Virus reviennent toujours

[Peps28]

Bonjour,

Depuis hier, mon antivirus (Avira free) détecte 3 virus qu'il met en quarantaine mais ils reviennent régulièrement. Je ne sais pas par quel bout le prendre pour nettoyer ma machine.

J'indique ci-dessous les infos que je dispose :

OS : windows XP familly mis à jour.
Antivirus : Antivir Avira personnal free antivirus - Vers 10.2.0.155

Virus détectés :

TR/ATRAPS.gen2
TR/ATRAPS.gen
BDS/ZAccess.V (apparemment virus récent d'après antivir date de découverte 06/08/2012)


Voila pour le détail.

Pouvez-vous m'aider?
Merci d'avance.

Peps

[Peps28]

Rebonjour,

J'ai suivi la procédure créée par Cyrus du 19-07-2012.

J'ai exécuté ATF-cleaner? je n'ai pas de rapport.
J'ai exécuté RSIT, ci-joint les deux rapports :




Merci d'avance pour votre aide

Peps

[kalimusic]

Bonjour et bienvenue sur Futura Sciences

Tu es infecté par la dernière variante de Sirefef.


Par précaution, sauvegarde tes documents les plus importants


Télécharge ComboFix de sUBs.

TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.

IMPORTANT : Ferme toutes tes applications en cours et désactive les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec le travail de l'outil. Aide : Désactiver le module résident de l'antivirus.

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

• Lance ComboFix
• Accepte la licence d'utilisation et laisse toi guider par le programme.
• Autorise la mise à jour si demandé
• Accepte d'installer la console de récupération (sous XP)
• Il est possible que l'outil est besoin de redémarrer l'ordinateur.
• A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
• Poste le en PJ

Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

Notes :

• Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
• Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
• Si après le redémarrage, ComboFix indique des erreurs au sujet d’éléments à supprimer, redémarrer à nouveau le système.

Aide : Comment utiliser ComboFix


A +

[Peps28]

Bonjour Kalimusic,

Merci pour ton aide.

Je t'explique ce que j'ai fait depuis ce post, cela peut peut-être t'aider pour l'analyse.

Le 14 et 15 aout
J'ai lancé Malwarebytes mis à jour, il a trouvé trois virus mais j'ai dû mis prendre à plusieurs reprises.
De plus comme j'utilise deux sessions une admin et une à droits limitées, j'ai dû le lancer indépendamment sur les deux sessions.

Le 16 aout j'ai relancé Malwarebytes et il n'a rien trouvé, le problème parait comme résolu mais aucune certitude.

Je fais dans la journée ce que tu me proposes.

Ci-joint les rapports du 14 et 15 Aout.

A bientôt

[Peps28]

Re,

Comme j'utilise deux sessions, sur laquelle dois-je lancer Combofix?

A+

[kalimusic]

Bonjour,


Malwarebytes a supprimé quelques éléments de zeroaccess/sirefef mais ne peut venir à bout de ce type d'infection.

ComboFix doit être lancé à partir de la session admin

A +

[Peps28]

Re,

J'ai lancé Combofix comme demandé, en suivant les instructions.

Pas de mise à jour demandée.
Échec de connexion lors de l'installation de la console de récupération malgré une connexion internet active.

Ci-joint le rapport.

A+

[kalimusic]

re,


Pour la console de récupération, il y a un soucis en ce moment sur les serveurs microsoft.
ComboFix n'a rien trouvé concernant l'infection principale, on va faire un diagnostic plus poussé que rsit.


Télécharge OTL (de OldTimer) sur ton Bureau.


Ferme toutes tes applications en cours

• Lance OTL.exe, l'interface principale s'ouvre.
• Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
• Coche la case Tous les utilisateurs
• Laisse tous les autres paramètres par défaut
• Dans la partie "Personnalisation", copie/colle la liste en citation :

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
C:\Documents and Settings\Laurent\Local Settings\Application Data\{4cfcd8b0-fada-945f-9b2e-23704683f5e0}\*.
%SystemRoot%\assembly\* .ini /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
CREATERESTOREPOINT

• Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
• 2 rapports vont s'ouvrir au format bloc-note :
• OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
• Poste ces 2 rapports en PJ

Aide : Tutorial OTL (par Malekal)

A +

[Peps28]

Re,

Ci-joint la suite.

Précision, j'ai oublié de fermer Firefox au moment de l’exécution d'OTL. Comme rien ne s'est planté, je suppose que c'est bon.

A+

[kalimusic]

ok,

Plus que des résidus.


1. Désinstalle McAfee Security Scan qui fait double emploi avec les logiciels de sécurité installé sur ta machine.


2. Relance OTL

• Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
• Clique sur le bouton Correction.
• Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
• Accepte en cliquant sur OK.
• Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque dans ce dossier C:\_OTL\MovedFiles


3. Relance un scan rapide avec Malwarebytes


4. Poste les rapports OTL et MBAM en PJ


A +

[Peps28]

Bonjour Kalimusic,

Ci-joint les rapports OTL et MBAM.

Est-ce possible de savoir à quelle date ma machine a été infectée ?

A+

[kalimusic]

Bonjour,


Le seul élément daté de l'infection dont je dispose dans les rapports est celui-ci :
[2012/08/14 17:32:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Laurent\Local Settings\Application Data\{4cfcd8b0-fada-945f-9b2e-23704683f5e0}\U

Pour moi, tout est ok maintenant, si de ton côté aussi, nous pourrons procéder à la dernière étape :
Désinstallation des outils et vérification des mises à jour.


A+

[Peps28]

Re,

Cette date me semble cohérente.
D'après moi, cela à dû se produire le 13 car j'ai effectué des recherches avec IE version 8 (Version uniquement disponible sous XP) pour un travail précis. Et c'est quand j'ai relancé ma machine le lendemain que mon antivirus a réagit.
A moins que cette forme de contamination était en veille.

Pour ma part, nous pouvons continuer la suite.

A+

[kalimusic]

ok,


== == == == == == == == DÉSINSTALLATION DES OUTILS == == == == == == == ==


1. Ouvre la commande Exécuter en pressant les touches Windows + R

• Dans la boite de dialogue, copie/colle ComboFix /Uninstall
• Valide par Ok puis suivre les invites à l'écran.
• Un message confirme que ComboFix a été désinstallé.

2. Lance OTL

• Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]

• Clique sur le bouton Correction

3. Relance OTL

• Clique sur le bouton Purge outils
• Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
• Supprime les outils et les rapports restants éventuellement sur ton Bureau.

== == == == == == == == == == MISES A JOUR == == == == == == == == == ==


Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour

ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

Désinstalle les anciennes versions de Java si tu en as encore installées.


== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation

[Peps28]

En faisant l'étape 1, Windows me répond qu'il ne trouve pas combofix.
Pourtant l'exe est bien sur le bureau.
Dois-je le supprimer manuellement ?