Redirections pub sirefefFermé

Question

Bonjour, 

Depuis quelques temps j'ai des soucis pour faire mes recherches sur google: j'entre le mot à rechercher, j'appuie entrer et rien ne se passe. Mon ancien antivirus (avast) détectait le virus "Win64:Sirefef-A|Trj]". J'ai desinstallé avast et installé "Microsoft security essentials". Je peux maintenant faire des recherches seulement depuis la barre google mais pas depuis le site. J'ai aussi des problèmes de redirections, par exemple en arrivant sur ce site j'ai été redirigé sur un site qui me proposait de télécharger des applications Iphone.
J'ai besoin que mon ordinateur marche au mieux pour mon travail, merci de me répondre au plus vite.

Configuration: Windows XP / Internet Explorer 8.0

kalimusic · Answer

Bonjour, 

 == == == == == == == == == == == == == == == == == == == == == == 

Sauvegarde tes documents les plus importants. 

 == == == == == == == == == == == == == == == == == == == == == == 

Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.

&#9656; &#9656; Accepte d'installer la console de récupération si tu es sous XP &#9666; &#9666;

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; Il est possible que l'outil est besoin de redémarrer l'ordinateur.
&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 

!! Réactive les protections résidentes de ton PC !!    

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt  

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A + 

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

thicu · Answer

D'accord merci, mais j'ai un souci. Combofix me dit que avast tourne sur mon pc alors que je l'ai désinstallé et je crois avoir vérifié les processus et je vois rien de rattaché à avast (enfin je m'y connais pas trop), du coup je voudrais pouvoir faire marcher votre programme en étant sur de ne pas endomager mon pc.

kalimusic · Answer

ok,

Avast! a du être mal désinstallé.
Si tu es connecté en filaire :  
Redémarre en mode sans échec avec prise en charge réseau.
Puis relance ComboFix (il est important d'avoir accès au réseau car sous XP, tu dois installer la console de récupération). 
Si tu te connectes en wifi, ignore l'alerte et continue.

A +

thicu · Answer

http://cjoint.com/?0FjnrBa8sph voici le lien merci

kalimusic · Answer

re,

Toujours des soucis de redirections ?

1. Désinstalle si encore présents et si possible ces logiciels indésirables :

Babylon
Babylon Toolbar
Searchqu Toolbar 

Aide : Comment désinstaller un programme

2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.   
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

3. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
&#9656; Pour "Suspicious object" laisse sur "Skip"
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

4. Héberge les rapports et poste les liens.

A +

thicu · Answer

ok alors:

1. Je n'ai pas trouvé les programmes en question dans l'ajout et suppression de programme, du coup je suppose qu'ils n'existent plus.

2. Voici le premier rapport: http://cjoint.com/?0Fkob5JNIr2

3. Le 2ème programmes détecte "Virus.Win32.Rloader.a" et me propose l'action "cure". Je fais quand même "skip" ?

Merci pour l'aide.

kalimusic · Answer

Bonjour,

Relance TDSSkiller et choisir Cure
Héberge le rapport et poste le lien.

A +

thicu · Answer

Alors j'ai relancé et il me trouve plus rien (la première fois j'avais pas fait skip ni cure, j'avais simplement fermé donc peu être qu'il a nettoyé)..  

Voici le 2ème rapport: http://cjoint.com/?BFkreLTB4Zd

ah et sinon j'ai toujours des redirections et google marchait bien hier après l'utilisation de combofix mais il ne remarche plus appart sur la barre google.

kalimusic · Answer

Si tu as toujours des redirections, cela signifie que Win32.Rloader.a est toujours présent.
Je ne comprends pas pourquoi TDSSKiller ne l'indique plus au second scan.

Télécharge aswMBR sur ton Bureau.

&#x25CF; Lance  aswMBR.exe
&#x25CF; Clique sur le bouton Scan
&#x25CF; Patiente pendant l'analyse
&#x25CF; Clique sur Save log 
&#x25CF; Enregistre le rapport sur le Bureau. 
&#x25CF; Copie/colle le dans ton prochain message.

A +

thicu · Answer

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-10 18:30:22
-----------------------------
18:30:22.671    OS Version: Windows 5.1.2600 Service Pack 3
18:30:22.671    Number of processors: 2 586 0x170A
18:30:22.671    ComputerName: D12R4MK1  UserName: 
18:30:24.109    Initialize success
18:32:33.640    AVAST engine defs: 12061000
18:32:43.656    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
18:32:43.656    Disk 0 Vendor: ST932042 0002 Size: 305245MB BusType: 3
18:32:43.687    Disk 0 MBR read successfully
18:32:43.687    Disk 0 MBR scan
18:32:43.718    Disk 0 unknown MBR code
18:32:43.718    Disk 0 Partition 1 00     DE Dell Utility Dell 8.0       39 MB offset 63
18:32:43.734    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       305210 MB offset 81920
18:32:43.734    Disk 0 scanning sectors +625153410
18:32:43.812    Disk 0 scanning C:\WINDOWS\system32\drivers
18:32:56.687    Service scanning
18:33:04.937    Service MpKsl6270d269 C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{56824B64-788F-48D9-A92B-04F5C529D6AF}\MpKsl6270d269.sys **LOCKED** 32
18:33:15.500    Modules scanning
18:33:27.750    Module: C:\WINDOWS\system32\drivers\hardlock.sys  **SUSPICIOUS**
18:33:28.812    Disk 0 trace - called modules:
18:33:28.828    ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
18:33:28.828    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8ae37ab8]
18:33:28.828    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x8ae38028]
18:33:33.171    AVAST engine scan C:\WINDOWS
18:33:52.203    AVAST engine scan C:\WINDOWS\system32
18:37:02.984    AVAST engine scan C:\WINDOWS\system32\drivers
18:37:24.156    AVAST engine scan C:\Documents and Settings	hierry curchod
19:18:51.406    AVAST engine scan C:\Documents and Settings\All Users
19:22:51.765    Scan finished successfully
19:42:22.281    Disk 0 MBR has been saved successfully to "C:\Documents and Settings	hierry curchod\Bureau\MBR.dat"
19:42:22.281    The log file has been saved successfully to "C:\Documents and Settings	hierry curchod\Bureau\RAPPORT VIRUS SIREFEF.txt"

kalimusic · Answer

re,

1. Analyse le fichier C:\WINDOWS\system32\drivers\hardlock.sys sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal

2. Télécharge MBRScan (de Eric_71) sur ton Bureau.

&#x25CF;  Lance MbrScan.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton "Report" 

Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécéssaire.

Poste le lien du rapport.

A +

thicu · Answer

1. https://www.virustotal.com/file/a9e4d2ee0cde5bd0d2caa784c080146b6edbc78ab6857995dea8d377d9e3cf46/analysis/1339355921/

2. http://cjoint.com/?BFkvBrp0i26

voilà

kalimusic · Answer

Plus de trace de Win32.Rloader.a et rien d'anormal dans le MBR.

Nous allons utiliser cet outil de diagnostic afin de trouver l'origine des redirections.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

thicu · Answer

Là google remarche pour le moment et j'ai pas eu de redirection à nouveau. Je vai quand même suivre vos instructions par précaution. Je vous redis, merci.

kalimusic · Answer

C'est un bonne nouvelle, voyons ce que donne les rapports tout de même.

A +

thicu · Answer

rapport OTL : http://cjoint.com/?0FkwihAxKVn

rapport Extras : http://cjoint.com/?0FkwjpRrzVy

kalimusic · Answer

Tu as vraiment eu la nouvelle variante de Sirefef, il reste encore des fichiers de l'infection.
On va les supprimer avec ComboFix mais avant j'ai un doute sur un autre élément. 

Analyse le fichier C:\WINDOWS\System32\rpcnetp.dll  sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal

Désinstalle si possible Ilivid

A +

thicu · Answer

Alors j'ai supprimer Ilivid de l'ajout et suppression de programme.

voici le lien de l'analyse: https://www.virustotal.com/file/0a48fd481cc5901b6a1608b58e55823d77cef5bd2897392f201a450af301292e/analysis/1339360468/

kalimusic · Answer

Parfait,

 == == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

 == == == == == == == == == == == == == == == == == == == == == ==

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions en citation :

:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21     
FF - prefs.js..extensions.enabledItems: {4daac69c-cba7-45e2-9bc8-1044483d3352}:2.5.8.6     
[2012.06.09 10:15:42 | 000,000,000 | ---D | M] (ST_France Community Toolbar) -- C:\Documents and Settings	hierry curchod\Application Data\Mozilla\Firefox\Profiles\3pax2119.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}     
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.     
O3 - HKLM\..\Toolbar: (no name) - !{D7E97865-918F-41E4-9CD0-25AB1C574CE8} - No CLSID value found.     
O3 - HKU\S-1-5-21-1830391017-2268329924-4289280917-1005\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found.     
O3 - HKU\S-1-5-21-1830391017-2268329924-4289280917-1005\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.     
MsConfig - StartUpFolder: C:^Documents and Settings^thierry curchod^Menu Démarrer^Programmes^Démarrage^LimeWire On Startup.lnk -  - File not found
[2012.06.02 08:18:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Application Data\BabylonToolbar     
[2012.06.02 08:17:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\ConduitEngine     
[2012.06.02 08:17:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Application Data\searchqutoolbar     
[2012.06.02 08:17:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Application Data\searchquband     
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] 
[1 C:\*.tmp files -> C:\*.tmp -> ] 
[2012.06.10 18:24:31 | 000,000,374 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.ics 
[2011.02.13 10:52:55 | 000,000,420 | ---- | M] () -- C:\WINDOWS\Tasks\RPCReminder.job  
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

2. Ouvre le bloc-note et copie/colle les instructions en citation :     

KillAll::

ClearJavaCache::

Folder::
C:\Documents and Settings	hierry curchod\Local Settings\Application Data\{a6bad313-8592-8997-bc47-184027a44354}
C:\WINDOWS\Installer\{a6bad313-8592-8997-bc47-184027a44354} 
&#x25CF; Sauvegarde le fichier sous le nom CFScript.txt  impérativement sur ton Bureau.     

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!        

&#x25CF; Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img     
&#x25CF; Patiente pendant le travail de l'outil et la création du rapport.

3. Héberge les rapports et poste les liens.

A +

kalimusic · Answer

Bonsoir,

un soucis dans les dernières manip' ?

A +

thicu · Answer

re, enfaite je suis le fils de la personne qui a ce virus et je l'aide quand il occupe pas l'ordi. Là il a beaucoup de travail du coup j'ai pas pu venir sur l'ordi pour continuer.
J'ai essayé une fois de glisser le "CFScript.txt" ça bloquait pendant 20 min à la partie ou ça crée un point de restauration du coup j'ai stopé l'ordi. Normalement je devrais pouvoir faire la suite ce soir

kalimusic · Answer

Bonjour,

Poste déjà le rapport OTL, on avisera ensuite.

A +

thicu · Answer

Alors (j'ai rien refait depuis) il a éteint son pc et depuis quand il le redémarre ya la barre de chargement windows et après le noir complet...plus rien... on ne sait plus du tout quoi faire..

kalimusic · Answer

Bonsoir,

As tu accès au mode sans échec ?

A +

thicu · Answer

J'ai tenté de selectionner le mode sans échec avec prise en charge du réseau, ou sinon démarrage avec les derniers paramètre fonctionnel connu chaque fois ça finissait pareil noir, du coup, j'éteignais manuelement.

thicu · Answer

ah on me dit que y'a du nouveau que ça remarche désolé ^^' fallait être plus patient apparement

Je vai vite aller continuer la procédure

kalimusic · Answer

ComboFix a installé la console de récupération, fait une restauration du registre avant la dernière manip : https://www.malekal.com/tutoriels-logiciels/#mozTocId432656

A +

thicu · Answer

Alors avant tout le lien du rapport OTL:

http://cjoint.com/?0FmxlE2TeSH

kalimusic · Answer

Tu as réussi à redémarrer normalement ?

thicu · Answer

Oui, là il a été redémarré normalement. Il a juste été vraiment lentement. Je fais quand même la récupération du registre?

kalimusic · Answer

Non

Relance OTL 

&#x25CF;  Coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.

A +

thicu · Answer

Voici le lien du rapport OTL : http://cjoint.com/?BFna0vHmrVk

kalimusic · Answer

Bonjour,

Comment fonctionne le pc maintenant ?
Il reste des fichiers et des dossiers appartenant à l'infection, on va essayer de les supprimer avec ce logiciel (avant d'utiliser un outil plus puissant) :

Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

&#x25CF; Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#x25CF; Clique dans l'onglet du haut "Recherche"
&#x25CF; Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
&#x25CF; Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

&#9656;  A la fin de l'analyse, si MBAM n'a rien trouvé :
&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

&#9656;  Si des menaces ont été détectées :
&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression.

Poste le rapport

A +

Redirections pub sirefef

33 réponses

Discussions similaires

Newsletters