infection Sirefef & ATRAPS 2013-03-30T11:00:09+00:00
  • Auteur
    Messages
  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Bonjour,

    depuis hier, Avira me signale en cascade qu’il bloque TR/Sirefef.AG.9 et TR/ATRAPS.Gen2

    Je trouve votre forum et ce matin j’exécute la procédure
    scan OTL.exe qui me produit les rapports :

    Extras.Txt
    http://up2sha.re/file?f=wfa3hhNV3BMf” onclick=”window.open(this.href);return false;

    log.txt
    http://up2sha.re/file?f=KkfzARRk25DZ” onclick=”window.open(this.href);return false;

    Ensuite, je remets en route Avira et plus aucune manifestation des virus…

    Par contre maintenant windows m’invite à installer “Service pack 1″…
    (je suis sous vista)

    Qu’en pensez vous ?

    Cordialement,
    Nachberbelef

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    J’ai redémaré et même comportement qu’hier…

    Avira a mis en quarantaine les deux virus, puis recommence à les détecter…

    Bien à vous,
    Nachberbelef

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    salut :)

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l’outil sur d’autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus “non vitaux de windows” vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan –> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc….: http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm” onclick=”window.open(this.href);return false;

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html” onclick=”window.open(this.href);return false; (renommé winlogon)

    ou , si le lien n’est pas fonctionnel :

    http://www.archive-host.com/files/1731274/ecd939269bcc7cdfed2d2e726c22709a32db3067/winlogon.exe” onclick=”window.open(this.href);return false; (renommé winlogon)
    http://www.security-helpzone.com/Tools/g3n/winlogon.exe” onclick=”window.open(this.href);return false; (renommé winlogon)

    si l’outil est relancé plusieurs fois , il te proposera un menu et qu’aucune option n’est demandée, lance l’option “Scan|Kill”

    si l’outil est bloqué par l’infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr” onclick=”window.open(this.href);return false;
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif” onclick=”window.open(this.href);return false;
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com” onclick=”window.open(this.href);return false;

    si l’outil detecte un proxy et que tu n’en as pas installé clique sur “supprimer le proxy”

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    l’outil va envoyer sur un serveur les virus qu’il a mis en quarantaine afin que je puisse l’ameliorer et etudier ces infections plus en profondeur.

    Laisse l’outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l’heure.txt qui apparaitra à la racine de ton disque système ( généralement C: )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://cjoint.com” onclick=”window.open(this.href);return false; puis donne le lien obtenu en echange sur le forum où tu te fais aider

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Ok merci,

    j’ai effectué le process, voici le rapport :

    Pre_Scan_30_03_2013_15_25_48.txt
    http://up2sha.re/file?f=Pw6ALfi7EMzM” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    bien !

    Télécharge et enregistre http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner” onclick=”window.open(this.href);return false; < = ADWCleaner sur ton bureau :

    Lance le,(Pour vista/7/8 => clic droit “executer en tant qu’administrateur”)

    clique sur suppression et poste C:Adwcleaner[Sx].txt

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Ok, ADWCleaner effectué, voici le rapport :

    AdwCleaner[S1].txt
    http://up2sha.re/file?f=9FycmaNPOq3i” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    magnifique

    relance pre_scan , clqiue sur diag , heberge le rapport pre_diag et donne le lien

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Ok, diag effectué, voici le rapport :

    Pre_Diag_30_03_2013_18_02_28.txt
    http://up2sha.re/file?f=W9eZwZAwdiK3” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    Télécharge Malwarebytes’ Anti-Malware (MBAM).

    Malwarebytes : http://malwarebytes.org/products/malwarebytes_free” onclick=”window.open(this.href);return false; : clique pour la version FREE

    enregistre l’exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

    En cas de probleme , lien miroir : http://majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html” onclick=”window.open(this.href);return false;

    Configure-le comme ceci :

    si tu n’as rien modifié fais directement quitter sinon enregistrer

    Si MBAM est déjà installé, aller directement à la mise à jour puis à l’analyse.

    Ce logiciel est à garder.

    ===========================================

    Uniquement en cas de problème de mise à jour:

    telecharge et execute ce fichier de mises à jour manuelles :

    http://data.mbamupdates.com/tools/mbam-rules.exe” onclick=”window.open(this.href);return false;

    ===========================================

    Connecter les supports amovibles (clés usb etc.) avant de lancer l’analyse.

    Double clique sur le fichier téléchargé pour lancer le processus d’installation.
    Dans l’onglet “Mise à jour”, clique sur le bouton “Recherche de mise à jour”: si le pare-feu demande l’autorisation à MBAM de se connecter, accepte.
    Une fois la mise à jour terminée, rends-toi dans l’onglet “Recherche”.
    Sélectionne “Exécuter un examen complet”
    Clique sur “Rechercher”
    L’analyse démarre, le scan est relativement long, c’est normal.
    A la fin de l’analyse, un message s’affiche :

    Citation
    L’examen s’est terminé normalement. Clique sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.

    Clique sur “Ok” pour poursuivre. Si MBAM n’a rien trouvé, il te le dira aussi.
    Ferme tes navigateurs.
    Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d’analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

    Si MBAM demande à redémarrer le pc, fais-le.

    Si au redémarrage Windows te dit qu’il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Ok, scan effectué et sélection supprimée, voici le rapport :

    Malwarebytes Anti-Malware 1.70.0.1100
    http://www.malwarebytes.org

    Version de la base de données: v2013.03.30.05

    Windows Vista x86 NTFS
    Internet Explorer 7.0.6000.16982
    widmir :: PC-DE-ANAÏS [administrateur]

    30/03/2013 19:18:40
    mbam-log-2013-03-30 (19-18-40).txt

    Type d’examen: Examen complet (C:|D:|F:|)
    Options d’examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d’examen désactivées: P2P
    Elément(s) analysé(s): 514708
    Temps écoulé: 1 heure(s), 42 minute(s), 9 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 13
    C:Pre_ScanQuarantineC’_Users_widmir_AppData_Local_Temp_dddddddddd.exe.P_S (Rootkit.0Access.NR) -> Mis en quarantaine et supprimé avec succès.
    C:Pre_ScanQuarantineC’_Users_widmir_AppData_Roaming_EF9EA2_EF9EA2.exe.P_S (Trojan.Agent.RVGen4X) -> Mis en quarantaine et supprimé avec succès.
    C:Pre_ScanQuarantineC’_$Recycle.bin_S-1-5-21-3144041974-3960933313-2125329881-1001_$4d8d9a5c0f6cc29f54cc167db2bbeb41.P_Sn (Rootkit.0Access.NR) -> Mis en quarantaine et supprimé avec succès.
    C:Pre_ScanQuarantineC’_$Recycle.bin_S-1-5-21-3144041974-3960933313-2125329881-1001_$4d8d9a5c0f6cc29f54cc167db2bbeb41.P_SU80000000.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:Pre_ScanQuarantineC’_$Recycle.bin_S-1-5-21-3144041974-3960933313-2125329881-1001_$4d8d9a5c0f6cc29f54cc167db2bbeb41.P_SU800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:Pre_ScanzipC’_Users_widmir_AppData_Roaming_EF9EA2_EF9EA2.exe.P_S (Trojan.Agent.RVGen4X) -> Mis en quarantaine et supprimé avec succès.
    C:Pre_Scanzipn (Rootkit.0Access.NR) -> Mis en quarantaine et supprimé avec succès.
    C:Pre_ScanzipU80000000.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:Pre_ScanzipU800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    D:Emmanuelgp4Guitar Pro 4.1.0 + KeyGenkeygen.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    D:Emmanuelgp4guitar[1].fx.box.2.6.fixed.full.incl.crack-tsrhfxbox_crk.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
    F:widmirgp4Guitar Pro 4.1.0 + KeyGenkeygen.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    F:widmirgp4guitar[1].fx.box.2.6.fixed.full.incl.crack-tsrhfxbox_crk.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

    (fin)

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    t’as vu les cracks comme c’est pourri ? ^^

    j’aurais besoin de recuperer un fichier que malwarebytes a mis en quarantaine , quand tu pourras……

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Tu m’étonnes !!
    Tu crois que ce trojan sert directement la personne qui a développé le crack ? Ou c’est juste pour foutre la merde…A moins que ce soient les éditeurs qui se vengent…
    Ce logiciel provient d’un pote guitariste…

    En plus je fais hyper-gaffe avec internet, cette machine est mon outil de travail (je développe sur Wamp).

    Merci mille fois pour la compétence et le temps consacré,
    bien à toi.

    Nachberbelef

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    regarde dans la quarantaine de malwarebytes tu vas trouver ce fichier :

    C:Pre_ScanQuarantineC’_Users_widmir_AppData_Local_Temp_dddddddddd.exe.P_S

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Bonjour,

    je ne le trouve pas,
    le seul fichier dans ce répertoire se terminant par .exe.P_S est :

    C’_Users_widmir_AppData_Local_Temp_InstallFlashPlayer.exe.P_S

    Cordialement

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Excuse,
    je me suis trompé de répertoire, je regardais dans C:Pre_ScanQuarantine

    par contre je ne trouve pas la quarantaine de Malwarebytes…

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    ouvre malwarebytes , onglet quarantaine ^^

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Bonjour g3n,

    comment puis-je faire pour te remettre ce fichier sachant que
    http://up2sha.re/” onclick=”window.open(this.href);return false;
    refuse de l’uploader même en modifiant l’extension ?

    Cordialement,
    Nachberbelef

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    re

    tu l’as restauré ?

    envoie-le ici :

    http://upload.sosvirus.org” onclick=”window.open(this.href);return false;

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Ok c’est fait,
    nom sur le serveur :
    C’_Users_widmir_AppData_Local_Temp_dddddddddd.exe.1057bf1bf2c8d526fc0300518df4c8a9

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    renomme le fichier C’_Users_widmir_AppData_Local_Temp_dddddddddd.exe en dddddd.exe juste puis renvoie-le stp

  • Photo du profil de NachberbelefNachberbelef
    Participant
    Nombre d'articles : 18

    Bonjour,

    désolé tout est nettoyé sur mon PC comme tu me l’as suggéré, je n’ai plus le fichier.

    Merci encore pour ton temps et ta compétence.

    Bonne continuation.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8319

    salut pas grave j’en aurai d’autres :)

    fais le menage :

    https://forums-fec.be/entraide/viewtopic.php?f=11&t=229” onclick=”window.open(this.href);return false;

    au plaisir

Le sujet ‘infection Sirefef & ATRAPS’ est fermé à de nouvelles réponses.