Machine infectée par Sirefef-ZT [Tjr]

Ok, je lance le scan et je publie le rapport dès qu'il se termine.

Ok ;)

RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Serge Alct [Droits d'admin]
Mode : Recherche -- Date : 10/13/2013 16:41:50
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[EXT RUN][SUSP PATH] HKCU\Serge Alct_ON_W:\[...]\Run : DellSystemDetect (C:\Users\Serge Alct\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dell\Dell System Detect.appref-ms [-]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> W:\windows\system32\config\SYSTEM | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\windows\system32\config\SOFTWARE | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\windows\system32\config\SECURITY | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\windows\system32\config\SAM | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\windows\system32\config\DEFAULT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\Users\Default\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Users\Default User\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Users\Serge Alct\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\Documents and Settings\Default\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Documents and Settings\Default User\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Documents and Settings\Public\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Documents and Settings\Serge Alct\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ST320LT020-9YG142 +++++
--- User ---
[MBR] e513fafa6dc73cf522caf0671e84d878
[BSP] 94b116012dfd980c6f972e9fc6067c71 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 20000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 41166848 | Size: 211575 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 509024256 | Size: 56697 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_10132013_164150.txt >>

Je t'ai répondu en même temps :) https://forums.commentcamarche.net/forum/affich-28886000-machine-infectee-par-sirefef-zt-tjr#2

Re, voici le nouveau rapport:

RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Serge Alct [Droits d'admin]
Mode : DNS RAZ -- Date : 10/13/2013 16:46:22
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> W:\windows\system32\config\SYSTEM | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\windows\system32\config\SOFTWARE | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\windows\system32\config\SECURITY | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\windows\system32\config\SAM | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\windows\system32\config\DEFAULT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\Users\Default\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Users\Default User\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Users\Serge Alct\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> W:\Documents and Settings\Default\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Documents and Settings\Default User\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Documents and Settings\Public\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> W:\Documents and Settings\Serge Alct\NTUSER.DAT | DRVINFO [Drv - W:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[0]_DN_10132013_164622.txt >>
RKreport[0]_D_10132013_164216.txt;RKreport[0]_H_10132013_164615.txt;RKreport[0]_S_10132013_164150.txt

Pourquoi DNS RAZ ?

Euh.. du coup j'avais effectuer tous les points présent dans le tutoriel du lien que tu m'avais envoyé. Il ne fallait pas ?

Re, le scan de pre_scan est terminé, voici le rapport: https://www.cjoint.com/c/CJnrDFcBsFQ

Euh .. si il n'y a rien d'autre...

Ok, ça marche je le download tout de suite :)
PS: désolé d'avoir mis du temps mais j'ai essayer plusieurs fois Pre_scan

Pas de problème ce n'est pas une course. ;)

Je crois que le lien pour ZHPDiag est mort, j'en ai cherché d'autres via Google mais aucun ne semble fonctionner...

C'est bon j'ai réussi à le télécharger et l'installer, je lance l'analyse.

Ok :)

http://www.cjoint.com/confirm.php?cjoint=CJnt2Gl4Xt8

Re,

Oui j'ai vu ça, je l'ai déjà hébergé: http://www.cjoint.com/confirm.php?cjoint=CJnt2Gl4Xt8

Très bien je le désinstalle (il n'y aurait pas un produit qui pourrait remplacé Spybot ?)

Je n'ai pas encore lancé d'analyse, je l'a fait et je te poste le résultat.

Re,

Avast n'a détecté aucun virus :) Merci beaucoup.

Par contre il y'aurait t-il un soft qui pourrait remplacé Spybot ?

Du coup j'ai vu que Malwarebytes était l'équivalent de Spybot donc à ce niveau tout va bien :) Dois-je faire une autre manipulation ou marqué comme résolu ce sujet ?

Salut Sways,

MBAM est plus puissant et efficace que Spybot.
Pose ta question concernant ton problème de software à Gabriel puisque c'est dans la continuité de la présente désinfection.

Il est important de rester avec le même helper durant toute la désinfection car il connaît le problème dans sa globalité. Si plusieurs personnes se mettent sur un même sujet, il y a risque de passer des outils incompatibles ou de se tromper entre les rapports. C'est donc dans l'intérêt de la personne aidée.

De plus, on n'est pas si nombreux que cela et cela permet d'aider d'autres personnes.
L'autre sujet ouvert va être supprimé.

Bonne continuation. Cordialement Bridget.

Bonjour Bridget,

Je note pour MBAM et au sujet de la question je m'étais permis de la poser sur un autre sujet car j'avais vu de nombreuses fois que dans des cas comme celui-ci on demandait d'ouvrir un nouveau sujet.

Je me suis également permis d'effectuer une analyse avec Malwarebytes qui a détecté deux positifs, voici le rapport:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.10.13.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
Serge Alct :: PC-DE-SERGE [administrateur]

14/10/2013 14:05:02
mbam-log-2013-10-14 (14-05-02).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 206993
Temps écoulé: 9 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Données: 11111111 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Re, voivi le rapport de ZHPDiag: https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131014_v6p15b5q13j6

Voivi le rapport de ZHPFix: https://www.cjoint.com/c/CJotTnJq84q

Voilà, j'ai fini tout le tutoriel sauf la partie sur UsbFix car je n'ai aucun port usb à brancher :)

Salut Gabriel,

Cet après-midi, Sways avait ouvert un autre sujet pour un logiciel qu'il n'arrive pas à désinstaller depuis son infection, il faudrait peut-être voir ça avec lui avant de finaliser en particulier si tu as besoin de ZHPFix pour le lui enlever.

Cordialement Bridget
Bonne soirée à tous les deux.

Salut Bridget,

Ok merci, je n'étais pas au courant.

Sways, quel est le logiciel en question ?

Euh.. le logiciel en question est Virtual DJ Home Free

(merci Bridget d'avoir soulevé ce point, bonne soirée à toi aussi).

Oui, enfin le défragmenteur est toujours en route, mais sinon oui ^^

Voici le rapport de Security Check:

Results of screen317's Security Check version 0.99.74
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 10
[b][u]''''''''''''''Antivirus/Firewall Check:''''''''''''''[/b][/u]
[size=1]WMI entry may not exist for antivirus; attempting automatic update.[/size]
[b][u]'''''''''Anti-malware/Other Utilities Check:'''''''''[/b][/u]
Malwarebytes Anti-Malware version 1.75.0.1300
Java 7 Update 40
Adobe Flash Player 11.9.900.117
Adobe Reader 10.1.8 [color=red][b]Adobe Reader out of Date![/b][/color]
Mozilla Firefox (24.0)
Google Chrome 29.0.1547.76
Google Chrome 30.0.1599.69
[b][u]''''''''Process Check: objlist.exe by Laurent''''''''[/b][/u]
AVAST Software Avast AvastSvc.exe
AVAST Software Avast AvastUI.exe
[b][u]'''''''''''''''''System Health check'''''''''''''''''[/b][/u]
Total Fragmentation on Drive C:
[b][u]''''''''''''''''''''End of Log''''''''''''''''''''''[/b][/u]

Par contre dans quel dossier se trouve le rapport de DelFix ? Parce que mon Pc a redémarrer entre temps..

Dans C:\ Pour Delfix à priori.

Exact, je le poste tout de suite :)

Voici le rapport de DelFix: https://www.cjoint.com/c/CJouukcsDJw

Ok, je le fait de suite :)

Euh.. au départ j'avais essayer de le lancer, je suis tombé sur un message d'erreur du soft qui m'a demandé de le réinstaller; puis lors de la réinstallation une erreur s'est affiché lorsque la nouvelle version de VirtualDJ a essayé de supprimer l'ancienne version présente sur mon PC. J'ai donc tenté de le supprimer via CCleaner en vain.