Comment me débarrasser d'un virus Trojan:Win32/Sirefef

Aurore33150 Messages postés 16 Statut Membre -  
 aurore33150 -
Bonjour à tous,

Un virus Trojan s'est introduit dans mon netbook, je n'avais pas d'antivirus...
J'ai démarré en mode sans échec et essayé de réparer avec l'outil windows, celui ci pense l'avoir supprimé mais quand je redémarre mon ordinateur en mode normal le virus bloque toute mes actions.
que puis-je faire???

Merci de vos conseils éclairés.

14 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
    Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
    Lance AdwCleaner, clique sur [Scanner] puis patiente (PAS besoin de copier/coller le rapport ici).
    Quand cela est terminé, clic sur [Nettoyage].
    !!! je répète faire [Nettoyage] !!!
    Clic sur Rapport puis copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis:

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0
  2. Aurore33150 Messages postés 16 Statut Membre
     
    D'accord, merci beaucoup, j'essaie tout de suite!
    0
  3. Aurore33150 Messages postés 16 Statut Membre
     
    Voila le rapport de la première étape avec AdwCleaner

    Merci beaucoup

    # AdwCleaner v3.002 - Rapport créé le 07/09/2013 à 14:44:49
    # Mis à jour le 01/09/2013 par Xplode
    # Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)
    # Nom d'utilisateur : Andéol - ANDÉOL-PC
    # Exécuté depuis : C:\Users\Andéol\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZTBN780\adwcleaner.exe
    # Option : Nettoyer
    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****
    Dossier Supprimé : C:\ProgramData\Ask
    Dossier Supprimé : C:\ProgramData\blekko toolbars
    Dossier Supprimé : C:\ProgramData\Search Protection
    Dossier Supprimé : C:\Program Files\Ask.com
    Dossier Supprimé : C:\Users\Andéol\AppData\LocalLow\adawaretb
    Dossier Supprimé : C:\Users\Andéol\AppData\LocalLow\AskToolbar
    Fichier Supprimé : C:\Users\Public\Desktop\eBay.lnk
    Fichier Supprimé : C:\windows\System32\Tasks\Scheduled Update for Ask Toolbar
    ***** [ Raccourcis ] **
    0
  4. Aurore33150 Messages postés 16 Statut Membre
     
    Pour faire un Scan OTL je dois télécharger quel logiciel s'il vous plait ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      OTL.exe - le lien est donné dans mon message.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Aurore33150 Messages postés 16 Statut Membre
     
    Le logiciel OTL ne fonctionne pas correctement, lorsque je commence l'analyse rien ne se passe, après quelques minutes je lance le gestionnaire des tâches et celui ci m'indique que OTL ne fonctionne pas. J'ai réessayer une deuxième fois même chose...
    que faire?
    D'avance Merci
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Attendre.
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Rien d'anormal.

    Désinstalle : Ad-Aware Browsing Protection
    Sert à rien.
    0
  8. Aurore33150 Messages postés 16 Statut Membre
     
    Pourtant ce matin mon ordinateur m'a encore indiqué qu'il était infecté par un virus.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      qu'est ce qui est détecté et dans quoi ?
      0
    2. Aurore33150 Messages postés 16 Statut Membre
       
      C'était une alerte dans centre de maintenance qui m'informer que le virus Trojan était dans mon ordinateur est que l'état était grave.
      0
    3. Aurore33150 Messages postés 16 Statut Membre
       
      Il s'agit du virus Trojan:Win32/Sirefef
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oula ok.
      0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    Enregistre le rapport sur http://pjjoint.malekal.com
    Donne le lien pjjoint ici.

    Attention ce n'est pas Malwarebyte "normal" - Lire le contenu de la page donnée ci-dessus.
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    [*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
    [*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    [*] Copie/colle le contenu du rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!

    0
  11. aurore33150
     
    RogueKiller V8.6.10 [Sep 9 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Andéol [Droits d'admin]
    Mode : Suppression -- Date : 09/09/2013 20:37:06
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 3 ¤¤¤
    [RUN][SUSP PATH] HKLM\[...]\Run : Search Protection (C:\ProgramData\Search Protection\SearchProtection.exe [x][x]) -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][Repertoire] Install : C:\Users\Andéol\AppData\Local\Google\Desktop\Install [-] --> SUPPRIMÉ

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    [Address] SSDT[70] : NtCreateKey @ 0x82002FF7 -> HOOKED (Unknown @ 0x89544B80)
    [Address] SSDT[74] : NtCreateMutant @ 0x82012348 -> HOOKED (Unknown @ 0x8955EAE0)
    [Address] SSDT[79] : NtCreateProcess @ 0x820DE223 -> HOOKED (Unknown @ 0x89543680)
    [Address] SSDT[80] : NtCreateProcessEx @ 0x820DE26E -> HOOKED (Unknown @ 0x89543980)
    [Address] SSDT[86] : NtCreateSymbolicLinkObject @ 0x820039C2 -> HOOKED (Unknown @ 0x8955EEA0)
    [Address] SSDT[87] : NtCreateThread @ 0x820DE02A -> HOOKED (Unknown @ 0x8955E420)
    [Address] SSDT[88] : NtCreateThreadEx @ 0x82072483 -> HOOKED (Unknown @ 0x8955E600)
    [Address] SSDT[93] : NtCreateUserProcess @ 0x820703B5 -> HOOKED (Unknown @ 0x89543C80)
    [Address] SSDT[103] : NtDeleteKey @ 0x81FEDA46 -> HOOKED (Unknown @ 0x89545180)
    [Address] SSDT[106] : NtDeleteValueKey @ 0x81FDF44F -> HOOKED (Unknown @ 0x89545A80)
    [Address] SSDT[111] : NtDuplicateObject @ 0x82033751 -> HOOKED (Unknown @ 0x8955F080)
    [Address] SSDT[155] : NtLoadDriver @ 0x81FC7C2E -> HOOKED (Unknown @ 0x8955E7E0)
    [Address] SSDT[190] : NtOpenProcess @ 0x82013B8F -> HOOKED (Unknown @ 0x89543F80)
    [Address] SSDT[194] : NtOpenSection @ 0x8206B9D3 -> HOOKED (Unknown @ 0x89545FC0)
    [Address] SSDT[198] : NtOpenThread @ 0x820600DE -> HOOKED (Unknown @ 0x89544280)
    [Address] SSDT[290] : NtRenameKey @ 0x8209E0C3 -> HOOKED (Unknown @ 0x89545480)
    [Address] SSDT[302] : NtRestoreKey @ 0x82093C7A -> HOOKED (Unknown @ 0x89545780)
    [Address] SSDT[350] : NtSetSystemInformation @ 0x8205036A -> HOOKED (Unknown @ 0x8955ECC0)
    [Address] SSDT[358] : NtSetValueKey @ 0x8200C5F4 -> HOOKED (Unknown @ 0x89544E80)
    [Address] SSDT[370] : NtTerminateProcess @ 0x8205CD76 -> HOOKED (Unknown @ 0x89544580)
    [Address] SSDT[371] : NtTerminateThread @ 0x8207A6A3 -> HOOKED (Unknown @ 0x89544880)
    [Address] SSDT[399] : NtWriteVirtualMemory @ 0x82061A73 -> HOOKED (Unknown @ 0x8955E240)

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD3200BPVT-80JJ5T0 +++++
    --- User ---
    [MBR] 3b3cac88316554106d6d0feca1520c59
    [BSP] 5057651a104600fc388e82a9e935a85e : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo
    1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 187467 Mo
    3 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 625106944 | Size: 16 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_D_09092013_203706.txt >>
    RKreport[0]_S_09092013_203703.txt
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    Enregistre le rapport sur http://pjjoint.malekal.com
    Donne le lien pjjoint ici.

    Attention ce n'est pas Malwarebyte "normal" - Lire le contenu de la page donnée ci-dessus.
    0
  13. aurore33150
     
    http://pjjoint.malekal.com/files.php?id=20130909_h12r12b7q13z6
    0