Sirefef

Sirefef - Win 7 - Windows & Software

Marsh Posté le 13-05-2013 à 22:04:48    

Bonjour,  
Je viens demander de l'aide suite à une probable infection de Sirefef detecté par Chrome et Avast.  
 
En naviguant sur les forum, j'ai essayé d'utiliser le logiciel RogueKiller. Il a trouvé des données que j'au supprimé, voici ce qui semble être le rapport :  
 
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy  
mail : tigzyRK<at>gmail<dot>com  
Remontees : http://www.sur-la-toile.com/discus [...] ntees.html  
Site Web : http://www.sur-la-toile.com/RogueKiller/  
Blog : http://tigzyrk.blogspot.com/  
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version  
Demarrage : Mode normal  
Utilisateur : Thibaut Cambon [Droits d'admin]  
Mode : Suppression -- Date : 13/05/2013 20:19:33  
| ARK || FAK || MBR |  
¤¤¤ Processus malicieux : 1 ¤¤¤  
[SUSP PATH] MusicManager.exe -- C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe [-] -> TUÉ [TermProc]  
¤¤¤ Entrees de registre : 6 ¤¤¤  
[RUN][SUSP PATH] HKCU\[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe" ) [-] -> NON SELECTIONNÉ  
[RUN][SUSP PATH] HKUS\S-1-5-21-1526602329-3622394769-2401582177-1000[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe" ) [-] -> NON SELECTIONNÉ  
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)  
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)  
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)  
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)  
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤  
[ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB51983$ >> \systemroot\system32\config --> SUPPRIMÉ  
[Del.Parent][FILE] 1739758770 : C:\Windows\$NtUninstallKB51983$\1739758770 [-] --> SUPPRIMÉ  
[Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB51983$\71159602\@ [-] --> SUPPRIMÉ  
[Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB51983$\71159602\Desktop.ini [-] --> SUPPRIMÉ  
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\L\00000004.@ [-] --> SUPPRIMÉ  
[Del.Parent][FILE] 201d3dde : C:\Windows\$NtUninstallKB51983$\71159602\L\201d3dde [-] --> SUPPRIMÉ  
[Del.Parent][FILE] 76603ac3 : C:\Windows\$NtUninstallKB51983$\71159602\L\76603ac3 [-] --> SUPPRIMÉ  
[Del.Parent][FILE] xadqgnnk : C:\Windows\$NtUninstallKB51983$\71159602\L\xadqgnnk [-] --> SUPPRIMÉ  
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\L --> SUPPRIMÉ  
[Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000004.@ [-] --> SUPPRIMÉ  
[Del.Parent][FILE] 00000008.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000008.@ [-] --> SUPPRIMÉ  
[Del.Parent][FILE] 000000cb.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\000000cb.@ [-] --> SUPPRIMÉ  
[Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000000.@ [-] --> SUPPRIMÉ  
[Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000032.@ [-] --> SUPPRIMÉ  
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\U --> SUPPRIMÉ  
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602 --> SUPPRIMÉ AU REBOOT  
[ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$ --> SUPPRIMÉ AU REBOOT  
[Faked.Drv][FILE] csc.sys : C:\Windows\system32\drivers\csc.sys [-] --> IMPOSSIBLE DE REPARER  
¤¤¤ Driver : [CHARGE] ¤¤¤  
¤¤¤ Infection : ZeroAccess ¤¤¤  
¤¤¤ Fichier HOSTS: ¤¤¤  
--> C:\Windows\system32\drivers\etc\hosts  
127.0.0.1 www.007guard.com  
127.0.0.1 007guard.com  
127.0.0.1 008i.com  
127.0.0.1 www.008k.com  
127.0.0.1 008k.com  
127.0.0.1 www.00hq.com  
127.0.0.1 00hq.com  
127.0.0.1 010402.com  
127.0.0.1 www.032439.com  
127.0.0.1 032439.com  
127.0.0.1 www.0scan.com  
127.0.0.1 0scan.com  
127.0.0.1 www.1000gratisproben.com  
127.0.0.1 1000gratisproben.com  
127.0.0.1 1001namen.com  
127.0.0.1 www.1001namen.com  
127.0.0.1 100888290cs.com  
127.0.0.1 www.100888290cs.com  
127.0.0.1 www.100sexlinks.com  
127.0.0.1 100sexlinks.com  
[...]  
¤¤¤ MBR Verif: ¤¤¤  
+++++ PhysicalDrive0: FUJITSU MHX2300BT ATA Device +++++  
--- User ---  
[MBR] c82d8438ba2479c2c513966a99dfc176  
[BSP] 3f5889865b7e80f15b9509b049480514 : Windows 7/8 MBR Code  
Partition table:  
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 11125 Mo  
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 22786048 | Size: 275042 Mo  
User = LL1 ... OK!  
User = LL2 ... OK!  
+++++ PhysicalDrive1: PIXIKA USB Flash Drive USB Device +++++  
--- User ---  
[MBR] 334f879b7b3c18a4590f5dab9fe2b3ea  
[BSP] 25f3024595f3b7dfbbc81cdc98cec57c : Empty MBR Code  
Partition table:  
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1007 Mo  
User = LL1 ... OK!  
Error reading LL2 MBR!  
Termine : << RKreport[2]_D_13052013_201933.txt >>  
RKreport[1]_S_13052013_201657.txt ; RKreport[2]_D_13052013_201933.txt  
 
 
Maintenant, Chrome et Avast ne detectent plus rien. Par contre, je ne peux plus télécharger de fichier (problème analyse antivirus) et je ne peux plus activer le pare feu windows (erreur : 0x80070424).  
Que faire ?  
Merci de votre aide

Reply

Marsh Posté le 13-05-2013 à 22:04:48   

Reply

Marsh Posté le 13-05-2013 à 23:25:30    

Merci de relire les règles concernant les logs :jap:

Reply

Marsh Posté le 13-05-2013 à 23:47:30    

Bonjour,
 
--> Utilise ComboFix.
 
Un guide et un tutoriel sur l'utilisation de ComboFix
 
Pour le rapport, héberge-le sur http://pjjoint.malekal.com/ puis poste le lien dans ta prochaine réponse.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed