Bonjour, Je viens demander de l'aide suite à une probable infection de Sirefef detecté par Chrome et Avast. En naviguant sur les forum, j'ai essayé d'utiliser le logiciel RogueKiller. Il a trouvé des données que j'au supprimé, voici ce qui semble être le rapport : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Thibaut Cambon [Droits d'admin] Mode : Suppression -- Date : 13/05/2013 20:19:33 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] MusicManager.exe -- C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe [-] -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 6 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ [RUN][SUSP PATH] HKUS\S-1-5-21-1526602329-3622394769-2401582177-1000[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB51983$ >> \systemroot\system32\config --> SUPPRIMÉ [Del.Parent][FILE] 1739758770 : C:\Windows\$NtUninstallKB51983$\1739758770 [-] --> SUPPRIMÉ [Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB51983$\71159602\@ [-] --> SUPPRIMÉ [Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB51983$\71159602\Desktop.ini [-] --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\L\00000004.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 201d3dde : C:\Windows\$NtUninstallKB51983$\71159602\L\201d3dde [-] --> SUPPRIMÉ [Del.Parent][FILE] 76603ac3 : C:\Windows\$NtUninstallKB51983$\71159602\L\76603ac3 [-] --> SUPPRIMÉ [Del.Parent][FILE] xadqgnnk : C:\Windows\$NtUninstallKB51983$\71159602\L\xadqgnnk [-] --> SUPPRIMÉ [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\L --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000004.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 00000008.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000008.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 000000cb.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\000000cb.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000000.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000032.@ [-] --> SUPPRIMÉ [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\U --> SUPPRIMÉ [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602 --> SUPPRIMÉ AU REBOOT [ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$ --> SUPPRIMÉ AU REBOOT [Faked.Drv][FILE] csc.sys : C:\Windows\system32\drivers\csc.sys [-] --> IMPOSSIBLE DE REPARER ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: FUJITSU MHX2300BT ATA Device +++++ --- User --- [MBR] c82d8438ba2479c2c513966a99dfc176 [BSP] 3f5889865b7e80f15b9509b049480514 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 11125 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 22786048 | Size: 275042 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: PIXIKA USB Flash Drive USB Device +++++ --- User --- [MBR] 334f879b7b3c18a4590f5dab9fe2b3ea [BSP] 25f3024595f3b7dfbbc81cdc98cec57c : Empty MBR Code Partition table: 0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1007 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_13052013_201933.txt >> RKreport[1]_S_13052013_201657.txt ; RKreport[2]_D_13052013_201933.txt Maintenant, Chrome et Avast ne detectent plus rien. Par contre, je ne peux plus télécharger de fichier (problème analyse antivirus) et je ne peux plus activer le pare feu windows (erreur : 0x80070424). Que faire ? Merci de votre aide Configuration: Windows 7 / Chrome 26.0.1410.64

Sirefef

Réponse 41 / 108

Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention 10 324

https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/#sous-vista-7

Réponse 42 / 108

leozz

Le soucis c'est que je télécharge via une tablette, pas un PC.

Réponse 43 / 108

Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention 10 324

Tu changes l'extension sur le PC pas sur la tablette.

Réponse 44 / 108

leozz

Oui, mais une fois Combofix sur ma clé USB, et que je branche la clé au PC, le fichier Combofix fait 0 Ko... meme en changeant l'extension, ça ne marche pas.

Réponse 45 / 108

Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention 10 324

Tu ne peux pas télécharger ComboFix chez un pote, un voisin ?

Réponse 46 / 108

leozz

Là, non :-/

Réponse 47 / 108

leozz

Le virus se propage par la clé USB ?

Réponse 48 / 108

Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention 10 324

http://dl.free.fr/getfile.pl?file=/3SqJE8c1

Mot de passe pour l'extraction : leozz

Réponse 49 / 108

leozz

Merci, maos j'ai pas flash sur tablette pour recopier le code de Free.

Peux tu me l'envoyer par mail : leozz.th gmail.com

Réponse 50 / 108

Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention 10 324

Tu es sûr du mail ? (en ajoutant le @ au milieu)

Réponse 51 / 108

leozz

Heu, ouais :

leozz.th gmail.com

Réponse 52 / 108

Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention 10 324

Je t'ai envoyé ComboFix sans l'extension .exe.

Réponse 53 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

t'aurais du lui envoyer en .scr ^^

Réponse 54 / 108

leozz

Hé oui, il me le faudrait en .scr pour que je le récupère sur ma tablette puis transfert via clé USB sur PC

Réponse 55 / 108

Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention 10 324

Que ce soit avec .exe ou .scr à la fin, Outlook n'en veut pas ^^

Tu ne peux pas le télécharger avec ta tablette sans extension, le transférer sur ton PC, lui remettre son extension et le lancer ?

Réponse 56 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

essaie ce lien ?

http://www.archive-host.com

Réponse 57 / 108

leozz

Je désespère ...

J'arrive à télécharger sur ma tablette mais ça me fait le même probleme -> fichier à 0Ko...

En fait, je viens de me rendre compte que lorsque je mets le fichier sur clé usb, je débranche la clé de la tablette, puis la rebranche, le fichier se retrouve à 0Ko.

Réponse 58 / 108

g3n-h@ckm@n Messages postés 14350 Statut Membre 948

si ca se trouve la tablette est infectée aussi....elle fonctionne sous windows ?

Réponse 59 / 108

Destrio5 Messages postés 99820 Date d'inscription Statut Modérateur Dernière intervention 10 324

Tu ne débranches pas ta clé USB trop tôt ?

Ou peut-être qu'il y a un endroit sur la tablette pour déconnecter "logiciellement" la clé avant de la débrancher ?

Réponse 60 / 108

leozz

Elle est sous Android

Sirefef - Page 3

Newsletters