Comment supprimer Dldr.Agent.dfhk
Résolu/Fermé
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
-
12 avril 2010 à 18:32
Utilisateur anonyme - 20 avril 2010 à 23:33
Utilisateur anonyme - 20 avril 2010 à 23:33
A voir également:
- Comment supprimer Dldr.Agent.dfhk
- Supprimer compte instagram - Guide
- Supprimer une page word - Guide
- Supprimer compte facebook - Guide
- Supprimer compte gmail - Guide
- Supprimer edge - Guide
63 réponses
benurrr
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
107
15 avril 2010 à 22:49
15 avril 2010 à 22:49
j'attends une réponse de quelque ancien peut-être ne sont-ils pas connecter
persso moi non
persso moi non
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
15 avril 2010 à 23:00
15 avril 2010 à 23:00
OK pas de soucis...
Il semblerait que le bug gène surtout google.
Si c'est le cas, je vais faire du yahoo comme page d'accueil quand je n'aurai pas d'autre choix que d'aller sur le web. En attendant, j'évite toute connexion...
Je vais attendre la réponse des anciens !
Il semblerait que le bug gène surtout google.
Si c'est le cas, je vais faire du yahoo comme page d'accueil quand je n'aurai pas d'autre choix que d'aller sur le web. En attendant, j'évite toute connexion...
Je vais attendre la réponse des anciens !
benurrr
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
107
Modifié par benurrr le 16/04/2010 à 07:27
Modifié par benurrr le 16/04/2010 à 07:27
Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.
- Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
- A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
- Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
- Fais redémarrer ton PC
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que tu es libre...Merci a australe13
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.
- Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
- A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
- Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
- Fais redémarrer ton PC
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que tu es libre...Merci a australe13
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
16 avril 2010 à 08:12
16 avril 2010 à 08:12
Bonjour,
Je n'arrive pas à avoir le rapport : report.txt.
En revanche voici le contenu de la fenetre de commande :
C'est le second passage. Au premier, j'avais rebooté le PC.
TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.2.8.1 Mar 22 2010 10:43:04
Scanning Services ...
Scanning Kernel memory ...
Driver "atapi" infected by TDSS rootkit!
Completed
Results:
Memory objects infected / cured / cured on reboot: 1 / 0 / 0
Registry objects infected / cured / cured on reboot: 0 / 0 / 0
File objects infected / cured / cured on reboot: 0 / 0 / 0
Appuyez sur une touche pour continuer...
Je n'arrive pas à avoir le rapport : report.txt.
En revanche voici le contenu de la fenetre de commande :
C'est le second passage. Au premier, j'avais rebooté le PC.
TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.2.8.1 Mar 22 2010 10:43:04
Scanning Services ...
Scanning Kernel memory ...
Driver "atapi" infected by TDSS rootkit!
Completed
Results:
Memory objects infected / cured / cured on reboot: 1 / 0 / 0
Registry objects infected / cured / cured on reboot: 0 / 0 / 0
File objects infected / cured / cured on reboot: 0 / 0 / 0
Appuyez sur une touche pour continuer...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
benurrr
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
107
16 avril 2010 à 13:14
16 avril 2010 à 13:14
il a l'air de l'avoir nettoyer relance le scan pour voir se qu'il te donne comme résultat
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
16 avril 2010 à 13:51
16 avril 2010 à 13:51
Bonjour,
Non... il n'y arrive pas :
TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.2.8.1 Mar 22 2010 10:43:04
Scanning Services ...
Scanning Kernel memory ...
Driver "atapi" infected by TDSS rootkit!
Completed
Results:
Memory objects infected / cured / cured on reboot: 1 / 0 / 0
Registry objects infected / cured / cured on reboot: 0 / 0 / 0
File objects infected / cured / cured on reboot: 0 / 0 / 0
Appuyez sur une touche pour continuer...
LE 1/0/0 semble indiqué que le Memory objects infected est toujours présent.
Non... il n'y arrive pas :
TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.2.8.1 Mar 22 2010 10:43:04
Scanning Services ...
Scanning Kernel memory ...
Driver "atapi" infected by TDSS rootkit!
Completed
Results:
Memory objects infected / cured / cured on reboot: 1 / 0 / 0
Registry objects infected / cured / cured on reboot: 0 / 0 / 0
File objects infected / cured / cured on reboot: 0 / 0 / 0
Appuyez sur une touche pour continuer...
LE 1/0/0 semble indiqué que le Memory objects infected est toujours présent.
bonsoir suite à discussion en MP , je viens à la rescousse :
mayapan22 :
ouvre l'explorateur Windows, cherche c:\windows\ServicePackFiles\i386\atapi.sys
clic droit et Copier
mets toi dans C:\ et clic droit et Coller.
Clix droit sur le nouveau fichier , et choisis "Renommer".
Tu l'appelles truc.bak
Tu ignores l'alerte.
le fichier changera d'icone c'est normal
===
1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Begin copying here:
Files to move:
c:\truc.bak | c:\windows\system32\drivers\atapi.sys
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
mayapan22 :
ouvre l'explorateur Windows, cherche c:\windows\ServicePackFiles\i386\atapi.sys
clic droit et Copier
mets toi dans C:\ et clic droit et Coller.
Clix droit sur le nouveau fichier , et choisis "Renommer".
Tu l'appelles truc.bak
Tu ignores l'alerte.
le fichier changera d'icone c'est normal
===
1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Begin copying here:
Files to move:
c:\truc.bak | c:\windows\system32\drivers\atapi.sys
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
benurrr
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
107
17 avril 2010 à 11:45
17 avril 2010 à 11:45
salut a vous
merci gen-hackman d'être passer
merci gen-hackman d'être passer
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
18 avril 2010 à 08:07
18 avril 2010 à 08:07
Bonjour,
Merci pour votre aide à tous les 2.
J'avais fait un petit break pendant 2 jours...
Voilà le résultat de la log de Avenger
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File move operation "c:\truc.bak|c:\windows\system32\drivers\atapi.sys" completed successfully.
Completed script processing.
*******************
Finished! Terminate.
Merci pour votre aide à tous les 2.
J'avais fait un petit break pendant 2 jours...
Voilà le résultat de la log de Avenger
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File move operation "c:\truc.bak|c:\windows\system32\drivers\atapi.sys" completed successfully.
Completed script processing.
*******************
Finished! Terminate.
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
18 avril 2010 à 11:02
18 avril 2010 à 11:02
Re-bonjour,
J'ai relancé MalwareBytes : il a trouvé un lamware et l'a néttoyé... (Je l'ai lancé 2 fois, et j'ai perdu la log.. et donc le nom du malware aussi, désolé)
J'ai relancé Gmer : Il trouve toujours atapi.sys en suspicious.
Atapi.sys est toujours présent dans system32\drivers
J'ai relancé MalwareBytes : il a trouvé un lamware et l'a néttoyé... (Je l'ai lancé 2 fois, et j'ai perdu la log.. et donc le nom du malware aussi, désolé)
J'ai relancé Gmer : Il trouve toujours atapi.sys en suspicious.
Atapi.sys est toujours présent dans system32\drivers
salut heureusement qu'il est toujours dans le dossier drivers , sinon ton pc demarrerait plus...^^
__________________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
---------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
? Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
? Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
Collect::[4]
c:\program files\PIXIPHOT.COM
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-
"RealTray"=-
------------------------------------------------------------------
? Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
? Quitte le Bloc Notes
? Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
? Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
? Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
? Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
?G3?-?@¢??@?(TM)©®?
__________________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
---------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
? Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
? Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
Collect::[4]
c:\program files\PIXIPHOT.COM
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-
"RealTray"=-
------------------------------------------------------------------
? Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
? Quitte le Bloc Notes
? Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
? Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
? Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
? Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
?G3?-?@¢??@?(TM)©®?
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
18 avril 2010 à 14:27
18 avril 2010 à 14:27
Bonjour,
Voila la log :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijVi0Aq8j.txt
Voila la log :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijVi0Aq8j.txt
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
18 avril 2010 à 15:06
18 avril 2010 à 15:06
OK, c'est fait.
PIXIPHOT n'est pas un virus, c'est un accélérateur de téléchargement pour imprimer des photos pas cher.
Il contient peut-être un virus....
PIXIPHOT n'est pas un virus, c'est un accélérateur de téléchargement pour imprimer des photos pas cher.
Il contient peut-être un virus....
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
18 avril 2010 à 15:12
18 avril 2010 à 15:12
Tu as probablement raison... mais 80 photos livrées à la maison par la poste, pour 2,50 euros...difficile de résister !
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
18 avril 2010 à 18:53
18 avril 2010 à 18:53
Bein..; plutot pas cool..;
Tous les virus sont revenus : Dldr / Sdra64 / Trash...
http://www.cijoint.fr/cjlink.php?file=cj201004/cijn9nbA9h.txt
Tous les virus sont revenus : Dldr / Sdra64 / Trash...
http://www.cijoint.fr/cjlink.php?file=cj201004/cijn9nbA9h.txt
mayapan22
Messages postés
38
Date d'inscription
lundi 12 avril 2010
Statut
Membre
Dernière intervention
20 avril 2010
Modifié par mayapan22 le 18/04/2010 à 19:31
Modifié par mayapan22 le 18/04/2010 à 19:31
Ouf... J'ai eu peur.
Est-ce que j'efface tout le contenu de la quarantaine ?
Il en a trouvé 1 pendant qu'il tournait : Crypt.........gen
Est-ce que j'efface tout le contenu de la quarantaine ?
Il en a trouvé 1 pendant qu'il tournait : Crypt.........gen