TR/ATRAPS.Gen2 dans aviraFermé

Question

Bonjour, 
Voila depuis peu avira me detecte constamment un virus meme si je lui demande de le supprimer. Voila le message :

"
Guard: Malware found
Date/Time : xxxxxxxxxxx
Type: Detection

A virus or unwanted program
'TR/ATRAPS.Gen2' was found in file
'C:\Windows\assembly	emp\U\800000323.@'

Access to this file was denied.

Please select a further action :

Remove or Details
"

Donc voila ce message revient tout le temps =\
J ai suivi quelques conseils sur des fofos genre passer CCleaner ou Malwarebytes mais rien ne change. Est ce que qqun connait la solution a ce probleme ?

Merci

snohizooor

Configuration: Windows 7 / Firefox 11.0

Fish66 · Answer

Salut,

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://pjjoint.malekal.com/
Si indisponible, tu peux essayer avec l'un de ces liens: 
https://www.terafiles.net/
https://www.casimages.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

Hébergement de rapport sur pjjoint.malekal.com

Rends toi sur pjjoint.malekal.com  
* Clique sur le bouton Parcourir  
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir  
* Clique sur le bouton Envoyer  
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015  

* Copie le lien dans ta prochaine réponse.   

@+

snohi · Answer

Tout d abord merci Fish66 pour ta reponse si rapide

voila le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120322_u125d5u5j14

Fish66 · Answer

Re,
1/
 * Télécharge sur le bureau RogueKiller (par tigzy)     
https://www.luanagames.com/index.fr.html     
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )     
* Quitte tous tes programmes en cours     
* Lance RogueKiller.exe    
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe    
* Laisse le prescan se terminer, clique sur Scan    
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message   


2/
Télécharge Reload_TDSSKiller  

* Lance le  

* choisis : lancer le nettoyage  

* l'outil va automatiquement télécharger la derniere version puis  

* TDSSKiller va s'ouvrir , clique sur "Start Scan"  

Clique ici pour l'aide en image 
- Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.  
- Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.  
- Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.  
- Si Suspicious file est indiqué, laisse l''option cochée sur Skip  
- une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer  

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau  

* Copie/Colle son contenu dans ta prochaine réponse

@+

snohi · Answer

Salut ! Impossible de telecharger Reload_TDSSKiller je tombe sur une 404. Neanmoins j ai le rapport de RogueKiller : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Vinz [Droits d'admin] Mode: Recherche -- Date: 22/03/2012 18:47:14 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 4 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost 149.5.18.172 www.google-analytics.com. 149.5.18.172 ad-emea.doubleclick.net. 149.5.18.172 www.statcounter.com. 108.163.215.51 www.google-analytics.com. 108.163.215.51 ad-emea.doubleclick.net. 108.163.215.51 www.statcounter.com. ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD6400BPVT-80HXZT3 +++++ --- User --- [MBR] 9d927362b2df9aea4eb900e8c1d60bb6 [BSP] 2ee18edf56eb573bfe8fc4993312b762 : Windows 7 MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 244192 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 552536064 | Size: 340686 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: Philips USB Flash Drive USB Device +++++ --- User --- [MBR] 8e95ef4d5f1e35824be944745423dd2a [BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code Partition table: 0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1935 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt Merci !

Fish66 · Answer

Re,
1/
Relance RogueKiller, puis tapes 2 (suppression) puis 3 (RAZ host) et poste les deux rapports correspondants à ces 2 options

2/ Ensuite

* Lance Malwarebytes' Anti-Malware  
* Fais la mise à jour  
* Clique dans l'onglet  "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  

A la fin de l'analyse, si MBAM n'a rien trouvé :  

* Clique sur OK, le rapport s'ouvre spontanément  

Si des menaces ont été détectées :  

* Clique sur OK puis "Afficher les résultats"  
*Vérifie que toutes les lignes sont cochées 
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"  

* Copie/colle le rapport dans le prochain message  


Remarque : 
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier puis en l'exécutant.

@+

snohi · Answer

RK 1 : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Vinz [Droits d'admin] Mode: Recherche -- Date: 23/03/2012 16:58:18 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 4 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost 149.5.18.172 www.google-analytics.com. 149.5.18.172 ad-emea.doubleclick.net. 149.5.18.172 www.statcounter.com. 108.163.215.51 www.google-analytics.com. 108.163.215.51 ad-emea.doubleclick.net. 108.163.215.51 www.statcounter.com. ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD6400BPVT-80HXZT3 +++++ --- User --- [MBR] 9d927362b2df9aea4eb900e8c1d60bb6 [BSP] 2ee18edf56eb573bfe8fc4993312b762 : Windows 7 MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 244192 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 552536064 | Size: 340686 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt RK 2 : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Vinz [Droits d'admin] Mode: Suppression -- Date: 23/03/2012 16:58:23 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 4 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost 149.5.18.172 www.google-analytics.com. 149.5.18.172 ad-emea.doubleclick.net. 149.5.18.172 www.statcounter.com. 108.163.215.51 www.google-analytics.com. 108.163.215.51 ad-emea.doubleclick.net. 108.163.215.51 www.statcounter.com. ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD6400BPVT-80HXZT3 +++++ --- User --- [MBR] 9d927362b2df9aea4eb900e8c1d60bb6 [BSP] 2ee18edf56eb573bfe8fc4993312b762 : Windows 7 MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 244192 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 552536064 | Size: 340686 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt MBAM : Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Version de la base de données: v2012.03.20.07 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Vinz :: VINZ-PC [administrateur] 23/03/2012 17:00:25 mbam-log-2012-03-23 (17-00-25).txt Type d'examen: Examen complet Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 377244 Temps écoulé: 46 minute(s), 4 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin) Merci

Fish66 · Answer

Re,
1/
* Télécharge Rsthosts 

* Lance le ainsi      
* Utilisateurs Windows XP => double clique >>sur RstHosts .exe      
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur RstHosts .exe .      

* Appuie sur Restaurer.      
* Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.     
* Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt)      

2/
Télécharge TDSSKiller sur ton Bureau.

# Décompresse le (clic droit sur le fichier et extraire) sur le bureau.
# dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau
# Faire un double clic sur TDSSKiller.exe pour le lancer.
# Cliquer sur Start scan pour lancer l'analyse,

# Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée,
# Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip.
# Puis cliquer sur le bouton Continue.
# Attendre l'affichage du fichier rapport.
# Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Reboot computer.

Envoyer en réponse le rapport de TDSSKiller

Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt

@+

snohi · Answer

Voici d abord les 2 rapports de rsthosts

-|x| RstHosts v2.0 - Rapport créé le 24/03/2012 à 01:25:36
-|x| Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
-|x| Nom d'utilisateur : Vinz - VINZ-PC (Administrateur)

-|x|- Informations -|x|-

Emplacement : C:\Windows\System32\drivers\etc\hosts
Attribut(s) : RASH
Propriétaire : Administrateurs - BUILTIN
Taille : 89 bytes
Date de création : 20/03/2012 - 19:27:07
Date de modification : 24/03/2012 - 01:25:07
Date de dernier accès : 24/03/2012 - 01:25:07

-|x|- Contenu du fichier -|x|-

# Fichier Hosts créé par RstHosts

127.0.0.1       localhost
::1             localhost

-|x|- E.O.F - C:\RstHosts.txt - 623 bytes -|x|-



Ensuite pour TDSSKiller, il ne trouve ni malicious objects, ni suspicious objects mais un thread detected. Quelle action dois je faire ? merci :

Fish66 · Answer

Re, 

thread detected ca veut dire : une infection détecté, donc c'est à supprimer (tu choisis cure)
poste ensuite le rapport

@+

snohi · Answer

voila le rapport :

20:01:13.0734 2044	TDSS rootkit removing tool 2.7.22.0 Mar 21 2012 17:40:00
20:01:13.0812 2044	============================================================
20:01:13.0812 2044	Current date / time: 2012/03/24 20:01:13.0812
20:01:13.0812 2044	SystemInfo:
20:01:13.0812 2044	
20:01:13.0812 2044	OS Version: 6.1.7601 ServicePack: 1.0
20:01:13.0812 2044	Product type: Workstation
20:01:13.0812 2044	ComputerName: VINZ-PC
20:01:13.0812 2044	UserName: Vinz
20:01:13.0812 2044	Windows directory: C:\Windows
20:01:13.0812 2044	System windows directory: C:\Windows
20:01:13.0812 2044	Running under WOW64
20:01:13.0812 2044	Processor architecture: Intel x64
20:01:13.0812 2044	Number of processors: 8
20:01:13.0812 2044	Page size: 0x1000
20:01:13.0812 2044	Boot type: Normal boot
20:01:13.0812 2044	============================================================
20:01:15.0622 2044	Drive \Device\Harddisk0\DR0 - Size: 0x950B056000 (596.17 Gb), SectorSize: 0x200, Cylinders: 0x13001, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
20:01:15.0622 2044	\Device\Harddisk0\DR0:
20:01:15.0622 2044	MBR used
20:01:15.0622 2044	\Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3200800, BlocksNum 0x1DCF0000
20:01:15.0637 2044	\Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x20EF1000, BlocksNum 0x29966800
20:01:15.0731 2044	Initialize success
20:01:15.0731 2044	============================================================

Fish66 · Answer

Re,

Le rapport est incomplet, est ce que tu peux le refaire stp ?

@+

snohi · Answer

oups, je sais pas comment je m y suis pris

20:01:13.0734 2044	TDSS rootkit removing tool 2.7.22.0 Mar 21 2012 17:40:00
20:01:13.0812 2044	============================================================
20:01:13.0812 2044	Current date / time: 2012/03/24 20:01:13.0812
20:01:13.0812 2044	SystemInfo:
20:01:13.0812 2044	
20:01:13.0812 2044	OS Version: 6.1.7601 ServicePack: 1.0
20:01:13.0812 2044	Product type: Workstation
20:01:13.0812 2044	ComputerName: VINZ-PC
20:01:13.0812 2044	UserName: Vinz
20:01:13.0812 2044	Windows directory: C:\Windows
20:01:13.0812 2044	System windows directory: C:\Windows
20:01:13.0812 2044	Running under WOW64
20:01:13.0812 2044	Processor architecture: Intel x64
20:01:13.0812 2044	Number of processors: 8
20:01:13.0812 2044	Page size: 0x1000
20:01:13.0812 2044	Boot type: Normal boot
20:01:13.0812 2044	============================================================
20:01:15.0622 2044	Drive \Device\Harddisk0\DR0 - Size: 0x950B056000 (596.17 Gb), SectorSize: 0x200, Cylinders: 0x13001, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
20:01:15.0622 2044	\Device\Harddisk0\DR0:
20:01:15.0622 2044	MBR used
20:01:15.0622 2044	\Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3200800, BlocksNum 0x1DCF0000
20:01:15.0637 2044	\Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x20EF1000, BlocksNum 0x29966800
20:01:15.0731 2044	Initialize success
20:01:15.0731 2044	============================================================
20:02:11.0619 2156	Deinitialize success

Fish66 · Answer

Re,

Lance Avira pour voir s'il détecte de nouveau le virus  :-)

@+

snohi · Answer

J ai fait Delete pour tous. Voila le rapport d avira : Avira AntiVir Personal Report file date: samedi 24 mars 2012 21:29 Scanning for 3573772 virus strains and unwanted programs. The program is running as an unrestricted full version. Online services are available: Licensee : Avira AntiVir Personal - Free Antivirus Serial number : 0000149996-ADJIE-0000001 Platform : Windows 7 x64 Windows version : (Service Pack 1) [6.1.7601] Boot mode : Normally booted Username : Vinz Computer name : VINZ-PC Version information: BUILD.DAT : 10.2.0.707 36070 Bytes 25/01/2012 13:11:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 21/07/2011 11:12:28 AVSCAN.DLL : 10.0.5.0 47464 Bytes 21/07/2011 11:15:00 LUKE.DLL : 10.3.0.5 45416 Bytes 21/07/2011 11:13:59 LUKERES.DLL : 10.0.0.1 12648 Bytes 10/02/2010 23:40:49 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21/07/2011 11:12:28 AVREG.DLL : 10.3.0.9 90472 Bytes 21/07/2011 11:12:21 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 06:53:55 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 13:18:40 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 16:01:04 VBASE004.VDF : 7.11.21.239 2048 Bytes 01/02/2012 16:01:04 VBASE005.VDF : 7.11.21.240 2048 Bytes 01/02/2012 16:01:04 VBASE006.VDF : 7.11.21.241 2048 Bytes 01/02/2012 16:01:04 VBASE007.VDF : 7.11.21.242 2048 Bytes 01/02/2012 16:01:04 VBASE008.VDF : 7.11.21.243 2048 Bytes 01/02/2012 16:01:06 VBASE009.VDF : 7.11.21.244 2048 Bytes 01/02/2012 16:01:08 VBASE010.VDF : 7.11.21.245 2048 Bytes 01/02/2012 16:01:59 VBASE011.VDF : 7.11.21.246 2048 Bytes 01/02/2012 16:02:00 VBASE012.VDF : 7.11.21.247 2048 Bytes 01/02/2012 16:02:00 VBASE013.VDF : 7.11.22.33 1486848 Bytes 03/02/2012 18:58:39 VBASE014.VDF : 7.11.22.56 687616 Bytes 03/02/2012 18:58:46 VBASE015.VDF : 7.11.22.92 178176 Bytes 06/02/2012 18:56:26 VBASE016.VDF : 7.11.22.154 144896 Bytes 08/02/2012 01:49:59 VBASE017.VDF : 7.11.22.220 183296 Bytes 13/02/2012 17:02:17 VBASE018.VDF : 7.11.23.34 202752 Bytes 15/02/2012 13:13:48 VBASE019.VDF : 7.11.23.98 126464 Bytes 17/02/2012 15:20:17 VBASE020.VDF : 7.11.23.150 148480 Bytes 20/02/2012 17:14:54 VBASE021.VDF : 7.11.23.224 172544 Bytes 23/02/2012 17:57:13 VBASE022.VDF : 7.11.24.52 219648 Bytes 28/02/2012 17:34:20 VBASE023.VDF : 7.11.24.152 165888 Bytes 05/03/2012 11:13:39 VBASE024.VDF : 7.11.24.204 177664 Bytes 07/03/2012 11:13:40 VBASE025.VDF : 7.11.25.30 245248 Bytes 12/03/2012 12:02:24 VBASE026.VDF : 7.11.25.121 252416 Bytes 15/03/2012 12:21:25 VBASE027.VDF : 7.11.25.122 2048 Bytes 15/03/2012 12:21:25 VBASE028.VDF : 7.11.25.123 2048 Bytes 15/03/2012 12:21:26 VBASE029.VDF : 7.11.25.124 2048 Bytes 15/03/2012 12:21:26 VBASE030.VDF : 7.11.25.125 2048 Bytes 15/03/2012 12:21:26 VBASE031.VDF : 7.11.25.156 131072 Bytes 19/03/2012 15:23:42 Engineversion : 8.2.10.24 AEVDF.DLL : 8.1.2.2 106868 Bytes 13/01/2012 13:22:56 AESCRIPT.DLL : 8.1.4.10 455035 Bytes 16/03/2012 12:21:54 AESCN.DLL : 8.1.8.2 131444 Bytes 29/01/2012 19:04:42 AESBX.DLL : 8.2.5.5 606579 Bytes 13/03/2012 12:03:55 AERDL.DLL : 8.1.9.15 639348 Bytes 13/01/2012 13:22:50 AEPACK.DLL : 8.2.16.5 803190 Bytes 08/03/2012 11:13:45 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 13/01/2012 13:22:33 AEHEUR.DLL : 8.1.4.7 4501878 Bytes 19/03/2012 15:23:56 AEHELP.DLL : 8.1.19.0 254327 Bytes 22/01/2012 17:00:11 AEGEN.DLL : 8.1.5.23 409973 Bytes 08/03/2012 11:13:41 AEEXP.DLL : 8.1.0.25 74101 Bytes 16/03/2012 12:21:54 AEEMU.DLL : 8.1.3.0 393589 Bytes 21/04/2011 06:53:14 AECORE.DLL : 8.1.25.6 201078 Bytes 16/03/2012 12:21:28 AEBB.DLL : 8.1.1.0 53618 Bytes 21/04/2011 06:53:14 AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 06:53:36 AVPREF.DLL : 10.0.3.2 44904 Bytes 21/07/2011 11:12:20 AVREP.DLL : 10.0.0.10 174120 Bytes 21/07/2011 11:12:22 AVARKT.DLL : 10.0.26.1 255336 Bytes 21/07/2011 11:12:00 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21/07/2011 11:12:10 SQLITE3.DLL : 3.6.19.0 355688 Bytes 21/07/2011 14:12:31 AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/04/2011 06:53:36 NETNT.DLL : 10.0.0.0 11624 Bytes 21/04/2011 06:53:46 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21/07/2011 11:15:09 RCTEXT.DLL : 10.0.64.0 97640 Bytes 21/07/2011 11:15:09 Configuration settings for the scan: Jobname.............................: Local Drives Configuration file..................: C:\program files (x86)\avira\antivir desktop\alldrives.avp Logging.............................: Default Primary action......................: interactive Secondary action....................: ignore Scan master boot sector.............: on Scan boot sector....................: on Boot sectors........................: C:, D:, E:, F:, Process scan........................: on Scan registry.......................: on Search for rootkits.................: off Integrity checking of system files..: off Scan all files......................: Intelligent file selection Scan archives.......................: on Recursion depth.....................: 20 Smart extensions....................: on Macro heuristic.....................: on File heuristic......................: Advanced Start of the scan: samedi 24 mars 2012 21:29 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'ts3client_win32.exe' - '1' Module(s) have been scanned Scan process 'PMB.exe' - '1' Module(s) have been scanned Scan process 'LolClient.exe' - '1' Module(s) have been scanned Scan process 'LoLLauncher.exe' - '1' Module(s) have been scanned Scan process 'rads_user_kernel.exe' - '1' Module(s) have been scanned Scan process 'daemonu.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'wcourier.exe' - '1' Module(s) have been scanned Scan process 'HControlUser.exe' - '1' Module(s) have been scanned Scan process 'DMedia.exe' - '1' Module(s) have been scanned Scan process 'SonicFocusTray.exe' - '1' Module(s) have been scanned Scan process 'CLMLSvc.exe' - '1' Module(s) have been scanned Scan process 'AsScrPro.exe' - '1' Module(s) have been scanned Scan process 'WDC.exe' - '1' Module(s) have been scanned Scan process 'KBFiltr.exe' - '1' Module(s) have been scanned Scan process 'ATKOSD.exe' - '1' Module(s) have been scanned Scan process 'LiveUpdate.exe' - '1' Module(s) have been scanned Scan process 'HControl.exe' - '1' Module(s) have been scanned Scan process 'sensorsrv.exe' - '1' Module(s) have been scanned Scan process 'ATKOSD2.exe' - '1' Module(s) have been scanned Scan process 'SeaPort.EXE' - '1' Module(s) have been scanned Scan process 'Ath_CoexAgent.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'GFNEXSrv.exe' - '1' Module(s) have been scanned Scan process 'ASLDRSrv.exe' - '1' Module(s) have been scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Starting to scan executable files (registry). The registry was scanned ( '204' files ). Starting the file scan: Begin scan in 'C:\' C:\TDSSKiller_Quarantine\24.03.2012_19.57.58\zaea0000\svc0000 sk0000.dta [DETECTION] Is the TR/ATRAPS.Gen Trojan C:\Windows\assembly\GAC_32\Desktop.ini [DETECTION] Is the TR/ATRAPS.Gen2 Trojan C:\Windows\assembly\GAC_64\Desktop.ini [DETECTION] Is the TR/ATRAPS.Gen2 Trojan C:\Windows\assembly emp\U\80000004.@ [DETECTION] Is the TR/Crypt.XPACK.Gen8 Trojan C:\Windows\assembly emp\U\80000032.@ [DETECTION] Is the TR/ATRAPS.Gen2 Trojan C:\Windows\assembly emp\U\80000064.@ [DETECTION] Is the TR/ATRAPS.Gen2 Trojan C:\Windows\System32\AlteraByteBlaster.dll [DETECTION] Is the TR/ATRAPS.Gen Trojan C:\Windows\System32\consrv.dll [DETECTION] Is the TR/ATRAPS.Gen2 Trojan C:\Windows\System32 mtdi.dll [DETECTION] Is the TR/ATRAPS.Gen Trojan Begin scan in 'D:\' Begin scan in 'E:\' Search path E:\ could not be opened! System error [21]: Le périphérique n'est pas prêt. Begin scan in 'F:\' Search path F:\ could not be opened! System error [21]: Le périphérique n'est pas prêt. Beginning disinfection: C:\Windows\System32 mtdi.dll [DETECTION] Is the TR/ATRAPS.Gen Trojan [NOTE] The file was deleted! C:\Windows\System32\consrv.dll [DETECTION] Is the TR/ATRAPS.Gen2 Trojan [NOTE] The file was deleted! C:\Windows\System32\AlteraByteBlaster.dll [DETECTION] Is the TR/ATRAPS.Gen Trojan [NOTE] The file was deleted! C:\Windows\assembly emp\U\80000064.@ [DETECTION] Is the TR/ATRAPS.Gen2 Trojan [NOTE] The file was deleted! C:\Windows\assembly emp\U\80000032.@ [DETECTION] Is the TR/ATRAPS.Gen2 Trojan [NOTE] The file was deleted! C:\Windows\assembly emp\U\80000004.@ [DETECTION] Is the TR/Crypt.XPACK.Gen8 Trojan [NOTE] The file was deleted! C:\Windows\assembly\GAC_64\Desktop.ini [DETECTION] Is the TR/ATRAPS.Gen2 Trojan [WARNING] The file could not be deleted! [NOTE] For the final repair, a restart of the computer is instigated. [NOTE] The file is scheduled for deleting after reboot. [NOTE] For the final repair, a restart of the computer is instigated. C:\Windows\assembly\GAC_32\Desktop.ini [DETECTION] Is the TR/ATRAPS.Gen2 Trojan [WARNING] The file could not be deleted! [NOTE] For the final repair, a restart of the computer is instigated. [NOTE] The file is scheduled for deleting after reboot. [NOTE] For the final repair, a restart of the computer is instigated. C:\TDSSKiller_Quarantine\24.03.2012_19.57.58\zaea0000\svc0000 sk0000.dta [DETECTION] Is the TR/ATRAPS.Gen Trojan [NOTE] The file was deleted!

snohi · Answer

oulaaa... alors j ai redemarré, eu un ecran bleu, et apres j ai suivi les instructions et c est revenu. Par contre le virus est toujours présent.

Fish66 · Answer

Bonjour,

Avant d'utiliser ComboFix :  

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lis attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt


@+

snohi · Answer

Voila le rapport :

ComboFix 12-03-22.01 - Vinz 25/03/2012  19:47:48.1.8 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.4007.2602 [GMT 2:00]
Lancé depuis: c:\users\Vinz\Desktop\vinz.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
AV: Trend Micro Titanium Internet Security *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Trend Micro Titanium Internet Security *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\FullRemove.exe
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\assembly	emp\@
c:\windows\assembly	emp\cfg.ini
c:\windows\system32\consrv.dll
c:\windows\system32\dds_trash_log.cmd
c:\windows\System64
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-02-25 au 2012-03-25  ))))))))))))))))))))))))))))))))))))
.
.
2012-03-24 20:28 . 2012-03-24 20:28	--------	d-----w-	c:\users\Vinz\AppData\Roaming\Avira
2012-03-24 18:58 . 2012-03-24 18:58	--------	d-----w-	C:\TDSSKiller_Quarantine
2012-03-23 00:45 . 2012-03-23 00:45	--------	d-----w-	c:\users\Vinz\AppData\Local\Chromium
2012-03-23 00:43 . 2012-03-25 08:13	--------	d-----w-	c:\program files (x86)\Brawl Busters
2012-03-22 12:03 . 2012-03-22 12:05	--------	d-----w-	C:\ZHP
2012-03-22 12:03 . 2012-03-22 12:04	--------	d-----w-	c:\program files (x86)\ZHPDiag
2012-03-20 23:10 . 2012-03-20 23:10	--------	d-----w-	c:\users\Vinz\AppData\Roaming\Malwarebytes
2012-03-20 23:09 . 2012-03-20 23:09	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-20 23:09 . 2012-03-20 23:09	--------	d-----w-	c:\programdata\Malwarebytes
2012-03-20 23:09 . 2011-12-10 14:24	23152	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-20 18:10 . 2012-03-20 18:10	--------	d-----w-	c:\programdataegid.1986-12.com.adobe
2012-03-20 18:08 . 2012-03-20 18:08	--------	d-----w-	c:\programdata\ALM
2012-03-20 18:06 . 2012-03-20 18:06	--------	d-----w-	c:\program files (x86)\Common Files\Adobe AIR
2012-03-20 17:55 . 2012-03-20 18:09	--------	d-----w-	c:\program files (x86)\Common Files\Adobe
2012-03-20 17:55 . 2012-03-20 18:31	--------	d-----w-	c:\users\Vinz\AppData\Local\Adobe
2012-03-19 09:35 . 2012-03-19 09:35	592824	----a-w-	c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-03-19 09:35 . 2012-03-19 09:35	44472	----a-w-	c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-03-15 02:02 . 2011-11-19 15:20	5559152	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-15 02:02 . 2011-11-19 14:50	3968368	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-03-15 02:02 . 2011-11-19 14:50	3913584	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-03-14 17:15 . 2012-02-03 04:34	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-03-14 17:15 . 2012-02-10 06:36	1544192	----a-w-	c:\windows\system32\DWrite.dll
2012-03-14 17:15 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\SysWow64\DWrite.dll
2012-03-14 11:47 . 2012-01-25 06:38	77312	----a-w-	c:\windows\system32dpwsx.dll
2012-03-14 11:47 . 2012-01-25 06:38	149504	----a-w-	c:\windows\system32dpcorekmts.dll
2012-03-14 11:47 . 2012-01-25 06:33	9216	----a-w-	c:\windows\system32drmemptylst.exe
2012-03-14 11:47 . 2012-02-17 06:38	1031680	----a-w-	c:\windows\system32dpcore.dll
2012-03-14 11:47 . 2012-02-17 05:34	826880	----a-w-	c:\windows\SysWow64dpcore.dll
2012-03-14 11:47 . 2012-02-17 04:58	210944	----a-w-	c:\windows\system32\driversdpwd.sys
2012-03-14 11:47 . 2012-02-17 04:57	23552	----a-w-	c:\windows\system32\drivers	dtcp.sys
2012-03-12 17:47 . 2012-03-12 17:47	--------	d-----w-	c:\users\Vinz\AppData\Roaming\OpenOffice.org
2012-03-12 17:45 . 2012-03-12 17:45	--------	d-----w-	c:\program files (x86)\OpenOffice.org 3
2012-03-05 02:04 . 2012-03-05 02:05	--------	d-----w-	c:\users\Vinz\AppData\Roaming\Media Player Classic
2012-03-01 18:25 . 2012-03-01 18:25	--------	d-----w-	c:\windows\Downloaded Installations
2012-03-01 18:21 . 2012-03-01 18:25	--------	d-----w-	c:\program files (x86)\KORG
2012-02-27 23:38 . 2012-03-25 03:50	--------	d-----w-	c:\users\Vinz\AppData\Roaming\vlc
2012-02-27 23:37 . 2012-02-27 23:37	--------	d-----w-	c:\program files (x86)\VideoLAN
2012-02-27 23:32 . 2012-02-27 23:32	--------	d-----w-	c:\program files (x86)\Gabest
2012-02-26 09:07 . 2012-02-26 09:10	--------	d-----w-	c:\users\Vinz\AppData\Local\Microsoft Games
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-25 17:58 . 2012-01-13 09:46	45056	----a-w-	c:\windows\system32\acovcnt.exe
2012-02-20 08:45 . 2012-01-13 13:11	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-02 11:36 . 2012-02-01 20:39	472808	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-01-14 00:10 . 2012-01-14 00:10	270912	----a-w-	c:\windows\system32\drivers\dtsoftbus01.sys
2012-01-13 16:04 . 2010-06-24 18:33	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-01-04 10:44 . 2012-02-15 00:24	509952	----a-w-	c:\windows\system32
tshrui.dll
2012-01-04 08:58 . 2012-02-15 00:24	442880	----a-w-	c:\windows\SysWow64
tshrui.dll
2011-12-30 06:26 . 2012-02-15 00:24	515584	----a-w-	c:\windows\system32	imedate.cpl
2011-12-30 05:27 . 2012-02-15 00:24	478720	----a-w-	c:\windows\SysWow64	imedate.cpl
2011-12-28 03:59 . 2012-02-15 00:24	498688	----a-w-	c:\windows\system32\drivers\afd.sys
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ASUSWebStorage"="c:\program files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSPanel.exe" [2011-02-23 731472]
"SonicMasterTray"="c:\program files (x86)\ASUS\Sonic Focus\SonicFocusTray.exe" [2010-07-10 984400]
"ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2010-08-17 5732992]
"ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2010-10-07 170624]
"HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
"Wireless Console 3"="c:\program files (x86)\ASUS\Wireless Console 3\wcourier.exe" [2010-09-23 1601536]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"AdobeCS5.5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
AsusVibeLauncher.lnk - c:\program files (x86)\ASUS\AsusVibe\AsusVibeLauncher.exe [2011-4-13 548528]
FancyStart daemon.lnk - c:\windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe [2011-9-29 12862]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\SysWOW64
vinit.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"midi6"=KORGUM64.DRV
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 135664]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-01-31 158856]
R3 Amsp;Trend Micro Solution Platform;c:\program files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe [x]
R3 AthBTPort;Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys [x]
R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-03-02 183560]
R3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys [x]
R3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys [x]
R3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys [x]
R3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys [x]
R3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 135664]
R3 KORGUMDS;KORG USB-MIDI Driver for Windows;c:\windows\system32\Drivers\KORGUM64.SYS [x]
R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [x]
R3 RSUSBVSTOR;RtsUVStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUVStor.sys [x]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS
vpciflt.sys [x]
S1 ATKWMIACPIIO;ATKWMIACPI Driver;c:\program files (x86)\ASUS\ATK Package\ATK WMIACPI\atkwmiacpi64.sys [2011-05-26 17536]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [x]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-03 15416]
S2 Atheros Bt&Wlan Coex Agent;Atheros Bt&Wlan Coex Agent;c:\program files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [2011-03-13 138400]
S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Bluetooth Suite\adminservice.exe [2011-03-13 74912]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-10 2009704]
S2 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS	mevtmgr.sys [x]
S2 TurboB;Turbo Boost UI Monitor driver;c:\windows\system32\DRIVERS\TurboB.sys [x]
S2 TurboBoost;Intel(R) Turbo Boost Technology Monitor;c:\program files\Intel\TurboBoost\TurboBoost.exe [2010-04-16 134928]
S3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys [x]
S3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys [x]
S3 BTATH_BUS;Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys [x]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x]
S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
S3 TiMiniService;TiMiniService;c:\program files\Trend Micro\Titanium\TiMiniService.exe [2010-09-17 241488]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2012-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 02:33]
.
2012-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 02:33]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
@="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
[HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
2010-09-02 08:41	220160	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
@="{64174815-8D98-4CE6-8646-4C039977D808}"
[HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
2010-09-02 08:41	220160	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VizorHtmlDialog.exe"="c:\program files\Trend Micro\Titanium\UIFramework\VizorHtmlDialog.exe" [2010-10-08 1123664]
"Trend Micro Client Framework"="c:\program files\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe" [2010-10-12 192520]
"Trend Micro Titanium"="c:\program files\Trend Micro\Titanium\VizorShortCut.exe" [2010-09-17 322384]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-10 167960]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-10 391704]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-10 418328]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2011-05-17 2226280]
"IntelTBRunOnce"="wscript.exe" [2009-07-14 168960]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608]
"combofix"="c:\vinz\CF12997.3XE" [2010-11-20 345088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\windows\System32
vinitx.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\Drivers32]
"midi6"=KORGUM64.DRV
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
NdisFilt
winpowermonitor
ATSWPDRV
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://asus.msn.com
mStart Page = hxxp://asus.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\users\Vinz\AppData\Roaming\Mozilla\Firefox\Profiles\hg9wcrzp.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
Toolbar-Locked - (no file)
HKLM-Run-ETDCtrl - c:\program files (x86)\Elantech\ETDCtrl.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10k.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
c:\program files (x86)\ASUS\SmartLogon\sensorsrv.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe
c:\program files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\KBFiltr.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe
c:\windows\AsScrPro.exe
c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe
.
**************************************************************************
.
Heure de fin: 2012-03-25  20:10:30 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-03-25 18:10
.
Avant-CF: 166 842 961 920 octets libres
Après-CF: 166 227 091 456 octets libres
.
- - End Of File - - 255E92563387B004CD48EE7576DE713D

Fish66 · Answer

Re,

1/
Relance TDSSKiller puis Avira pour s'assurer qu'il n'y'a plus de 

rootkit  :-)

2/
Telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

Héberge le rapport sur : http://pjjoint.malekal.com et donne le lien obtenu

@+

snohi · Answer

Apres le scan tdsskiller j ai encore eu un blue screen au moment du demarrage.

voila le rapport prescan :

https://pjjoint.malekal.com/files.php?id=20120325_w5q13s13t14y9

Fish66 · Answer

Re, 1/ Tu as essayé de cracker : Fruity_Loops_Studio_9 et Photoshop CS4 extended Un peu de lecture : les dangers des cracks Pour ne pas réinfecter ton PC, désinstalle et supprime : C:\Users\Vinz\Downloads\Fruity_Loops_Studio_9_&_Crack C:\Users\Vinz\Downloads\Photoshop CS4 extended + crack 2/ Tu vas suivre les procédures indiquées : >>> ICI <<< pour supprimer définitivement le Zaccess Bonne soirée...

snohi · Answer

Ok merci de ton aide il va falloir que je trouve un cd vierge alors. Sinon il y a qqchose que je voulais demander sur cette page :
"Supprimer consrv.dll, soit de manière volontaire, soit par l'antivirus (exemple avec Hitman Pro), sans remettre la clef d'origine entraine un BSOD STOP c000021a {Fatal System Error} ." => il faut vraiment la supprimer dans le regedit ???

Fish66 · Answer

Re,
"Supprimer consrv.dll, soit de manière volontaire, soit par l'antivirus (exemple avec Hitman Pro), sans remettre la clef d'origine entraine un BSOD STOP c000021a {Fatal System Error} ." => il faut vraiment la supprimer dans le regedit ???
Oui, c'est nécessaire de suivre les procédures indiquées dans le tuto de malekal

Bon courage...

@+

TR/ATRAPS.Gen2 dans avira

22 réponses

Discussions similaires

Newsletters