Se connecter / S'enregistrer
Votre question
Fermé

[Résolu] SOS supprimer un cheval de troie dans C:\windows\systeme32

Tags :
  • zero access
  • Trojan
  • Windows
  • Desktop
  • Win32
  • Virus
  • sirefef
  • zaccess
  • siref
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Juillet 2012 15:15:07

Bonjour,

Mon ordinateur est infecté par plusieurs chevaux de troie que je n'arrive pas à supprimer malgré mon antivirus Avast.
Mon PC fonctionne sous windows 7 et Avast trouve 4 virus:

- C:\Windows\assembly\GAC_32\desktop.ini menace: Win32:Sirefef-PL [Rtk]
- C:\Windows\assembly\GAC_64\desktop.ini menace: Win32:Sirefef-PL [Rtk]
- C:\Windows\Installer\...\00000004.@ menace: Win32:Malware-gen
- C:\Windows\assembly\GAC_32\desktop.ini menace: Win32:Sirefef-PL [Rtk]

Impossible de les supprimer manuellement, je ne les trouve nul part dans le disque C:

Je ne sais vraiment pas quoi faire, si vous pouviez m'aider ça serait vraiment super, je ne suis pas très calée en informatique...

Autres pages sur : resolu sos supprimer cheval troie windows systeme32

a b 8 Sécurité
2 Juillet 2012 16:02:52

Bonjour,

On va s'en charger :) 

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    Contenus similaires
    a b 8 Sécurité
    2 Juillet 2012 17:20:27

    On attaque. On va combiner un script de correction OTL puis un antimalware avec MBAM.
    Avec les rapports de suppression on verra où on en est.

    Désinstalle si possible : Web Assistant 2.0.0.444

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      SRV:[b]64bit:[/b] - [2012/05/08 15:16:04 | 000,185,856 | ---- | M] () [Auto | Running] -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe -- (Web Assistant Updater)
      PRC - [2012/05/08 15:16:04 | 000,185,856 | ---- | M] () -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
      IE - HKLM\..\SearchScopes,DefaultScope = {ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
      IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
      IE - HKU\S-1-5-21-1724442305-3627100540-583066226-1001\..\SearchScopes,DefaultScope = {CBDC9F0D-995F-405F-BE38-2A0861635CCB}
      IE - HKU\S-1-5-21-1724442305-3627100540-583066226-1001\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_262.dll File not found
      64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX [2012/06/06 22:43:57 | 000,000,000 | ---D | M]
      FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox [2012/06/06 22:43:57 | 000,000,000 | ---D | M]
      [2012/06/06 22:43:57 | 000,000,000 | ---D | M] (Web Assistant) -- C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
      O2:[b]64bit:[/b] - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension64.dll ()
      O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll ()
      O4 - HKU\S-1-5-21-1724442305-3627100540-583066226-1001..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
      O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
      O20:[b]64bit:[/b] - Winlogon\Notify\WB: DllName - (C:\Program Files (x86)\Stardock\MyColors\fast64.dll) - File not found
      O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      [2012/06/08 22:00:22 | 000,000,804 | ---- | C] () -- C:\Windows\Installer\{5186530e-4dce-fda5-a0f5-ff0d5772fa4d}\L\00000004.@
      [2012/06/08 22:00:21 | 000,001,632 | ---- | C] () -- C:\Windows\Installer\{5186530e-4dce-fda5-a0f5-ff0d5772fa4d}\U\000000cb.@
      [2012/01/11 23:12:36 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{5186530e-4dce-fda5-a0f5-ff0d5772fa4d}\@
      [2012/07/02 13:42:28 | 000,002,048 | ---- | C] () -- C:\Windows\Installer\{5186530e-4dce-fda5-a0f5-ff0d5772fa4d}\U\00000004.@
      [2012/07/01 11:23:30 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{5186530e-4dce-fda5-a0f5-ff0d5772fa4d}\U\00000008.@
      :Files
      C:\Program Files\Web Assistant
      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
      Une fois l'installation et la mise à jour effectuées :
    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
    • Afin de lancer la recherche, clic sur"Rechercher".
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
      - Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
      -- Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection".
    • Enregistre le rapport sur ton Bureau.
    • Poste ce rapport.

  • REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
    a b 8 Sécurité
    2 Juillet 2012 20:41:38

    Re,

    Tu as encore des alertes ?
    Repostes un rapport d'analyse OTL stp.

    Même prob en réinstaller les deux logiciels ?
    a b 8 Sécurité
    3 Juillet 2012 13:24:57

    Pour la suppression de Combofix, on verra ça à la fin ne t'inquiète pas. On réfléchit en internet sur quelques lignes à virer ça ne devrait pas tarder tkt :) 
    3 Juillet 2012 13:33:06

    Ok merci, je vous fais confiance!

    Au fait lnternet Explorer et Mozilla remarchent!
    a b 8 Sécurité
    3 Juillet 2012 15:22:27

    Assure toi d'abord d'avoir accès aux fichiers/dossiers cachés :
    http://www.commentcamarche.net/faq/825-afficher-les-ext...

    Pour mieux pouvoir répondre à ta variante pour les internautes à venir, peux-tu zipper au moins un de ces fichiers pour l'uploader sur http://www.zippyshare.com/ ?
    Merci de poster par la suite la lien zippyshare :) 

    2012-06-22 15:35 . 2012-06-22 15:35 328704 ----a-w- c:\windows\system32\services.exe.46A17DA4B7520AF6
    2012-06-21 17:10 . 2012-06-21 17:10 328704 ----a-w- c:\windows\system32\services.exe.BF521BE161DD0473
    2012-06-21 14:20 . 2012-06-21 14:20 328704 ----a-w- c:\windows\system32\services.exe.06D71F7A6C6311A2
    2012-06-20 19:19 . 2012-06-20 19:19 328704 ----a-w- c:\windows\system32\services.exe.2201F4E0F93086CD
    2012-06-20 16:17 . 2012-06-20 16:17 328704 ----a-w- c:\windows\system32\services.exe.F84A5FD7F558C989
    2012-06-26 13:52 . 2012-06-26 13:52 328704 ----a-w- c:\windows\system32\services.exe.54576A293D39DC86
    2012-06-23 14:09 . 2012-06-23 14:09 328704 ----a-w- c:\windows\system32\services.exe.D8CCCECAF42F72FC
    2012-06-23 13:54 . 2012-06-23 13:54 328704 ----a-w- c:\windows\system32\services.exe.76D6483008E48C7A

    • Ouvre un fichier Bloc-note vierge (Démarrer -> Tous les programmes -> accessoire -> Bloc-note)
    • Copie-colle EXACTEMENT ceci dedans :

      Driver::
      yxldxrpu

      File::
      c:\windows\system32\services.exe.54576A293D39DC86
      c:\windows\system32\services.exe.D8CCCECAF42F72FC
      c:\windows\system32\services.exe.76D6483008E48C7A
      c:\windows\system32\services.exe.46A17DA4B7520AF6
      c:\windows\system32\services.exe.BF521BE161DD0473
      c:\windows\system32\services.exe.06D71F7A6C6311A2
      c:\windows\system32\services.exe.2201F4E0F93086CD
      c:\windows\system32\services.exe.F84A5FD7F558C989
      c:\windows\system32\drivers\yxldxrpu.sys

    • Clique ensuite sur "Fichier" -> "Enregistrer sous..."
    • Choisi ton bureau comme destination et nomme le fichier "CFScript"
    • Clique sur le bouton "Enregistrer"
    • Ferme le Bloc-note.
    • Fait maintenant glisser le fichier sur ton bureau sur l'icone de Combofix comme ceci (maintenir le clic-gauche de la souris et faire glisser)



    • Combofix va se relancer, suis les instructions.
    • Ne touche à rien pendant le temps du scan !!!
    • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.
      Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
      /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a b 8 Sécurité
    3 Juillet 2012 18:06:59

    Tu as bien fait comme indiqué dans l'image ? Tu peux recommencer stp ?
    a b 8 Sécurité
    3 Juillet 2012 18:51:56

    On va faire autrement alors, fais un script de correction avec OTL :
    :Files
    c:\windows\system32\services.exe.54576A293D39DC86
    c:\windows\system32\services.exe.D8CCCECAF42F72FC
    c:\windows\system32\services.exe.76D6483008E48C7A
    c:\windows\system32\services.exe.46A17DA4B7520AF6
    c:\windows\system32\services.exe.BF521BE161DD0473
    c:\windows\system32\services.exe.06D71F7A6C6311A2
    c:\windows\system32\services.exe.2201F4E0F93086CD
    c:\windows\system32\services.exe.F84A5FD7F558C989
    c:\windows\system32\drivers\yxldxrpu.sys
    a b 8 Sécurité
    3 Juillet 2012 19:10:36

    Tu peux me refaire une analyse OTL ? on va vérifier c'est bizarre ça
    a b 8 Sécurité
    3 Juillet 2012 21:23:07

    Re,

    Les outils ne trouvent pas les fichiers.
    Tu peux les supprimer manuellement ?

    • Télécharge Gmer (de Przemyslaw Gmerek).
    • Dézippe-le dans un dossier dédié ou sur ton Bureau.
    • Déconnecte toi d'Internet puis ferme tous les programmes.
    • Double-clique sur Gmer.exe.
      Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
    • Clique sur l'onglet Rootkit.
    • A droite, coche seulement Files, Services & Registry.
    • Clique maintenant sur Scan.
    • Lorsque le scan est terminé, clique sur Copy.
    • Ouvre le Bloc-notes puis clique sur le Menu Edition puis Coller.
    • Le rapport doit alors apparaître.
    • Enregistre le fichier sur ton Bureau et poste le contenu ici.
    a b 8 Sécurité
    3 Juillet 2012 22:03:56

    Ce n'est pas le rapport Gmer :) 
    a b 8 Sécurité
    3 Juillet 2012 22:31:08

    Ca me semble ok. Au niveau des problèmes ?
    3 Juillet 2012 22:34:49

    je n'ai plus aucun problème avec mes navigateurs internet. Par contre je n'arrive toujours pas à désinstaller combofix.

    les virus ont été supprimés?
    a b 8 Sécurité
    3 Juillet 2012 22:38:59

    Oui :)  la suppression des outils, on va faire ça maintenant.

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.


  • On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.

  • /!\ Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection /!\
    a b 8 Sécurité
    4 Juillet 2012 13:16:59

    Re,

    Désinstalle juste Java(TM) 6 Update 32. Plus de combofix normalement.
    Tu as bien lu le dossier Protection&Prévention ? tu as des questions ?
    4 Juillet 2012 15:33:11

    Re,

    J'ai désinstallé Java 6 Update 32 et plus de combofix.
    Concernant le dossier Protection et prévention je n'ai pas de questions mais je compte bien le respecter à la ligne à présent pour éviter tout autre contamination!
    4 Juillet 2012 17:40:40

    En tout merci beaucoup de m'avoir aidé, je n'aurais jamais réussi toute seule!

    Ce forum est vraiment très bien fait et avec des personnes compétentes, c'est très agréable!! je le conseillerai.

    Encore merci !! :) 
    a b 8 Sécurité
    4 Juillet 2012 18:23:31

    Bonne continuation :)  je ferme donc le sujet
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS