Duuqu
SUPPRIME Key: HKLM\Software\Wow6432Node\Duuqu
SUPPRIME Key: HKCU\Software\Reimage
SUPPRIME Key*: HKLM\Software\Boxore
SUPPRIME Key*: HKLM\Software\Reimage
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: ISUSPM Startup
SUPPRIME RunValue: ISUSScheduler
ABSENT RunValue: ISUSPM Startup
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

========== Elément(s) de donnée du Registre ==========
SUPPRIME R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: ore_on_startup": ["http://securesearch.lavasoft.com
PRESENT Chrome File: C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: tore_on_startup": ["http://securesearch.lavasoft.com

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
SUPPRIME File: c:\windows\reimage.ini
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichier HOSTS ==========
Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
7 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Dossier(s)
3 : Fichier(s)
1 : Logiciel(s)
4 : Préférences navigateur
1 : Fichier HOSTS
1 : Restauration Système


End of clean in 00mn 21s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 10/05/2013 20:27:10 [2272]
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 206
Plus de souci ?

Restaure ton fichier Hosts à son état d'origine :
https://www.commentcamarche.net/faq/5993-modifier-son-fichier-hosts#restaurer-le-fichier-hosts-a-son-etat-d-origine

Puis refais un rapport ZHPDiag.

Il a l'air pas trop mal mon ordi là ? :)

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130510_v15d7k12u7i8

Enfin j'ai toujours un problème, je ne peux pas/plus lancer le pare-feu windows, je ne sais pas si cela a un rapport.
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 206
Que se passe-t-il quand tu essaies de le lancer ?

Si j'essaie de le lancer à partir de services.msc, une boite de dialogue me dit :
"Windows n'a pas pu démarrer le service Pare-feu Windows sur Ordinateur local.
Erreur 1068 : Le service ou le groupe de dépendance n'a pas pu démarrer."

Et lorsque je vais dans le panneau de configuration dans la section pare-feu et que je clique sur "Utiliser les paramètres recommandés", il me dit :
"Le Pare-feu windows ne peut pas modifier certains de vos paramètres.
Code d'erreur 0x8007042c".

J'ai essayé de suivre les aides de windows au sujet de ce code d'erreur mais rien n'y fait ...
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 206
--> Utilise ComboFix et poste le rapport.

Un guide et un tutoriel sur l'utilisation de ComboFix

Yeees, le pare-feu remarche grâce à toi ! Et ben, j'imaginais pas que c'était possible de se faire aussi bien aider par l 'intermédiaire d'un forum. Pour la 1000ème fois, merci énormément.
Je te laisse regarder le rapport de Combofix au cas où :

http://pjjoint.malekal.com/files.php?id=20130510_d7u11q15r12i13