Votre question

win 32 services exe infectes sirefef

Tags :
  • Services
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Décembre 2012 11:37:05

bonjour voila hier mon ordi ne rebooter plus apres analyse avast mon syteme 32 services exe est infectes par sirefef ! pourrais je avoir de laide svp j'ai vu un autre sujet identique au mien ou angeldark donne une solution je voulais faire pareil mais je ne suis pas sur qu il faillent que je copie les m elements si qlq a une solution a mon probleme pourriez m'aider svp!

Autres pages sur : win services exe infectes sirefef

26 Décembre 2012 12:46:12

suite: puisque sur plusieurs forums j'ai pu contaster que pour le m probleme que moi tt le monde disais d'installer combofix et de faire une analyse je l'ai fait et apres obtention du rapport on me dit que les fichiers infectes on etait supprimer mais ce que je ne comprend pas c'est que plusieurs cles de registre on etait bloquer ce qui empeche l'acces a plusieurs apllications tels que google chrome (sauf execution admin) certains elements du panneau de configuration!! ma question: est ce normal? et que dois je faire pour continuer la procedure de suppression du virus sirefef desole je vous avouerais que je suis pas experte en ordi j'ai slmt quelque base alors votre aide m'est indispensable ;)  j attend vos reponses avant de faire quoi que ce soit pour ne pas empirer ou creer d' autre probleme merci d'avance ;) 
a c 614 8 Sécurité
27 Décembre 2012 10:42:44

Bonjour,

Il nous faudrait le rapport de Combofix déjà pour analyse :
Il se trouve ici C:\Combofix.txt

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Le problème ensuite est que Combofix est un outil puissant qu'il aurait fallu attendre avant d'utiliser sans une aide extérieure ...

    à faire aussi :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 614 8 Sécurité
    27 Décembre 2012 11:46:46

    Re,

    Donne-moi seulement le rapport Extra d'OTL de la prochaine analyse ;) 

    Et pense à poster le rapport d'OTL sans mot de passe, sinon je ne peux y accéder ! :ange: 
    a c 614 8 Sécurité
    27 Décembre 2012 12:22:06

    Re,

    Ok pour le Extra, mais donc, soit reposte le OTL sans mot de passe, soit donne-moi en mp le mot de passe (je préfère la première option) ;) 
    a c 614 8 Sécurité
    27 Décembre 2012 12:28:09

    Tu as remis le même lien avec le mot de passe ...

    Ré-héberge le rapport ce sera plus rapide ;) 
    27 Décembre 2012 12:30:41

    c bon je lai reposte c le bon cette fois on va y arriver
    j ai modifié mon message c le bon lien sans mdp
    a c 614 8 Sécurité
    27 Décembre 2012 14:05:20

    Re,

    Lorsque tu as effectué la procédure avec OTL tu n'as pas correctement ou pas copié du tout le script que j'avais demandé.
    Or il me faut absolument certains résultats pour poursuivre la procédure.

    Merci donc de refaire EXACTEMENT ceci :

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, seul le rapport OTL.Txt s'ouvrira cette fois.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 614 8 Sécurité
    27 Décembre 2012 16:33:28

    Re,

    Ok, on va nettoyer quelques restes, et faire des vérification pour voir si le rootkit zeroaccess, à l'origine de tes alertes est bien supprimé.

    Avant de commencé il me faut savoir si ta version de Windows 7 Ultimate est bien légale, car sinon les manipulations pourraient provoquer des erreurs ou plantage.

    Si c'est ok poursuis, sinon, dis-le moi.

    Citation :
    Drive C: | 148,95 Gb Total Space | 11,70 Gb Free Space | 7,85% Space Free | Partition Type: NTFS

    Ton disque dur est saturé, cela peut provoquer ralentissement et plantage, tu dois absolument supprimer les programmes inutiles et archiver les documents personnels (vidéo, photos, etc ...)

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Java(TM) 6 Update 32 (version obsolète et vulnérable, tu possèdes une plus récente)

    - Babylon toolbar on IE (sponsor publicitaire)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
    IE - HKU\S-1-5-21-1269893666-2729030537-4102362117-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=111020&tt=050412_30b&babsrc=SP_ss&mntrId=d09b8815000000000000001b77739e68
    IE - HKU\S-1-5-21-1269893666-2729030537-4102362117-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
    IE - HKU\S-1-5-21-1269893666-2729030537-4102362117-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/mb106/?search={searchTerms}&loc=search_box&a=6PQliKiX1g
    IE - HKU\S-1-5-21-1269893666-2729030537-4102362117-1000\..\SearchScopes\{F80E0DCA-1A60-4345-B95E-00606A32C604}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=HIP&o=102875&src=crm&q={searchTerms}&locale=&apn_ptnrs=6F&apn_dtid=YYYYYYYYFR&apn_uid=f7474a03-33a0-4c1e-8107-e25b7a84523f&apn_sauid=5C3EF1DF-09E7-422B-AD0B-C68D99441CC6&
    IE - HKU\S-1-5-21-1269893666-2729030537-4102362117-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
    O3 - HKU\S-1-5-21-1269893666-2729030537-4102362117-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
    [2012/12/26 11:55:03 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{b5879db1-4552-c1f3-696e-014761cf000e}\L
    [2012/12/26 11:55:03 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{b5879db1-4552-c1f3-696e-014761cf000e}\U
    [2011/09/13 19:17:49 | 000,000,000 | ---D | M] -- C:\Users\gaelle\AppData\Roaming\Babylon

    :Files
    C:\Program Files (x86)\BabylonToolbar
    C:\Windows\Installer\{b5879db1-4552-c1f3-696e-014761cf000e}

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    27 Décembre 2012 16:37:10

    non ma version de windows 7 est cracké
    27 Décembre 2012 16:42:29

    j ai vider un peu mon disk dur il reste 48 go d'espace libre cela suffit?
    j attend tes intructions pour faire quoi que ce soit je n'ai rien fait pour l'instant vu que mon windows n'est pas legal!
    jai tt de m supprime babylone toolbar et java 6
    Encore une chose j'ai fait une analyse malewarbytes antimalware qui me trouve 5 virus je te transmet le rapport
    http://security-x.fr/up/file.php?h=R66a7ce5c98f72b5d6e1...

    mais je n'ai rien supprime afin de pas faire d'erreur sans instruction
    a c 614 8 Sécurité
    27 Décembre 2012 19:17:33

    Re,

    ET voilà exactement ce que je te disais :
    Citation :
    C:\Windows\Setup\scripts\faXcooL.exe (HackTool.Wpakill) -> Aucune action effectuée.


    Si jamais tu avais supprimé ceci, ta version crackée se serait retrouvée bloquée et inutilisable.

    Notre éthique ici veut que normalement nous ne prenions pas en charge les versions non légales d'OS.
    Ceci pour des raisons techniques et légales.

    Tu peux appliquer le correctif que je te donne avec OTL, il ne devrait pas mettre en péril le crack de ta version, néanmoins je rejette toute responsabilité à partir de maintenant, et je n'irais pas plus loin dans la prise en charge.

    Je t'indique juste que si tu ne veux pas être ré-infecté ensuite, il faut maintenir ce pc et ses logiciels à jour, ce qui avec des version crackée n'est pas toujours possible justement ...


    Une fois terminé tu pourra supprimer OTL comme ceci :

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    ---------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS