Votre question

virus luhe sirefef et backdoor generic 15 (RESOLU)

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Septembre 2012 18:04:46

Bonjour !

Je viens d'installer avg 2013 (offre d'essai 1 mois) sur mon portable après plusieurs semaines sans antivirus. Comme je m'y attendais un peu, il a du faire le ménage. Mais il y a de la resistance.

Toutes les 5-10 mn, avg detecte un virus et affiche la présence de backdoor.generic 15 et luhe.sirefef. Il n'arrive pas à les déloger et je ne sais pas comment faire.

Quelqu'un pourrait-il m'aider ?

PS : j'ai fait des copies d'écran de ce qu'affiche avg mais je ne vois pas comment les mettre dans ce post.

Autres pages sur : virus luhe sirefef backdoor generic resolu

a c 628 8 Sécurité
13 Septembre 2012 19:06:47

Bonjour,

C'est le rootkit zeroaccess, une infection potentiellement grave, contractée car ton pc et/ou tes logiciels/addons ne sont pas à jour !

Pour voir :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %systemroot%\assembly\GAC_32\*.ini
    %systemroot%\assembly\GAC_64\*.ini
    %systemdrive%\$Recycle.Bin|@;true;true;true
    %systemroot%\Installer|@;true;true;true
    C:\Windows\assembly\tmp\U\*.* /s
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    Contenus similaires
    a c 628 8 Sécurité
    13 Septembre 2012 21:32:12

    Re,

    Tu as utilisé TDSSkiller ?
    Citation :
    [2012/09/13 19:35:38 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\windows\SysNative\services.exe
    [2012/09/13 19:33:06 | 002,211,928 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\Johann\Desktop\tdsskiller.exe


    Il avait détecté une menace ou pas ?
    Poste le rapport si tu l'as.

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure


    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :Files
    C:\windows\assembly\GAC_32\Desktop.ini
    C:\windows\assembly\GAC_64\Desktop.ini
    C:\windows\Installer\{93353b27-ce94-6844-552c-6d2c8f499f3e}\L
    C:\windows\SysNative\services.exe|C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe /replace

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    2) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    13 Septembre 2012 21:52:44

    oui j'ai utilisé killer. il m'a trouvé un virus qu'il a pu supprimer et un de catégorie médium que j'ai mis en quarantaine (si je le supprime j'ai des problèmes pour démarrer le portable).

    J'ai effectué l'opération "correction" avec otl et voici le nouveau rapport :

    http://pjjoint.malekal.com/files.php?id=20120913_x6b7z1...

    dois-je tout de même faire roguekiller ?
    m
    0
    l
    a c 628 8 Sécurité
    14 Septembre 2012 10:17:18

    Re,

    Oui, il me faut le rapport de scan de Roguekiller.

    Il me faut aussi le rapport de TDSSkiller :
    Il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
    m
    0
    l
    a c 628 8 Sécurité
    14 Septembre 2012 22:16:52

    Re,

    Ok y'a encore des restes même si les outils ont supprimé une partie.

    Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Suppression en haut à droite.
    Note : s'il est grisé, lance d'abord "Scan" pour l'activer, attend la fin de l'analyse, puis appuie sur le bouton "Suppression"
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    a c 628 8 Sécurité
    14 Septembre 2012 23:03:30

    Re,

    Non c’est ok, il travaillé,mais le rapport montre ce qu'il faut.

    AVG lance-t-il encore des alertes ?
    As-tu encore d'autres symptômes ?


    Si c'est bon, on passe au nettoyage :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    /!\ La prochaine étape est importante car tu as été infecté parce que ton pc et des addons/plugin/logiciels n'étaient pas à jour !

    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9. Si rien ne se passe, fais manuellement les mise à jour ici : Démarrer -> Tous les programmes -> Windows Update

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Supprime ensuite dans ta liste des programmes les anciennes versions si encore présentes : Java(TM) 6 Update 29 et Java(TM) 7 Update 5

  • Clique sur Update Flash à droite. Si besoin, et selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    15 Septembre 2012 09:18:12

    ça bug au niveau de la mise à jour windows update (du coup je n'ai pas encore fait les autres) : la page de mise à jour me dit que windows update ne peut pas installer les mises à jour car le service n'est pas en exécution. Pourtant, dans les paramètres, il doit faire des mises à jour automatique.

    ci dessous, les liens pour copies d’écran de ce qui s'affiche :

    http://pjjoint.malekal.com/files.php?id=20120915_o8r10g...

    http://pjjoint.malekal.com/files.php?id=20120915_r12w15...

    j'ai redémarrer l'ordinateur mais c'est toujours le même message qui apparait.
    m
    0
    l
    a c 628 8 Sécurité
    15 Septembre 2012 09:42:50

    Re,

    Oui, c'est une cause récurrente après ce type d'infection.

    Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Laisse les options cochées par défaut
  • Coche en plus "Windows Update" et "Windows Firewall"
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    a c 628 8 Sécurité
    15 Septembre 2012 13:46:12

    Re,

    Effectivement de nombreux services ont été touché, on va tenter de réparer, mais je ne suis pas sûr que tout fonctionnera convenablement.

    Je vais rechercher des clés de registre sur une version 7 pro et je reviens vers toi.
    m
    0
    l
    a c 628 8 Sécurité
    15 Septembre 2012 14:47:49

    Re,

    On va tester comme ceci :

    Télécharge ce fichier sur ton bureau :
    http://dl.free.fr/qDuYfvaIS

    Fais un clic-droit dessus -> Fusionner

    Accepte l'avertissement, et valide.

    Redémarre le pc.

    Puis refais-moi ceci :

    Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Laisse les options cochées par défaut
  • Coche en plus "Windows Update" et "Windows Firewall"
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    a c 628 8 Sécurité
    15 Septembre 2012 19:32:49

    Re,

    Bon, l'un semble réparé, pas les autres.

    Fais ceci :

    Démarrer -> exécuter (si non présent, : Tous les programmes -> Accessoire -> exécuter)

    Tape exactement ceci :
    services.msc


    Valide avec "entrée"

    Dans la nouvelle fenêtre cherche dans la liste le service nommé "Windows Update"
    Sélectionne sa ligne, puis clique à gauche sur "démarrer le service" sous sa description.

    Dis-moi s'il démarre, ou si tu obtiens une erreur, si erreur, donne-la moi.

    S'il démarre, teste si Windows update fonctionne :
    Démarrer -> tous les programmes -> Windows Update
    m
    0
    l
    15 Septembre 2012 19:44:08

    ok. ça semble bon. au moment où j'écris, windows update fait les mises à jour (y'en avait 23)

    m
    0
    l
    a c 628 8 Sécurité
    15 Septembre 2012 19:49:48

    Re,

    Bien, fais la même chose pour ces deux services s'il te plait :

    Démarrer -> exécuter (si non présent, : Tous les programmes -> Accessoire -> exécuter)

    Tape exactement ceci :
    services.msc

    Valide avec "entrée"

    Dans la nouvelle fenêtre cherche dans la liste les services nommés "Parfeu Windows" et "Moteur de filtrage de base
    Pour chacun, sélectionne sa ligne, puis clique à gauche sur "démarrer le service" sous sa description.

    Dis-moi s'ils démarrent, ou si tu obtiens une erreur, si erreur, donne-la moi.
    m
    0
    l
    15 Septembre 2012 21:15:24

    pour moteur de filtrage de base, ça me dite erreur 5 : accès refusé

    pour pare feu windows, ça me dit erreur 1068 : le service ou le groupe de dépendance n'a pas pu démarrer.
    m
    0
    l
    a c 628 8 Sécurité
    15 Septembre 2012 21:35:20

    Re,

    AVG c'est seulement l'antivirus ou c'est la suite de sécurité complète ? (AVG Internet Security)
    m
    0
    l
    a c 628 8 Sécurité
    16 Septembre 2012 12:13:27

    Re,

    D'après ta précédente image, avg n'avait pas activé son parefeu effectivement.

    Tu avais un antivirus avant lui ? genre avg 2012 justement ?

    Tu peux tester de désinstaller AVG2013, passer cet outil :
    http://www.inforumatique.fr/index.php/utilitaires/netto...

    Puis voir si le parefeu se réactive, ou si le diagnostic déclare autre chose ?
    m
    0
    l
    16 Septembre 2012 13:19:53

    oui j'avais un avg avant (probablement le 2012). j'ai essaye le logiciel pour enlever avg mais quand je le lance, rien ne se passe (un ecran de commande apparait à peine une demi seconde puis rien)
    m
    0
    l
    16 Septembre 2012 13:43:57

    en fait c'est bon, je n'avais pas la bonne version. j'ai donc enlevé avg et refait un fix it, mais c'est toujours le même problème qui apparait concernant un avg 2012 (j'ai essayé de démarrer le pare feu mais c'est aussi le même message d'erreur qui apparait). ci dessous le rapport de fix it

    http://pjjoint.malekal.com/files.php?id=20120916_s7s14p...

    du coup, là je suis sans anti virus ni pare feu.
    m
    0
    l
    a c 628 8 Sécurité
    16 Septembre 2012 15:03:24

    Re,

    Ok, on va tester autre chose alors, probablement que ce n'était pas AVG qui bloquait.

    Télécharge Services Repair (de Eset) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur ServicesRepair.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • L'outil va te demander de confirmer le lancement, accepte avec le bouton "Yes"
  • Laisser-le travailler (cela peut prendre quelques minutes)
  • Une nouvelle fenêtre va apparaitre pour demander de redémarrer le PC, accepte avec "Yes"

  • Au redémarrage, un dossier aura été crée sur ton bureau, nommé CC Support
  • Poste-moi dans la prochaine réponse le rapport qui se trouve ici : CC Support\Logs\SvcRepair.txt

    m
    0
    l
    a c 628 8 Sécurité
    16 Septembre 2012 19:19:14

    Re,

    très bien, voyons ce que cela donne :

    Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Laisse les options cochées par défaut
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    a c 628 8 Sécurité
    16 Septembre 2012 19:57:17

    Re,

    On teste autre chose :

    1) Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

  • Double-Clic dessus pour l'installer puis lance-le.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Va directement à l'onglet "step 3"

  • Clique sur le bouton Do It, et laisse le scan s'effectuer.

  • Ferme le programme et redémarre le PC

  • Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Dans la fenêtre suivante, coche exactement ces options :


  • Redémarre le pc s'il ne le fait pas automatiquement.

    (Merci à WhiteHat pour les images)


    2) Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    a c 628 8 Sécurité
    16 Septembre 2012 22:43:51

    Re,

    Parfait, confirme-moi que ton parefeu est de nouveau actif

    Par contre, je voudrais vérifier quelque chose, donc refais le rapport FSS mais cette fois-ci comme je te demandais coche toutes les cases possibles, toutes ! :D 
    m
    0
    l
    a c 628 8 Sécurité
    17 Septembre 2012 10:38:04

    Re,

    Oui, tu peux réinstaller AVG, refais un scan complet avec lui et dis-moi s'il détecte quelque chose.
    m
    0
    l
    17 Septembre 2012 12:41:06

    J'ai installé avg 2013 et fait un scan, il n'a détecté aucune menace. Ouf. Je pense que cette fois c'est bon. merci beaucoup de ton aide et du temps passé à trouver des solutions.
    m
    0
    l
    a c 628 8 Sécurité
    17 Septembre 2012 13:58:12

    Re,

    Tu peux supprimer les derniers outils utilisé, et leurs rapports.

    N'oublie pas de lire les conseils et liens que je te fournissais pour éviter de nouvelles infection.

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS