Sirefef / ZeroAccess - Trojan

Fermé
micka_81 Messages postés 6 Date d'inscription mardi 25 juin 2013 Statut Membre Dernière intervention 25 juin 2013 - Modifié par Malekal_morte- le 25/06/2013 à 14:46
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 25 juin 2013 à 15:27
Bonjour,
tous est dans le titre ou presque, mon logiciel antivirus "Avira" me dit tous le temps que j'ai des virus ca varie des fois c'est 2 ca peut passer de 5 virus, je ne peut plus télécharger des fichiers ou logiciels sur internet car on me dit que le fichier contient un virus et a était supprimer, ca m'énerve je l'ai place en quarantaine mais j'ai toujours autant de notification par la protection en temps réel de Avira,
aidez-moi s'il vous plait. Urgent !!!

Le Rapport de ZHPDiag :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130625_j15n11u5k10s8

dit moi ce que je dois faire, je prend tous les opportunité pour rendre clean mon ordi.



A voir également:

9 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 25/06/2013 à 14:45
Salut,

Infection ZeroAccess / Sirefef.

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
micka_81 Messages postés 6 Date d'inscription mardi 25 juin 2013 Statut Membre Dernière intervention 25 juin 2013
25 juin 2013 à 14:46
merci j'essaie tous de suite
0
micka_81 Messages postés 6 Date d'inscription mardi 25 juin 2013 Statut Membre Dernière intervention 25 juin 2013
25 juin 2013 à 14:52
le virus le plus courant c'est HEUR/Modified.systeme files
Objet : Services.exe
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
25 juin 2013 à 14:58
oui ZeroAccess...

Donc faire RogueKiller.
0
micka_81 Messages postés 6 Date d'inscription mardi 25 juin 2013 Statut Membre Dernière intervention 25 juin 2013
25 juin 2013 à 15:06
RogueKiller V8.6.1 [Jun 24 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Mickael [Droits d'admin]
Mode : Recherche -- Date : 06/25/2013 14:52:55
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 6 ¤¤¤
[DLL] rundll32.exe -- C:\Users\Mickael\AppData\Local\niloper.dll [-] -> TUÉ [TermProc]
[DLL] rundll32.exe -- C:\Users\Mickael\AppData\Local\niloper.dll [-] -> TUÉ [TermProc]
[SUSP PATH] pokki.exe -- C:\Users\Mickael\AppData\Local\Pokki\Engine\pokki.exe [7] -> TUÉ [TermProc]
[SUSP PATH] pokki.exe -- C:\Users\Mickael\AppData\Local\Pokki\Engine\pokki.exe [7] -> TUÉ [TermThr]
[SUSP PATH] pokki.exe -- C:\Users\Mickael\AppData\Local\Pokki\Engine\pokki.exe [7] -> TUÉ [TermThr]
[SUSP PATH] pokki.exe -- C:\Users\Mickael\AppData\Local\Pokki\Engine\pokki.exe [7] -> TUÉ [TermThr]

¤¤¤ Entrees de registre : 17 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Pokki (C:\Windows\system32\rundll32.exe "%LOCALAPPDATA%\Pokki\Engine\LaunchDeskband.dll",RunLaunchDeskband [7][7][x]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : niloper (rundll32 "C:\Users\Mickael\AppData\Local\niloper.dll",niloper [x][-][x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2417075316-1580312587-3670069233-1001\[...]\Run : Pokki (C:\Windows\system32\rundll32.exe "%LOCALAPPDATA%\Pokki\Engine\LaunchDeskband.dll",RunLaunchDeskband [7][7][x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2417075316-1580312587-3670069233-1001\[...]\Run : niloper (rundll32 "C:\Users\Mickael\AppData\Local\niloper.dll",niloper [x][-][x]) -> TROUVÉ
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (10.0.32.15:8080) -> TROUVÉ
[HJ POL] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL] HKCU\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ POL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ POL] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ POL] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ POL] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ SECU] HKLM\[...]\Wow6432Node\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ SECU] HKLM\[...]\Wow6432Node\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Fichier] @ : C:\Windows\Installer\{1b2412e6-2c3b-1d04-9a57-484a29e91f20}\@ [-] --> TROUVÉ
[ZeroAccess][Repertoire] U : C:\Windows\Installer\{1b2412e6-2c3b-1d04-9a57-484a29e91f20}\U [-] --> TROUVÉ
[ZeroAccess][Repertoire] L : C:\Windows\Installer\{1b2412e6-2c3b-1d04-9a57-484a29e91f20}\L [-] --> TROUVÉ
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Windows Defender\MpCommu.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[Aslr|ZeroAccess][Fichier] services.exe : C:\Windows\System32\services.exe [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9640320AS +++++
--- User ---
[MBR] b37393cf69097f3ec28b7cc1cf91127a
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353527808 | Size: 437858 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_06252013_145255.txt >>
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
25 juin 2013 à 15:07
Faire suppression... et donne le rapport.
0
micka_81 Messages postés 6 Date d'inscription mardi 25 juin 2013 Statut Membre Dernière intervention 25 juin 2013
25 juin 2013 à 15:19
j'ai fait supprimer mais il ma dit que je devait redémarré mon ordinateur, je l'ai redémarré
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
25 juin 2013 à 15:22
alors refais un scan RogueKiller et donne le rapport, voir si y a plus rien.
0
micka_81 Messages postés 6 Date d'inscription mardi 25 juin 2013 Statut Membre Dernière intervention 25 juin 2013
25 juin 2013 à 15:26
Le rapport :
RogueKiller V8.6.1 [Jun 24 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Mickael [Droits d'admin]
Mode : Suppression -- Date : 06/25/2013 15:21:41
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 3 ¤¤¤
[SUSP PATH] pokki.exe -- C:\Users\Mickael\AppData\Local\Pokki\Engine\pokki.exe [7] -> TUÉ [TermProc]
[SUSP PATH] pokki.exe -- C:\Users\Mickael\AppData\Local\Pokki\Engine\pokki.exe [7] -> TUÉ [TermThr]
[SUSP PATH] pokki.exe -- C:\Users\Mickael\AppData\Local\Pokki\Engine\pokki.exe [7] -> TUÉ [TermThr]

¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (10.0.32.15:8080) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
[HJ SECU] HKLM\[...]\Wow6432Node\[...]\Security Center : AntiVirusDisableNotify () -> REMPLACÉ ()
[HJ SECU] HKLM\[...]\Wow6432Node\[...]\Security Center : UpdatesDisableNotify () -> REMPLACÉ ()

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] U : C:\Windows\Installer\{1b2412e6-2c3b-1d04-9a57-484a29e91f20}\U [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9640320AS +++++
--- User ---
[MBR] b37393cf69097f3ec28b7cc1cf91127a
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353527808 | Size: 437858 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_06252013_152141.txt >>
RKreport[0]_D_06252013_145807.txt;RKreport[0]_S_06252013_145255.txt;RKreport[0]_S_06252013_152107.txt
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
25 juin 2013 à 15:27
Good.

La suite :

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

0