Trojan Win32:Sirefef-ZT

Résolu
victor75011 -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour à tous !

D'après mon antivirus Avast, mon fichier services.exe est infecté par la virus "Win32:Sirefef-ZT [Tjr]".
Je ne sais pas comment faire pour désinfecter ce fichier et après une journée de recherche sur internet, j'ai l'impression que personne ne sait vraiment trop comment faire ?
Auriez vous une idée ?

Merci d'avance :)

25 réponses

  • 1
  • 2
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Fais un scan avec RogueKiller et poste le rapport.

    https://www.commentcamarche.net/faq/30719-utiliser-roguekiller
    1
  2. victor75011
     
    Merci pour ta réponse rapide !

    Voici le rapport :

    RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : victor [Droits d'admin]
    Mode : Recherche -- Date : 09/05/2013 19:31:52
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : SearchProtection (C:\ProgramData\Search Protection\_run.bat) [x] -> TROUVÉ
    [TASK][SUSP PATH] RVLKL : C:\ProgramData\rvlkl\rvlkl.exe /b [x] -> TROUVÉ
    [STARTUP][SUSP PATH] rvlkl.lnk @Common : C:\ProgramData\rvlkl\rvlkl.exe [x] -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] @ : C:\Windows\Installer\{9ddd1c62-2490-c7a9-6c21-d14aa822b821}\@ [-] --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\Windows\Installer\{9ddd1c62-2490-c7a9-6c21-d14aa822b821}\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Windows\Installer\{9ddd1c62-2490-c7a9-6c21-d14aa822b821}\L --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
    [Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    127.0.0.1 192.150.14.69
    127.0.0.1 192.150.18.101
    127.0.0.1 192.150.18.108
    127.0.0.1 192.150.22.40
    127.0.0.1 192.150.8.100
    127.0.0.1 192.150.8.118
    127.0.0.1 209-34-83-73.ood.opsource.net
    127.0.0.1 3dns-1.adobe.com
    127.0.0.1 3dns-2.adobe.com
    127.0.0.1 3dns-3.adobe.com
    127.0.0.1 3dns-4.adobe.com
    127.0.0.1 3dns.adobe.com
    127.0.0.1 activate-sea.adobe.com
    127.0.0.1 activate-sjc0.adobe.com
    127.0.0.1 activate.adobe.com
    127.0.0.1 activate.wip.adobe.com
    127.0.0.1 activate.wip1.adobe.com
    127.0.0.1 activate.wip2.adobe.com
    127.0.0.1 activate.wip3.adobe.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9500325AS +++++
    --- User ---
    [MBR] 4b7d1120896272656a55ca64a8646ea7
    [BSP] 889582c84bd01a693324a98de83a4528 : Linux MBR Code
    Partition table:
    0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 101 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 212992 | Size: 20000 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 41172992 | Size: 400543 Mo
    3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 861487102 | Size: 56291 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_09052013_193152.txt >>
    RKreport[1]_S_09052013_193152.txt
    0
  3. victor75011
     
    Je viens d'utiliser la fonction "supprimer" de Rogue Killer j'ai bien l'impression que ce sale cheval de troie est parti ! : avast considère services.exe comme "propre" maintenant. Dois-je lui faire confiance ?
    Merci infiniment !
    0
  4. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu peux et à RogueKiller également.

    --> Télécharge ZHPDiag (de Nicolas Coolman).

    --> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

    --> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

    --> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

    --> Une fois le scan terminé, un rapport est créé sur le Bureau.

    --> Utilise le site http://pjjoint.malekal.com/ pour me transmettre le rapport ZHPDiag car il est plutôt long. Copie-colle le lien donné par le site dans ton prochain message.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. victor75011
     
    Voilà le rapport :
    (Merci encore pour ton aide !!)

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130509_g1410o15n10x5
    0
  7. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Suppression" et poste le rapport.
    0
  8. victor75011
     
    Et ben, mon ordi a pas l'air tout propre ...

    # AdwCleaner v2.300 - Rapport créé le 09/05/2013 à 20:57:36
    # Mis à jour le 28/04/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : victor - VICTOR-PC
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\victor\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    Arrêté & Supprimé : dqupdate
    Arrêté & Supprimé : dqupdatem

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\Duuqu
    Dossier Supprimé : C:\Program Files (x86)\FrameFox
    Dossier Supprimé : C:\ProgramData\rvlkl
    Dossier Supprimé : C:\ProgramData\search protection
    Dossier Supprimé : C:\ProgramData\Tarma Installer
    Dossier Supprimé : C:\Users\victor\AppData\Local\Duuqu
    Dossier Supprimé : C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiofjbkodmcfkhmljgdmjcildliojoli
    Dossier Supprimé : C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc
    Dossier Supprimé : C:\Users\victor\AppData\Roaming\dvdvideosoftiehelpers
    Dossier Supprimé : C:\Users\victor\AppData\Roaming\Mozilla\Firefox\Profiles\yj9lsxti.default\jetpack
    Dossier Supprimé : C:\Users\victor\AppData\Roaming\OpenCandy
    Dossier Supprimé : C:\Users\victor\AppData\Roaming\pdfforge
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\adawaretb.xml
    Fichier Supprimé : C:\Windows\Tasks\DuuquUpdateTaskMachineCore.job
    Fichier Supprimé : C:\Windows\Tasks\DuuquUpdateTaskMachineUA.job

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.duuqu.com/omaha/tools//Duuqu Update;version=3
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.duuqu.com/omaha/tools//Duuqu Update;version=9
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [FrameFox Extensions]
    Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{acaa314b-eeba-48e4-ad47-84e31c44796c}]
    Valeur Supprimée : HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist [1]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16476

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v20.0.1 (fr)

    Fichier : C:\Users\victor\AppData\Roaming\Mozilla\Firefox\Profiles\yj9lsxti.default\prefs.js

    C:\Users\victor\AppData\Roaming\Mozilla\Firefox\Profiles\yj9lsxti.default\user.js ... Supprimé !

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v26.0.1410.43

    Fichier : C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [3126 octets] - [09/05/2013 20:57:36]

    ########## EOF - C:\AdwCleaner[S1].txt - [3186 octets] ##########
    0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Relance AdwCleaner et choisis "Désinstaller".

    --> Je voudrais un nouveau rapport ZHPDiag.
    0
  10. victor75011
     
    Désolé pour la réponse tardive, voilà le rapport :

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130510_n6g8g9p15f8
    0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu te sers de "QTTabBar" ?
    0
  12. victor75011
     
    Je l'avais installé comme ça mais je ne m'en suis jamais servi pourquoi ? Il pose problème ?
    0
  13. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    S'il te pose problème, désinstalle-le.

    --> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").

    SysRestore
    G0 - GCSP: Preference [User Data\Default] ore_on_startup": ["http://securesearch.lavasoft.com
    G0 - GCSP: Preference [User Data\Default] tore_on_startup": ["http://securesearch.lavasoft.com
    R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://securesearch.lavasoft.com
    OPT:O4 - HKCU\..\Run: [ISUSPM Startup] C:\Program Files (x86)\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe (.not file.)
    OPT:O4 - HKLM\..\Wow6432Node\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
    OPT:O4 - HKUS\S-1-5-21-1584796620-3557977501-3236082489-1001\..\Run: [ISUSPM Startup] C:\Program Files (x86)\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe (.not file.)
    [HKCU\Software\Duuqu]
    [HKLM\Software\Wow6432Node\Duuqu]
    [HKCU\Software\Reimage]
    [HKLM\Software\Boxore]
    [HKLM\Software\Reimage]
    O44 - LFC:[MD5.3966F035DD5870F59086C9058FCD3534] - 09/05/2013 - 13:46:11 ---A- . (...) -- C:\Windows\Reimage.ini [162]
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
    C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc
    C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiofjbkodmcfkhmljgdmjcildliojoli
    O43 - CFD: 05/04/2013 - 01:46:41 - [0,001] --H-D C:\Users\victor\AppData\Local\GlWhP8seL
    O42 - Logiciel: FrameFox Extensions 1.0.2.0 - (.QwertyBox Team.) [HKLM][64Bits] -- {A1D62CC4-1453-4245-9C6E-E9E8EF0B620C}
    HOSTFix
    EmptyCLSID
    EmptyFlash
    EmptyTemp


    --> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

    --> Clique sur le bouton "Coller le presse-papier".

    --> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    --> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

    --> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

    --> Une fois terminé, copie-colle le rapport dans ton prochain message.
    0
  14. victor75011
     
    Merci encore pour ton aide, c'est vraiment sympa de ta part !

    Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-10-05-2013-20-27-10.txt
    Run by victor at 10/05/2013 20:27:09
    High Elevated Privileges : OK
    Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

    Corbeille vidée

    ========== Logiciel(s) ==========
    ABSENT Software Key: {A1D62CC4-1453-4245-9C6E-E9E8EF0B620C}

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKCU\Software\Duuqu
    SUPPRIME Key: HKLM\Software\Wow6432Node\Duuqu
    SUPPRIME Key: HKCU\Software\Reimage
    SUPPRIME Key*: HKLM\Software\Boxore
    SUPPRIME Key*: HKLM\Software\Reimage
    SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS
    SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: ISUSPM Startup
    SUPPRIME RunValue: ISUSScheduler
    ABSENT RunValue: ISUSPM Startup
    ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

    ========== Préférences navigateur ==========
    PRESENT Chrome File: C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Preferences
    ABSENT Chrome Site: ore_on_startup": ["http://securesearch.lavasoft.com
    PRESENT Chrome File: C:\Users\victor\AppData\Local\Google\Chrome\User Data\Default\Preferences
    ABSENT Chrome Site: tore_on_startup": ["http://securesearch.lavasoft.com

    ========== Dossier(s) ==========
    Aucun dossiers CLSID Local utilisateur vide
    SUPPRIME Flash Cookies
    SUPPRIME Temporaires Windows

    ========== Fichier(s) ==========
    SUPPRIME File: c:\windows\reimage.ini
    SUPPRIME Flash Cookies
    SUPPRIME Temporaires Windows

    ========== Fichier HOSTS ==========
    Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    7 : Clé(s) du Registre
    4 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    3 : Dossier(s)
    3 : Fichier(s)
    1 : Logiciel(s)
    4 : Préférences navigateur
    1 : Fichier HOSTS
    1 : Restauration Système

    End of clean in 00mn 21s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 10/05/2013 20:27:10 [2272]
    0
  15. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Plus de souci ?

    Restaure ton fichier Hosts à son état d'origine :
    https://www.commentcamarche.net/faq/5993-modifier-son-fichier-hosts#restaurer-le-fichier-hosts-a-son-etat-d-origine

    Puis refais un rapport ZHPDiag.
    0
  16. victor75011
     
    Il a l'air pas trop mal mon ordi là ? :)

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130510_v15d7k12u7i8
    0
  17. victor75011
     
    Enfin j'ai toujours un problème, je ne peux pas/plus lancer le pare-feu windows, je ne sais pas si cela a un rapport.
    0
  18. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Que se passe-t-il quand tu essaies de le lancer ?
    0
  19. victor75011
     
    Si j'essaie de le lancer à partir de services.msc, une boite de dialogue me dit :
    "Windows n'a pas pu démarrer le service Pare-feu Windows sur Ordinateur local.
    Erreur 1068 : Le service ou le groupe de dépendance n'a pas pu démarrer."

    Et lorsque je vais dans le panneau de configuration dans la section pare-feu et que je clique sur "Utiliser les paramètres recommandés", il me dit :
    "Le Pare-feu windows ne peut pas modifier certains de vos paramètres.
    Code d'erreur 0x8007042c".

    J'ai essayé de suivre les aides de windows au sujet de ce code d'erreur mais rien n'y fait ...
    0
  20. victor75011
     
    Yeees, le pare-feu remarche grâce à toi ! Et ben, j'imaginais pas que c'était possible de se faire aussi bien aider par l 'intermédiaire d'un forum. Pour la 1000ème fois, merci énormément.
    Je te laisse regarder le rapport de Combofix au cas où :

    http://pjjoint.malekal.com/files.php?id=20130510_d7u11q15r12i13
    0
  • 1
  • 2