Atapi.sys virus? que faire?Résolu/Fermé

Question

Bonjour,

Voilà après plusieurs recherches, je jette l'éponge!

Mon problème: Avast me détecte un virus: C:\WINDOWS\system32\drivers\atapi.sys (je suis sous XP, et je n'ai pas de lecteur pc sur cet ordi).

J'ai tout mais tout essayé, rien n'y fait, il disparaît après redémarrage.

Quelqu'un peut m'aider s'il vous plaît, sachant que je n'y connaît pas grand chose en informatique et cie. Merci d'avance!

jlpjlp · Answer

slt,
surement Tdss:

Téléchargez Gmer. (Przemyslaw Gmerek) sur ton bureau. 
http://www2.gmer.net/gmer.zip

    * Dézippez-le dans un dossier dédié ou sur votre Bureau.
    * Déconnectez vous d'Internet puis fermez tous les programmes.
    * Double-cliquez sur Gmer.exe.
    * Cliquez sur l'onglet Rootkit.
    * A droite, cochez seulement Files, Services & Registry.
    * Cliquez maintenant sur Scan.
    * Lorsque le scan est terminé, cliquez sur Copy.
    * Ouvrez le Bloc-notes puis cliquez sur le Menu Édition / Coller.
    * Le rapport doit alors apparaitre.
    * Enregistrez le fichier sur votre Bureau et postez le contenu sur le forum forum Virus/Sécurité de CCM

yokai · Answer

merci pour votre aide, mais cela plante en plein milieu de l'analyse, écran bleu, et redémarrage.... à s'arracher les cheveux!

jlpjlp · Answer

Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

jlpjlp · Answer

Colle un rapport avec malwarebyte que tu as puis colle un rapport avast

yokai · Answer

J'avais fait avast, ça ne me donnais rien. je fais Malware et je te copie ca vite fait ;)

Mais apparemment c'est (je l'espère), arrangé, vu que avast ne me préviens plus du virus. Mais bon je me méfie, il m'a fait le coup une fois

yokai · Answer

alwarebytes' Anti-Malware 1.42
Version de la base de données: 3432
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

02/01/2010 18:40:42
mbam-log-2010-01-02 (18-40-42).txt

Type de recherche: Examen rapide
Eléments examinés: 109749
Temps écoulé: 10 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

jlpjlp · Answer

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

yokai · Answer

Pour le log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Yokai at 2010-01-02 19:06:31
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 46 GB (63%) free of 73 GB
Total RAM: 1014 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:06:40, on 02/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Java\jre6\bin\java.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Documents and Settings\Yokai\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Yokai.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

jlpjlp · Answer

analyse ce fichier sur virus total et colle le rapport  https://www.virustotal.com/gui/

 C:\Documents and Settings\All Users\Documents\Settings\cbss.dll

yokai · Answer

apparemment je suis un gros boulet, car dans document & setting j'ai all users, mais c'est tout ça s'arrète là

jlpjlp · Answer

ok alors


 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Eset (Nod32) en ligne
https://www.eset.com/

yokai · Answer

ANALYSIS: 2010-01-02 19:45:28
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1368 [VPS 091231-0]     4.8.1368                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\documents and settings\yokai\cookies\yokai@atdmt[1].txt
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:\windows\pev.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

jlpjlp · Answer

*Téléchargez Tools Cleaner 2 sur votre bureau. 
-->  https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
Double cliquez sur ToolsCleaner 2 pour l’exécuter. ( si vous êtes sous vista cliquez droit sur  le fichier ToolsCleaner 2 et exécutez le en tant qu'administrateur  )  
*Cliquez sur Recherche et laissez la se dérouler 
* Cliquez sur Suppression pour finaliser. 
* Vous pouvez , si vous le souhaitez, vous servir des Options facultatives. 
* Cliquez sur Quitter pour obtenir le rapport. 
* Postez le rapport (TCleaner.txt) qui se trouve à la racine de votre disque dur (C:\) dans le forum où cela vous a été demandé.

yokai · Answer

Il se lance sans problème, mais bug au niveau de lu lancement de la  recherche... en tout cas merci pour ta patience.

jlpjlp · Answer

fais le 15

puis
explique mieux

la recherche de quoi? sur le net? avec quel navigateur...N

yokai · Answer

eh bien tu me dis d'utiliser tools cleaner, donc je le télécharge, je le lance, et quand je clique sur recherche, et bien le sablier bug, la page se fige en gros il recherche rien quoi.

jlpjlp · Answer

ok alors:


Téléchargez OTC ici :
http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/
Si ce lien ne marche pas, essayez avec celui-ci : http://www.geekstogo.com/forum/files/file/399-ots-oldtimers-system-scanner/

    * Enregistrez le fichier sur votre bureau.
    * Double-cliquez sur OTC.exe pour l’exécuter. (Si vous êtes sous Vista, cliquez-droit sur le fichier OTC.exe et exécutez-le en tant qu'administrateur.)
    * Cliquez sur CleanUp !.
    * Le logiciel va demander de commencer l’analyse. Acceptez.
    * Il vous sera demandé le redémarrage de votre PC pour finir la suppression des fichiers et supprimer également OTC. Acceptez.

jlpjlp · Answer

• Télécharge et installe 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
https://www.androidworld.fr/

 par El Desaparecido



 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

• Laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

jlpjlp · Answer

ok fais l'option 2 et colle le rapport

puis fais l'option 5 de désinstallation

ensuite dis si encore des soucis! si pas de souci c'est bon

jlpjlp · Answer

ok bonne suite

Atapi.sys virus? que faire?

20 réponses

Discussions similaires

Newsletters