> Tous les forums > Forum Sécurité
 Troj.Sirefef,Dropper,Rootkit.0AccessSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 4 ... Fin
Page 1 sur 4 [Fin]
pilouenforce
  Posté le 19/07/2012 @ 15:48 
Aller en bas de la page 
Petit astucien

Bonjour à tous,

Je suis sous windows 7

et j'ai un petit soucis avec eset smart security 4

il détecte toute les 30s un virus

Objet : C:\windows\system32\services.exe

Menace : Win32/Sirefef.FC cheval de troie

Un évènement s'est produit pendant une tentative d'accès au fichier. Veuillez soumettre cet objet aux laboratoires d'eset pour l'analyse

Mon pare feu est bloqué, avec le code erreur 0x80070424

J'ai installé bitdefender, malwarebytes...mais ce virus ne s'en va pas....je suis assez désespérer

Merci de bien vouloir me donner un coup de main



Modifié par pilouenforce le 13/08/2012 22:36
Publicité
clbugnot
 Posté le 19/07/2012 à 16:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour pilouenforce, bienvenue sur PCA !

Fais ce qui est demandé dans cette procédure, publie les rapports demandés et attends qu'un membre du Groupe Sécurité te prenne en charge.

Cordialement.

patogas
 Posté le 19/07/2012 à 17:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour

Une bienvenue pilouenforce sur PCA

clbugnot

Postes les rapports demandés dans la procédure et à te lire.

Ce trojan est comme tu le dis "costaud" surtout tiens toi à faire ce qu'il te sera demandé. Ne prend pas une initiative sans en discuter.

Si tu as déjà passé d'autres "outils" indiques le s'il te plait - important

@+



Modifié par patogas le 19/07/2012 17:24
pilouenforce
 Posté le 20/07/2012 à 00:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

merci j'ai lancé la recherche rapide sur malwarebyte

je met le rapport des qu'il sera terminé

pilouenforce
 Posté le 20/07/2012 à 01:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Malwarebytes Anti-Malware (PRO) 1.62.0.1300

www.malwarebytes.org

Version de la base de données: v2012.07.19.10

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

ORDI
ORDI-PC [administrateur]

Protection: Désactivé

20/07/2012 00:25:53

mbam-log-2012-07-20 (00-25-53).txt

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 183162

Temps écoulé: 39 minute(s), 31 seconde(s)

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4

C:\Windows\Installer\{1e6d80ff-cda7-9e19-827b-5b13ee399069}\U\00000004.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\Installer\{1e6d80ff-cda7-9e19-827b-5b13ee399069}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\Installer\{1e6d80ff-cda7-9e19-827b-5b13ee399069}\U\000000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\Installer\{1e6d80ff-cda7-9e19-827b-5b13ee399069}\U\80000000.@ (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.

(fin)

patogas
 Posté le 20/07/2012 à 10:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

OK.

Si tu n'as pas passé les deux autres, pour l'instant laisses tomber on va aller au plus idrect et faire l'inverse.

Indique moi quand tu seras sur PCA pour que je te fasse passer un outil pour lequel tu le passera dès que tu liras le message. On verra apèrs pourles autres.

pilouenforce
 Posté le 20/07/2012 à 10:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

pilouenforce
 Posté le 20/07/2012 à 10:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

je suis sur le forum actuellement et voici le raport de zhpdiag

patogas
 Posté le 20/07/2012 à 10:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Impec merci

Surtout n'hésites pas si tu as des questions ou autres avant de faire quelque chose qui t'échapperai

Suit bien les consignes avant d'utiliser n'importe quel outil.

Je rappelle pour les lecteurs, ce lien sur les risques de l'utilisation de cet outil sans être invité à le faire

ATTENTION utilisation ComboFix

Pour tous les lecteurs :-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.-- Ne pas utiliser en dehors de ce cas de figure : dangereux!

Il n'est préconisé que pour la procédure de pilouenforce



Téléchargez Combofix(de sUBs)

Lien 1
Lien 2
Lien 3

* IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau


/!\ Désactivez votre antivirus / antispyware résident / TeaTimer de Spybot (s'ils fonctionnent encore! ) en général via un clic droit sur l'icône de la Zone de notification.

Désactiver les protections résidentes - Tutoriel

* Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

* Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

* Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:

* Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

* Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.

@+

Publicité
pilouenforce
 Posté le 20/07/2012 à 11:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'ai réalisé les différentes étapes et lors de l'installation, erreur lors de l'ouverture du fichier en cour d'écriture C:\32788R22FWJFW\licence\iexplore.exe

j'ai le choix entre abandonner recommencer ignorer

recommencer ca marche pas

ignorer ca se termine mais plus rien ne se passe apres...

patogas
 Posté le 20/07/2012 à 12:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

re

Tu t'es bien assuré de:

>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Tu as bien effectué les manips en faisant le clic droit "exécuter en tant que administrateur"

Si celà ne marce toujours pas:

telecharges ca :

http://public.avast.com/~gmerek/aswMBR.exe

clic sur scan , ensuite une fois le scan fini clic sur savelog et colle le contenu

@+

pilouenforce
 Posté le 20/07/2012 à 12:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : aswMBR.txt

pilouenforce
 Posté le 20/07/2012 à 12:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voilouuu

patogas
 Posté le 20/07/2012 à 13:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

  • Télécharger TDSSkiller de Kaspersky,
  • Extraire de l'archive téléchargée le fichier TDSSKiller.exe et le placer sur le Bureau,
  • Faire un double clic sur TDSSKiller.exe pour le lancer.

  • Cliquer sur Start scan pour lancer l'analyse,
  • Lorsque l'outil a terminé son travail d'inspection, si des nuisibles Image IPB ("Malicious objects") ont été trouvés, vérifier que l'option Image IPB (Cure) est sélectionnée,
  • Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
  • Puis cliquer sur le bouton Image IPB (Continue),
  • Attendre l'affichage du fichier rapport.
  • Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Image IPB (Reboot computer).
  • Envoyer en réponse : le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
    [SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

-------------------------------

Surtotu t'inquiètes pas les outils téléchargés seront spprimés en fin de procédure

@+

pilouenforce
 Posté le 20/07/2012 à 13:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : rapport killer.txt

pilouenforce
 Posté le 20/07/2012 à 13:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

c'est bizare rien n'est apparu comme dangereux ou je suis à coté de la plaque?

pilouenforce
 Posté le 20/07/2012 à 13:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : killer2.txt

Publicité
pilouenforce
 Posté le 20/07/2012 à 13:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

cette fois j'ai changé les parametres et cocher toutes les additionels options...

patogas
 Posté le 20/07/2012 à 15:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Tu peux déjà passer via VirusTotal

  • Peux-tu tester ceci : C:\Windows\system32\themeservice.dll
  • Clique sur ce lien.
  • Clique sur parcourir et indique le chemin du fichier que j’ai désigné.
  • Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.
  • Tu peux t'aider de ce tuto pour cela

Testes aussi celui ci, merci: C:\Windows\system32\Drivers\PROCEXP113.SYS

--------------

Pour comboFix, fais clic droit sur le fichier et renomme le avec ton pesudo ou autre.

Si tu rencontre le même souçi en mode normal, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

N'oublies pas de poster les 2 rapports virusTotal et celui de conboFix si OK

pilouenforce
 Posté le 21/07/2012 à 12:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
SHA256: 653ce0697a31ba79be1094601ba3a94912b368e29212af79288b010d45ad7658
SHA1: f176344add9567bdee6d5715852721a039fa1bc6
MD5: 59cfda4eacb3788f8b17f87b49b0ac0e
File size: 36.5 KB ( 37376 bytes )
File name: themeservice.dll
File type: Win32 DLL
Detection ratio: 0 / 42
Analysis date: 2012-07-21 10:54:47 UTC ( 0 minute ago )
0
0
More details
AntivirusResultUpdate
AhnLab-V3 - 20120721
AntiVir - 20120721
Antiy-AVL - 20120717
Avast - 20120721
AVG - 20120721
BitDefender - 20120721
ByteHero - 20120719
CAT-QuickHeal - 20120721
ClamAV - 20120721
Commtouch - 20120721
Comodo - 20120721
DrWeb - 20120721
Emsisoft - 20120721
eSafe - 20120719
ESET-NOD32 - 20120720
F-Prot - 20120720
F-Secure - 20120721
Fortinet - 20120721
GData - 20120721
Ikarus - 20120721
Jiangmin - 20120721
K7AntiVirus - 20120720
Kaspersky - 20120721
McAfee - 20120721
McAfee-GW-Edition - 20120721
Microsoft - 20120721
Norman - 20120721
nProtect - 20120721
Panda - 20120721
PCTools - 20120721
Rising - 20120720
Sophos - 20120721
SUPERAntiSpyware - 20120721
Symantec - 20120721
TheHacker - 20120720
TotalDefense - 20120718
TrendMicro - 20120721
TrendMicro-HouseCall - 20120721
VBA32 - 20120720
VIPRE - 20120721
ViRobot - 20120721
VirusBuster - 20120721
pilouenforce
 Posté le 21/07/2012 à 12:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
SHA256: 89d7aa3b784ac07e7f4229a5babaa8b5ccea9e88cff7c646354f6d46762f0d3f
File name: 36C46561FDC566FD4943216ABA090343
Detection ratio: 0 / 42
Analysis date: 2012-04-19 15:19:26 UTC ( 3 mois ago )
0
0
More details
AntivirusResultUpdate
AhnLab-V3 - 20120418
AntiVir - 20120419
Antiy-AVL - 20120419
Avast - 20120419
AVG - 20120419
BitDefender - 20120419
ByteHero - 20120417
CAT-QuickHeal - 20120419
ClamAV - 20120419
Commtouch - 20120419
Comodo - 20120419
DrWeb - 20120419
Emsisoft - 20120419
eSafe - 20120417
eTrust-Vet - 20120419
F-Prot - 20120418
F-Secure - 20120419
Fortinet - 20120419
GData - 20120419
Ikarus - 20120419
Jiangmin - 20120419
K7AntiVirus - 20120418
Kaspersky - 20120419
McAfee - 20120419
McAfee-GW-Edition - 20120419
Microsoft - 20120419
NOD32 - 20120419
Norman - 20120419
nProtect - 20120419
Panda - 20120419
PCTools - 20120419
Rising - 20120419
Sophos - 20120419
SUPERAntiSpyware - 20120402
Symantec - 20120419
TheHacker - 20120418
TrendMicro - 20120419
TrendMicro-HouseCall - 20120419
VBA32 - 20120419
VIPRE - 20120419
ViRobot - 20120419
VirusBuster - 20120419
pilouenforce
 Posté le 21/07/2012 à 12:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

j'ai réalisé les scans dans l'ordre que tu m'as indiqué

pilouenforce
 Posté le 21/07/2012 à 13:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : combo.txt

patogas
 Posté le 21/07/2012 à 18:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bon boulot, combo est passé et pas pour rien.

Suite rapport TDSS pour les 2 trouvés il ne sont pas considéré mauvais par virustotal

On va assurer le coup en mode scan pour l'instant

  • Télécharge Roguekiller de Tigzy sur ton Bureau,
  • Exécute le programme (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification) :

  • Clique sur le bouton "Scan" pour lancer l'analyse,
  • Un rapport nommé RKreport[1] doit être créé sur ton Bureau. Copie son contenu dans ta prochaine réponse.

NOTA: Je suis au boulot et te répond sur le PC de travail () bloqué pour le week end, si le scan est négatif peux tu poster un nouveau rapport de MALWAREbYTES.

Au cas ou Roguekiller serait positif, avant de passer MBAM, passes en mode suppression.

  • Exécute le programme Roguekiller de Tigzy (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification).
  • Clique sur le bouton "Suppression" comme indiqué ici pour que le programme corrige les éléments trouvés :


Un rapport RKreport[2] créé sur ton Bureau. Copie/colle son contenu dans ta prochaine réponse.

A te lire merci



Modifié par patogas le 21/07/2012 18:53
dom64
 Posté le 21/07/2012 à 22:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonsoir pilouenforce{#},j'ai eu le meme virus que toi je l'ai supprime avec (emisisoft emergency kit) portable sur cle usb,{#}

patogas
 Posté le 21/07/2012 à 22:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Dom64

Si tu penses faire mieux et plus vite je te passe le relais. La procédure est en cours, merci de ne pas interférer.

il n'y a qu'à regarder tous les types d'infections et ce n'est pas uniquement cet outil qui va y arriver. mettre un pansement sur une jambe de bois, celà ne se fait pas sur PCA.

On peut aussi formater et le problème est résolu également.

Publicité
Pages : [1] 2 3 4 ... Fin
Page 1 sur 4 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
129,99 €Ecouteurs intra sans-fil Sony WF-1000XM3 à réduction de bruit active à 129,99 €
Valable jusqu'au 29 Septembre

Boulanger fait une belle promotion sur les écouteurs intra-auriculaire sans-fil Sony WF-1000XM3 avec réduction de bruit active qui passent à 129,99 € une fois dans votre panier qu'on les trouve ailleurs à plus de 170 €. Performants, confortables et modernes, les écouteurs True Wireless Sony WF-1000XM3 s'inviteront naturellement dans votre quotidien. Livrés avec un boîtier de charge/transport, ils bénéficieront d'une autonomie maximale de 24 heures tout en assurant une écoute de haute qualité grâce à la puce Bluetooth 5.0. Gérez facilement votre lecture avec les commandes tactiles sur l'oreillette, prenez des appels dans les meilleures conditions avec les deux microphones intégrés et discutez facilement sans avoir besoin de retirer vos écouteurs grâce à la fonction Quick Attention.

Les écouteurs sont affichés à 149,99 € en promotion sur la page du produit. Ils passeront à 129,99 € une fois ajoutés au panier.


> Voir l'offre
375,99 €TV 50 pouces Thomson 50UZ6420 LED 4K UHD, HDR10, Android 9 à 375,99 €
Valable jusqu'au 29 Septembre

Cdiscount Fait une promotion sur le téléviseur 50 pouces (126 cm) Thomson 50UZ6420 TV LED 4K UHD qui passe à 375,99 €. Cette TV offre une résolution 4K Ultra HD de 3840x2160, possède le WiFi, est compatible avec le HEVC (H.265), Android 9 (Youtube, Netflix, Canal, Disney+, Amazon Prime, ...), HDR10, DLNA, Tuner TNT HD, ... Elle possède 3 ports HDMI et 2 ports USB pour lire vos contenus multimédias.


> Voir l'offre
25,99 €Brosse à dents électrique Oral-B Pro 2 2500 CrossAction + étui de voyage à 25,99 €
Valable jusqu'au 29 Septembre

Amazon fait une promotion sur la brosse à dents électrique Oral-B Pro 2 2500 CrossAction qui passe à 25,99 € livrée gratuitement alors qu'on la trouve ailleurs à partir de 50 €. Cette brosse à dent rechargeable rend vos dents plus blanches en douceur dès le premier jour en éliminant les taches de surface. Le minuteur professionnel de 2 minutes vous permet de vous brosser les dents pendant la durée recommandée. 2 modes de brossage : standard et douceur pour les dents et gencives sensibles. Un étui de voyage est également offert.


> Voir l'offre

Sujets relatifs
Rootkit Sirefef/Zeroaccess
Rootkit Zeroaccess/Sirefef
rootkit dropper
Rootkit.0Access, Trojan.Zaccess,Rootkit.Agent
Sirefef/Rootkit Zeroaccess
Rootkit Zeroaccess/Sirefef
Rootkit ZeroAcess/ Sirefef
Rootkit Zeroaccess/Sirefef
MBAM erreur 20025 anti rootkit
Infections Jenxcus-D et Dropper-gen
Plus de sujets relatifs à Troj.Sirefef,Dropper,Rootkit.0Access
 > Tous les forums > Forum Sécurité