VIRUS : TR/Sirefef.abx' [trojan] et 'TR/ATRAPS.Gen2' [trojan]Fermé

Question

Bonjour, 
je suis venu sur ce forum afin de trouver une personne pouvant m'aider à mettre fin à un problème sur mon ordinateur. En effet, depuis une semaine environ, je suis alerté par mon antivirus 4 ou 5 fois par minute par l'avertisseur sonore ( ce qui devient de plus en plus rageant ). Lorsque je vais voir quel virus il a détecté, je trouve :


Dans le fichier 'C:\Windows\System32\services.exe'
un virus ou un programme indésirable 'W32/Patched.UC' [virus] a été détecté.
Action exécutée : Refuser l'accès

'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\80000032.@'
un virus ou un programme indésirable 'TR/ATRAPS.Gen2' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\00000008.@'
un virus ou un programme indésirable 'TR/Cutwail.jhg' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\000000cb.@'
un virus ou un programme indésirable 'TR/Sirefef.abx' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\80000000.@'
un virus ou un programme indésirable 'TR/Sirefef.W.16896' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}\U\00000004.@'
un virus ou un programme indésirable 'TR/ZAccess.H' [trojan] a été détecté.
Action exécutée : Refuser l'accès



Je m'arrête là, la liste étant très très longue avec plus de 500 évènements ...
l'antivirus que j'utilise s'appel AVIRA Antivir Personnal et est à jour.

en vous remerciant d'avance de l'attention que vous pourrez porter à ce post
cordialement,
Domasi

Configuration: Windows 7 / Firefox 17.0

juju666 · Accepted Answer

Quand Pre_Scan passe les rootkit trépassent \o/
Encore un bon coup du vengeur masqué ... mouhahahahahaha

kalimusic · Answer

(re) Bonjour,

Cette discussion fait suite à ce message : https://forums.commentcamarche.net/forum/affich-26248450-virus-services-exe-win32-sirefef-zt-trj#15

Redémarre en mode sans échec 

Renomme ComboFix.exe en Domasi.exe et relance l'outil. 

Si toujours pas mieux, merci de m'indiquer si tu as la possibilité de graver un CD et si le pc infecté possède un lecteur CD/DVD.

A +

Domasi · Answer

re,

j'ai relancé l'ordinateur en mode sans échec puis renommé combofix en Domasi.exe, et le résultat est le même que lorsque je n'étais pas en mode sans échec ou que je n'avais pas changer le nom du logiciel...

je possède un lecteur CD/DVD, mais pas de graveur, cependant j'ai la possibilité d'en avoir un.

kalimusic · Answer

re,  

Bon, ça se complique un peu.  
Au préalable, as tu sauvegarder une sauvegarde de tes documents ?  
Si tu ne peux pas graver immédiatement, as tu une clé usb ?  

A +  
   
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Domasi · Answer

re,

oui j'ai sauvegardé les données que je voulais sauvegarder 

oui je possède une clé USB, la plus grosse étant 16Go
je ne sais pas si cela peut aider , mais j'ai aussi un CD d'installation Ubuntu

A+

kalimusic · Answer

ok,

Imprime la procédure ou affiche-la sur un autre PC 

Télécharge Farbar Recovery Scan Tool 
&#x25CF; Enregistre-le sur une clé USB.

&#x25CF; Redémarre le système, tapote la touche F8 (ou F5 pour certains PC)
&#x25CF; La fenêtre des Options de démarrage avancées apparaît.
&#x25CF; En utilisant les flèches haut et bas du clavier, sélectionne  Réparer l''ordinateur 
&#x25CF; Valide par Entrée
&#x25CF; Choisis la langue, ton compte administrateur habituel 
(renseigne le mot de passe si c'est le cas)
&#x25CF; Sélectionne  Invite de commandes
&#x25CF;  Dans la fenêtre de commande, tape notepad, valide sur Entrée.
&#x25CF;  Le bloc-notes s'ouvre. Sous le menu Fichier, sélectionne Ouvrir.
&#x25CF; Sélectionne "Ordinateur" (ou Poste de travail sur XP) et trouve la lettre de la clé usb, referme le bloc-notes.
&#x25CF; Dans la fenêtre de commande x:\frst.exe et appuie sur Entrée
&#9656;  Remarque : Remplace la lettre x avec la lettre de la clé.
&#x25CF; Patiente puis clique sur Oui  au message Disclaimer of warranty
&#x25CF;  Appuie sur le bouton Scan.
&#x25CF; Un rapport FRST.txt sera créé dans la clé usb.

&#x25CF; Dans le champ Search :  tape services.exe
&#x25CF; Clique sur le bouton Search Files
&#x25CF; Un rapport Search.txt sera créé dans la clé usb.

Redémarre normalement et poste les rapports FRST.txt et Search.txt via https://www.cjoint.com/

A +

Domasi · Answer

re,


je suis les étapes dans l'ordre et comme indiqué, jusqu'à l'étape  :

? Dans la fenêtre de commande x:\frst.exe et appuie sur Entrée
? Remarque : Remplace la lettre x avec la lettre de la clé. 

après avoir remplacé x  par la lettre et écrit ce qu'il y as d'indiquer , j'appuie sur entré, mais à ce stade un message apparait juste en dessous de ma ligne de commande :

"le sous système requis pour prendre en charge le type d'image n'est pas présent" 

je ne peu donc pas continuer, que dois-je faire pour y remédier et continuer la procédure ? merci 

A+

kalimusic · Answer

ok :)


Redémarre en mode sans échec 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.*
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
BASESERVICES
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)


A +

Domasi · Answer

je ferai la manipulation vers mercredi, je n'aurais pas trop le temps entre temps, mais je te tiens au courant =)

a+

Domasi · Answer

bonjour,

comme je te l'avais dit, j'ai refais la manipulation avec OTL, après 2 essais freezant, j'ai enfin pu avoir un résultat et les deux documents .txt au 3ème essais, les rapports sont là : 

- https://textup.fr/31556dG (OTL.txt)
- https://textup.fr/31557o7  (Extra.txt)

sinon pour graver quelque chose, mon père n'étant pas dans les parages, je ne pourrais pas graver avant un certains temps.

en espérant que ce problème se règle rapidement maintenant =)

A+

g3n-h@ckm@n · Answer

salut pourquoi tu essaies pas d'envoyer pre_scan ? logiquement il le crève zeroaccess....

g3n-h@ckm@n · Answer

ok on peut le tenter ca mange pas de pain et si ca peut faire accelerer les choses c'est un bon coup :)

==

@Domasi :

fais tourner ca sur ton pc malade

https://forums-fec.be/gen-hackman/Pre_Scan.exe


il y aura un reboot , le scan devrait reprendre ensuite , et tu auras le rapport soit sur le bureau , soit dans c:\

g3n-h@ckm@n · Answer

relance-le , option kill pour qu'il puisse finir son scan

tu le trouveras dans le dossier pre_scan , dans C:\

g3n-h@ckm@n · Answer

non tu dois avoir la copie du truc que tu viens de telechaerger et de lancer dans le dossier

ne touche pas au fichier #kill

Domasi · Answer

j'ai deux applications :  smss.exe   et    svchost.exe
est-ce l'une de ces deux application que je dois lancer  ?

g3n-h@ckm@n · Answer

non retelecharge-le alors ca c'est des composants

Domasi · Answer

ok , je l'ai relancé, il à fini son scan, voici le fichier texte : 

- https://textup.fr/33106lI

g3n-h@ckm@n · Answer

selectionne ce texte :

Replace::
"C:\Windows\Installer\{1359687d-2526-597c-b301-1dfa3ae8f049}" "C:\Pre_Scan\Quarantine\C'_Windows_Installer_{1359687d-2526-597c-b301-1dfa3ae8f049}.P_S"


 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Domasi · Answer

voilà le fichier texte, par contre, il à presque instantanément redémarré l'ordinateur, donc je n'ai pas eu de fenêtres noir clignotantes ou autres :

-https://textup.fr/33110Og

g3n-h@ckm@n · Answer

ok touche windows + R

tape : installer puis valide

dans le dossier qui s'ouvre regarde si tu as encore ceci :

{1359687d-2526-597c-b301-1dfa3ae8f049}

Domasi · Answer

négatif

g3n-h@ckm@n · Answer

c'est bon on l'a buté le rootkit ^^

relance l'outil , clique sur diag et heberge le rapport :)

Domasi · Answer

je pense que oui je n'ai plus l'avertisseur sonore de virus=D 

voici le rapport : 

-https://textup.fr/33115g4

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

il sera aussi : C:\Adwcleaner[Sx].txt

Domasi · Answer

et voilà ! :

- https://textup.fr/33119Dg

g3n-h@ckm@n · Answer

tu as plusieurs partitions ?

Domasi · Answer

j'ai ma partition C:\ et une partition documents G:\ car avant j'avais un partition ubuntu en plus, c'était pour pouvoir passer mes documents de ubuntu à windows, mais je n'ai gardé que C:\ et G:\ ne me servant pas vraiment de ma partition ubuntu

g3n-h@ckm@n · Answer

regarde dans G:\ si tu n'as pas un fichier seeearch.dll (il faudra peut etre afficher les fichiers cachés)

Domasi · Answer

je n'ai pas de fichier avec ce nom là, j'ai aussi vérifié dans les dossiers/fichiers cachés

g3n-h@ckm@n · Answer

&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Domasi · Answer

et voila :

- https://textup.fr/33124sj

g3n-h@ckm@n · Answer

un scan generaliste et on plie si c'est bon

==


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Domasi · Answer

et voici le dernier rapport : 

- https://textup.fr/33131sC

g3n-h@ckm@n · Answer

ok t'as plus de soucis ?

Domasi · Answer

désoler je suis partit me coucher après j'étais trop mort :/

non je n'en ai plus à se niveau là =) merci beaucoup pour votre aide les gars !

g3n-h@ckm@n · Answer

re

fais le menage alors :

 https://gen-hackman.kanak.fr/

Domasi · Answer

re,

je vais le faire de ce pas !

une dernière chose cependant : quel antivirus me conseillerais-tu ?

g3n-h@ckm@n · Answer

aucun ^^

sinon plus avast qu'antivir en tout cas....

domasi · Answer

bon ben voilà, je n'ai plus d'infection ou autres, et le meilleur ==> je n'ai plus le son de détection de virus toute les 3 secondes *_* vraiment merci de votre aide ! +D

g3n-h@ckm@n · Answer

si t'as fini tout le menage c'est parfait !):

VIRUS : TR/Sirefef.abx' [trojan] et 'TR/ATRAPS.Gen2' [trojan]

40 réponses

Discussions similaires

Newsletters