TR/ATRAPS.Gen2 dans avira

snohi Messages postés 41 Statut Membre -  
Fish66 Messages postés 18337 Statut Contributeur sécurité -
Bonjour,
Voila depuis peu avira me detecte constamment un virus meme si je lui demande de le supprimer. Voila le message :

"
Guard: Malware found
Date/Time : xxxxxxxxxxx
Type: Detection

A virus or unwanted program
'TR/ATRAPS.Gen2' was found in file
'C:\Windows\assembly\temp\U\800000323.@'

Access to this file was denied.

Please select a further action :

Remove or Details
"

Donc voila ce message revient tout le temps =\
J ai suivi quelques conseils sur des fofos genre passer CCleaner ou Malwarebytes mais rien ne change. Est ce que qqun connait la solution a ce probleme ?

Merci

snohizooor

22 réponses

  • 1
  • 2
  1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,

    Nous allons effectuer un diagnostic de ton PC:
    *Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    * Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://pjjoint.malekal.com/
    Si indisponible, tu peux essayer avec l'un de ces liens:
    https://www.terafiles.net/
    https://www.casimages.com/

    * Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur pjjoint.malekal.com

    Rends toi sur pjjoint.malekal.com
    * Clique sur le bouton Parcourir
    * Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
    * Clique sur le bouton Envoyer
    * Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

    * Copie le lien dans ta prochaine réponse.

    @+
    0
  2. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    1/
    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html
    * ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe
    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
    * Laisse le prescan se terminer, clique sur Scan
    * Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

    2/
    Télécharge Reload_TDSSKiller

    * Lance le

    * choisis : lancer le nettoyage

    * l'outil va automatiquement télécharger la derniere version puis

    * TDSSKiller va s'ouvrir , clique sur "Start Scan"

    Clique ici pour l'aide en image
    - Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    - Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    - Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    - Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    - une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    * Copie/Colle son contenu dans ta prochaine réponse

    @+

    0
  3. snohi Messages postés 41 Statut Membre
     
    Salut !

    Impossible de telecharger Reload_TDSSKiller je tombe sur une 404.
    Neanmoins j ai le rapport de RogueKiller :

    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Vinz [Droits d'admin]
    Mode: Recherche -- Date: 22/03/2012 18:47:14

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
    [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost
    149.5.18.172 www.google-analytics.com.
    149.5.18.172 ad-emea.doubleclick.net.
    149.5.18.172 www.statcounter.com.
    108.163.215.51 www.google-analytics.com.
    108.163.215.51 ad-emea.doubleclick.net.
    108.163.215.51 www.statcounter.com.

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD6400BPVT-80HXZT3 +++++
    --- User ---
    [MBR] 9d927362b2df9aea4eb900e8c1d60bb6
    [BSP] 2ee18edf56eb573bfe8fc4993312b762 : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 244192 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 552536064 | Size: 340686 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: Philips USB Flash Drive USB Device +++++
    --- User ---
    [MBR] 8e95ef4d5f1e35824be944745423dd2a
    [BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1935 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Merci !
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    1/
    Relance RogueKiller, puis tapes 2 (suppression) puis 3 (RAZ host) et poste les deux rapports correspondants à ces 2 options

    2/ Ensuite

    * Lance Malwarebytes' Anti-Malware
    * Fais la mise à jour
    * Clique dans l'onglet "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    *Vérifie que toutes les lignes sont cochées
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

    * Copie/colle le rapport dans le prochain message

    Remarque :
    - S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

    @+

    0
  6. snohi Messages postés 41 Statut Membre
     
    RK 1 :

    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Vinz [Droits d'admin]
    Mode: Recherche -- Date: 23/03/2012 16:58:18

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
    [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost
    149.5.18.172 www.google-analytics.com.
    149.5.18.172 ad-emea.doubleclick.net.
    149.5.18.172 www.statcounter.com.
    108.163.215.51 www.google-analytics.com.
    108.163.215.51 ad-emea.doubleclick.net.
    108.163.215.51 www.statcounter.com.

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD6400BPVT-80HXZT3 +++++
    --- User ---
    [MBR] 9d927362b2df9aea4eb900e8c1d60bb6
    [BSP] 2ee18edf56eb573bfe8fc4993312b762 : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 244192 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 552536064 | Size: 340686 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    RK 2 :

    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Vinz [Droits d'admin]
    Mode: Suppression -- Date: 23/03/2012 16:58:23

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
    [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost
    149.5.18.172 www.google-analytics.com.
    149.5.18.172 ad-emea.doubleclick.net.
    149.5.18.172 www.statcounter.com.
    108.163.215.51 www.google-analytics.com.
    108.163.215.51 ad-emea.doubleclick.net.
    108.163.215.51 www.statcounter.com.

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD6400BPVT-80HXZT3 +++++
    --- User ---
    [MBR] 9d927362b2df9aea4eb900e8c1d60bb6
    [BSP] 2ee18edf56eb573bfe8fc4993312b762 : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 244192 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 552536064 | Size: 340686 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    MBAM :
    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.03.20.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Vinz :: VINZ-PC [administrateur]

    23/03/2012 17:00:25
    mbam-log-2012-03-23 (17-00-25).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 377244
    Temps écoulé: 46 minute(s), 4 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    Merci
    0
  7. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    1/
    * Télécharge Rsthosts

    * Lance le ainsi
    * Utilisateurs Windows XP => double clique >>sur RstHosts .exe
    * Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur RstHosts .exe .

    * Appuie sur Restaurer.
    * Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
    * Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt)

    2/
    Télécharge TDSSKiller sur ton Bureau.

    # Décompresse le (clic droit sur le fichier et extraire) sur le bureau.
    # dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau
    # Faire un double clic sur TDSSKiller.exe pour le lancer.
    # Cliquer sur Start scan pour lancer l'analyse,

    # Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée,
    # Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip.
    # Puis cliquer sur le bouton Continue.
    # Attendre l'affichage du fichier rapport.
    # Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Reboot computer.

    Envoyer en réponse le rapport de TDSSKiller

    Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt

    @+
    0
  8. snohi Messages postés 41 Statut Membre
     
    Voici d abord les 2 rapports de rsthosts

    -|x| RstHosts v2.0 - Rapport créé le 24/03/2012 à 01:25:36
    -|x| Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    -|x| Nom d'utilisateur : Vinz - VINZ-PC (Administrateur)

    -|x|- Informations -|x|-

    Emplacement : C:\Windows\System32\drivers\etc\hosts
    Attribut(s) : RASH
    Propriétaire : Administrateurs - BUILTIN
    Taille : 89 bytes
    Date de création : 20/03/2012 - 19:27:07
    Date de modification : 24/03/2012 - 01:25:07
    Date de dernier accès : 24/03/2012 - 01:25:07

    -|x|- Contenu du fichier -|x|-

    # Fichier Hosts créé par RstHosts

    127.0.0.1 localhost
    ::1 localhost

    -|x|- E.O.F - C:\RstHosts.txt - 623 bytes -|x|-

    Ensuite pour TDSSKiller, il ne trouve ni malicious objects, ni suspicious objects mais un thread detected. Quelle action dois je faire ? merci :
    0
  9. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    thread detected ca veut dire : une infection détecté, donc c'est à supprimer (tu choisis cure)
    poste ensuite le rapport

    @+
    0
  10. snohi Messages postés 41 Statut Membre
     
    voila le rapport :

    20:01:13.0734 2044 TDSS rootkit removing tool 2.7.22.0 Mar 21 2012 17:40:00
    20:01:13.0812 2044 ============================================================
    20:01:13.0812 2044 Current date / time: 2012/03/24 20:01:13.0812
    20:01:13.0812 2044 SystemInfo:
    20:01:13.0812 2044
    20:01:13.0812 2044 OS Version: 6.1.7601 ServicePack: 1.0
    20:01:13.0812 2044 Product type: Workstation
    20:01:13.0812 2044 ComputerName: VINZ-PC
    20:01:13.0812 2044 UserName: Vinz
    20:01:13.0812 2044 Windows directory: C:\Windows
    20:01:13.0812 2044 System windows directory: C:\Windows
    20:01:13.0812 2044 Running under WOW64
    20:01:13.0812 2044 Processor architecture: Intel x64
    20:01:13.0812 2044 Number of processors: 8
    20:01:13.0812 2044 Page size: 0x1000
    20:01:13.0812 2044 Boot type: Normal boot
    20:01:13.0812 2044 ============================================================
    20:01:15.0622 2044 Drive \Device\Harddisk0\DR0 - Size: 0x950B056000 (596.17 Gb), SectorSize: 0x200, Cylinders: 0x13001, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
    20:01:15.0622 2044 \Device\Harddisk0\DR0:
    20:01:15.0622 2044 MBR used
    20:01:15.0622 2044 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3200800, BlocksNum 0x1DCF0000
    20:01:15.0637 2044 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x20EF1000, BlocksNum 0x29966800
    20:01:15.0731 2044 Initialize success
    20:01:15.0731 2044 ============================================================
    0
  11. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Le rapport est incomplet, est ce que tu peux le refaire stp ?

    @+
    0
  12. snohi Messages postés 41 Statut Membre
     
    oups, je sais pas comment je m y suis pris

    20:01:13.0734 2044 TDSS rootkit removing tool 2.7.22.0 Mar 21 2012 17:40:00
    20:01:13.0812 2044 ============================================================
    20:01:13.0812 2044 Current date / time: 2012/03/24 20:01:13.0812
    20:01:13.0812 2044 SystemInfo:
    20:01:13.0812 2044
    20:01:13.0812 2044 OS Version: 6.1.7601 ServicePack: 1.0
    20:01:13.0812 2044 Product type: Workstation
    20:01:13.0812 2044 ComputerName: VINZ-PC
    20:01:13.0812 2044 UserName: Vinz
    20:01:13.0812 2044 Windows directory: C:\Windows
    20:01:13.0812 2044 System windows directory: C:\Windows
    20:01:13.0812 2044 Running under WOW64
    20:01:13.0812 2044 Processor architecture: Intel x64
    20:01:13.0812 2044 Number of processors: 8
    20:01:13.0812 2044 Page size: 0x1000
    20:01:13.0812 2044 Boot type: Normal boot
    20:01:13.0812 2044 ============================================================
    20:01:15.0622 2044 Drive \Device\Harddisk0\DR0 - Size: 0x950B056000 (596.17 Gb), SectorSize: 0x200, Cylinders: 0x13001, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
    20:01:15.0622 2044 \Device\Harddisk0\DR0:
    20:01:15.0622 2044 MBR used
    20:01:15.0622 2044 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3200800, BlocksNum 0x1DCF0000
    20:01:15.0637 2044 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x20EF1000, BlocksNum 0x29966800
    20:01:15.0731 2044 Initialize success
    20:01:15.0731 2044 ============================================================
    20:02:11.0619 2156 Deinitialize success
    0
  13. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Lance Avira pour voir s'il détecte de nouveau le virus :-)

    @+
    0
  14. snohi Messages postés 41 Statut Membre
     
    J ai fait Delete pour tous.

    Voila le rapport d avira :

    Avira AntiVir Personal
    Report file date: samedi 24 mars 2012 21:29

    Scanning for 3573772 virus strains and unwanted programs.

    The program is running as an unrestricted full version.
    Online services are available:

    Licensee : Avira AntiVir Personal - Free Antivirus
    Serial number : 0000149996-ADJIE-0000001
    Platform : Windows 7 x64
    Windows version : (Service Pack 1) [6.1.7601]
    Boot mode : Normally booted
    Username : Vinz
    Computer name : VINZ-PC

    Version information:
    BUILD.DAT : 10.2.0.707 36070 Bytes 25/01/2012 13:11:00
    AVSCAN.EXE : 10.3.0.7 484008 Bytes 21/07/2011 11:12:28
    AVSCAN.DLL : 10.0.5.0 47464 Bytes 21/07/2011 11:15:00
    LUKE.DLL : 10.3.0.5 45416 Bytes 21/07/2011 11:13:59
    LUKERES.DLL : 10.0.0.1 12648 Bytes 10/02/2010 23:40:49
    AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21/07/2011 11:12:28
    AVREG.DLL : 10.3.0.9 90472 Bytes 21/07/2011 11:12:21
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
    VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 06:53:55
    VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 13:18:40
    VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 16:01:04
    VBASE004.VDF : 7.11.21.239 2048 Bytes 01/02/2012 16:01:04
    VBASE005.VDF : 7.11.21.240 2048 Bytes 01/02/2012 16:01:04
    VBASE006.VDF : 7.11.21.241 2048 Bytes 01/02/2012 16:01:04
    VBASE007.VDF : 7.11.21.242 2048 Bytes 01/02/2012 16:01:04
    VBASE008.VDF : 7.11.21.243 2048 Bytes 01/02/2012 16:01:06
    VBASE009.VDF : 7.11.21.244 2048 Bytes 01/02/2012 16:01:08
    VBASE010.VDF : 7.11.21.245 2048 Bytes 01/02/2012 16:01:59
    VBASE011.VDF : 7.11.21.246 2048 Bytes 01/02/2012 16:02:00
    VBASE012.VDF : 7.11.21.247 2048 Bytes 01/02/2012 16:02:00
    VBASE013.VDF : 7.11.22.33 1486848 Bytes 03/02/2012 18:58:39
    VBASE014.VDF : 7.11.22.56 687616 Bytes 03/02/2012 18:58:46
    VBASE015.VDF : 7.11.22.92 178176 Bytes 06/02/2012 18:56:26
    VBASE016.VDF : 7.11.22.154 144896 Bytes 08/02/2012 01:49:59
    VBASE017.VDF : 7.11.22.220 183296 Bytes 13/02/2012 17:02:17
    VBASE018.VDF : 7.11.23.34 202752 Bytes 15/02/2012 13:13:48
    VBASE019.VDF : 7.11.23.98 126464 Bytes 17/02/2012 15:20:17
    VBASE020.VDF : 7.11.23.150 148480 Bytes 20/02/2012 17:14:54
    VBASE021.VDF : 7.11.23.224 172544 Bytes 23/02/2012 17:57:13
    VBASE022.VDF : 7.11.24.52 219648 Bytes 28/02/2012 17:34:20
    VBASE023.VDF : 7.11.24.152 165888 Bytes 05/03/2012 11:13:39
    VBASE024.VDF : 7.11.24.204 177664 Bytes 07/03/2012 11:13:40
    VBASE025.VDF : 7.11.25.30 245248 Bytes 12/03/2012 12:02:24
    VBASE026.VDF : 7.11.25.121 252416 Bytes 15/03/2012 12:21:25
    VBASE027.VDF : 7.11.25.122 2048 Bytes 15/03/2012 12:21:25
    VBASE028.VDF : 7.11.25.123 2048 Bytes 15/03/2012 12:21:26
    VBASE029.VDF : 7.11.25.124 2048 Bytes 15/03/2012 12:21:26
    VBASE030.VDF : 7.11.25.125 2048 Bytes 15/03/2012 12:21:26
    VBASE031.VDF : 7.11.25.156 131072 Bytes 19/03/2012 15:23:42
    Engineversion : 8.2.10.24
    AEVDF.DLL : 8.1.2.2 106868 Bytes 13/01/2012 13:22:56
    AESCRIPT.DLL : 8.1.4.10 455035 Bytes 16/03/2012 12:21:54
    AESCN.DLL : 8.1.8.2 131444 Bytes 29/01/2012 19:04:42
    AESBX.DLL : 8.2.5.5 606579 Bytes 13/03/2012 12:03:55
    AERDL.DLL : 8.1.9.15 639348 Bytes 13/01/2012 13:22:50
    AEPACK.DLL : 8.2.16.5 803190 Bytes 08/03/2012 11:13:45
    AEOFFICE.DLL : 8.1.2.25 201084 Bytes 13/01/2012 13:22:33
    AEHEUR.DLL : 8.1.4.7 4501878 Bytes 19/03/2012 15:23:56
    AEHELP.DLL : 8.1.19.0 254327 Bytes 22/01/2012 17:00:11
    AEGEN.DLL : 8.1.5.23 409973 Bytes 08/03/2012 11:13:41
    AEEXP.DLL : 8.1.0.25 74101 Bytes 16/03/2012 12:21:54
    AEEMU.DLL : 8.1.3.0 393589 Bytes 21/04/2011 06:53:14
    AECORE.DLL : 8.1.25.6 201078 Bytes 16/03/2012 12:21:28
    AEBB.DLL : 8.1.1.0 53618 Bytes 21/04/2011 06:53:14
    AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 06:53:36
    AVPREF.DLL : 10.0.3.2 44904 Bytes 21/07/2011 11:12:20
    AVREP.DLL : 10.0.0.10 174120 Bytes 21/07/2011 11:12:22
    AVARKT.DLL : 10.0.26.1 255336 Bytes 21/07/2011 11:12:00
    AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21/07/2011 11:12:10
    SQLITE3.DLL : 3.6.19.0 355688 Bytes 21/07/2011 14:12:31
    AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/04/2011 06:53:36
    NETNT.DLL : 10.0.0.0 11624 Bytes 21/04/2011 06:53:46
    RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21/07/2011 11:15:09
    RCTEXT.DLL : 10.0.64.0 97640 Bytes 21/07/2011 11:15:09

    Configuration settings for the scan:
    Jobname.............................: Local Drives
    Configuration file..................: C:\program files (x86)\avira\antivir desktop\alldrives.avp
    Logging.............................: Default
    Primary action......................: interactive
    Secondary action....................: ignore
    Scan master boot sector.............: on
    Scan boot sector....................: on
    Boot sectors........................: C:, D:, E:, F:,
    Process scan........................: on
    Scan registry.......................: on
    Search for rootkits.................: off
    Integrity checking of system files..: off
    Scan all files......................: Intelligent file selection
    Scan archives.......................: on
    Recursion depth.....................: 20
    Smart extensions....................: on
    Macro heuristic.....................: on
    File heuristic......................: Advanced

    Start of the scan: samedi 24 mars 2012 21:29

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'ts3client_win32.exe' - '1' Module(s) have been scanned
    Scan process 'PMB.exe' - '1' Module(s) have been scanned
    Scan process 'LolClient.exe' - '1' Module(s) have been scanned
    Scan process 'LoLLauncher.exe' - '1' Module(s) have been scanned
    Scan process 'rads_user_kernel.exe' - '1' Module(s) have been scanned
    Scan process 'daemonu.exe' - '1' Module(s) have been scanned
    Scan process 'jusched.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'wcourier.exe' - '1' Module(s) have been scanned
    Scan process 'HControlUser.exe' - '1' Module(s) have been scanned
    Scan process 'DMedia.exe' - '1' Module(s) have been scanned
    Scan process 'SonicFocusTray.exe' - '1' Module(s) have been scanned
    Scan process 'CLMLSvc.exe' - '1' Module(s) have been scanned
    Scan process 'AsScrPro.exe' - '1' Module(s) have been scanned
    Scan process 'WDC.exe' - '1' Module(s) have been scanned
    Scan process 'KBFiltr.exe' - '1' Module(s) have been scanned
    Scan process 'ATKOSD.exe' - '1' Module(s) have been scanned
    Scan process 'LiveUpdate.exe' - '1' Module(s) have been scanned
    Scan process 'HControl.exe' - '1' Module(s) have been scanned
    Scan process 'sensorsrv.exe' - '1' Module(s) have been scanned
    Scan process 'ATKOSD2.exe' - '1' Module(s) have been scanned
    Scan process 'SeaPort.EXE' - '1' Module(s) have been scanned
    Scan process 'Ath_CoexAgent.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'GFNEXSrv.exe' - '1' Module(s) have been scanned
    Scan process 'ASLDRSrv.exe' - '1' Module(s) have been scanned

    Starting master boot sector scan:
    Master boot sector HD0
    [INFO] No virus was found!

    Start scanning boot sectors:
    Boot sector 'C:\'
    [INFO] No virus was found!
    Boot sector 'D:\'
    [INFO] No virus was found!

    Starting to scan executable files (registry).
    The registry was scanned ( '204' files ).

    Starting the file scan:

    Begin scan in 'C:\' <OS>
    C:\TDSSKiller_Quarantine\24.03.2012_19.57.58\zaea0000\svc0000\tsk0000.dta
    [DETECTION] Is the TR/ATRAPS.Gen Trojan
    C:\Windows\assembly\GAC_32\Desktop.ini
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    C:\Windows\assembly\GAC_64\Desktop.ini
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    C:\Windows\assembly\temp\U\80000004.@
    [DETECTION] Is the TR/Crypt.XPACK.Gen8 Trojan
    C:\Windows\assembly\temp\U\80000032.@
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    C:\Windows\assembly\temp\U\80000064.@
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    C:\Windows\System32\AlteraByteBlaster.dll
    [DETECTION] Is the TR/ATRAPS.Gen Trojan
    C:\Windows\System32\consrv.dll
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    C:\Windows\System32\tmtdi.dll
    [DETECTION] Is the TR/ATRAPS.Gen Trojan
    Begin scan in 'D:\' <DATA>
    Begin scan in 'E:\'
    Search path E:\ could not be opened!
    System error [21]: Le périphérique n'est pas prêt.
    Begin scan in 'F:\'
    Search path F:\ could not be opened!
    System error [21]: Le périphérique n'est pas prêt.

    Beginning disinfection:
    C:\Windows\System32\tmtdi.dll
    [DETECTION] Is the TR/ATRAPS.Gen Trojan
    [NOTE] The file was deleted!
    C:\Windows\System32\consrv.dll
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    [NOTE] The file was deleted!
    C:\Windows\System32\AlteraByteBlaster.dll
    [DETECTION] Is the TR/ATRAPS.Gen Trojan
    [NOTE] The file was deleted!
    C:\Windows\assembly\temp\U\80000064.@
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    [NOTE] The file was deleted!
    C:\Windows\assembly\temp\U\80000032.@
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    [NOTE] The file was deleted!
    C:\Windows\assembly\temp\U\80000004.@
    [DETECTION] Is the TR/Crypt.XPACK.Gen8 Trojan
    [NOTE] The file was deleted!
    C:\Windows\assembly\GAC_64\Desktop.ini
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    [WARNING] The file could not be deleted!
    [NOTE] For the final repair, a restart of the computer is instigated.
    [NOTE] The file is scheduled for deleting after reboot.
    [NOTE] For the final repair, a restart of the computer is instigated.
    C:\Windows\assembly\GAC_32\Desktop.ini
    [DETECTION] Is the TR/ATRAPS.Gen2 Trojan
    [WARNING] The file could not be deleted!
    [NOTE] For the final repair, a restart of the computer is instigated.
    [NOTE] The file is scheduled for deleting after reboot.
    [NOTE] For the final repair, a restart of the computer is instigated.
    C:\TDSSKiller_Quarantine\24.03.2012_19.57.58\zaea0000\svc0000\tsk0000.dta
    [DETECTION] Is the TR/ATRAPS.Gen Trojan
    [NOTE] The file was deleted!
    0
  15. snohi Messages postés 41 Statut Membre
     
    oulaaa... alors j ai redemarré, eu un ecran bleu, et apres j ai suivi les instructions et c est revenu. Par contre le virus est toujours présent.
    0
  16. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    Avant d'utiliser ComboFix :

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    * Lance le

    * Une fenêtre apparait : clique sur "Disable"

    * Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    ===================================================

    Attention, avant de commencer, lis attentivement la procédure

    ********************************************************

    /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

    * Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »
    Voici Aide combofix

    * /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


    *Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    ** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    *En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    ** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    *Note : Le rapport se trouve également là : C:\ComboFix.txt

    @+

    0
  17. snohi Messages postés 41 Statut Membre
     
    Voila le rapport :

    ComboFix 12-03-22.01 - Vinz 25/03/2012 19:47:48.1.8 - x64
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.4007.2602 [GMT 2:00]
    Lancé depuis: c:\users\Vinz\Desktop\vinz.exe
    AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
    AV: Trend Micro Titanium Internet Security *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
    SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
    SP: Trend Micro Titanium Internet Security *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\programdata\FullRemove.exe
    c:\windows\assembly\GAC_32\Desktop.ini
    c:\windows\assembly\GAC_64\Desktop.ini
    c:\windows\assembly\temp\@
    c:\windows\assembly\temp\cfg.ini
    c:\windows\system32\consrv.dll
    c:\windows\system32\dds_trash_log.cmd
    c:\windows\System64
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-02-25 au 2012-03-25 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-03-24 20:28 . 2012-03-24 20:28 -------- d-----w- c:\users\Vinz\AppData\Roaming\Avira
    2012-03-24 18:58 . 2012-03-24 18:58 -------- d-----w- C:\TDSSKiller_Quarantine
    2012-03-23 00:45 . 2012-03-23 00:45 -------- d-----w- c:\users\Vinz\AppData\Local\Chromium
    2012-03-23 00:43 . 2012-03-25 08:13 -------- d-----w- c:\program files (x86)\Brawl Busters
    2012-03-22 12:03 . 2012-03-22 12:05 -------- d-----w- C:\ZHP
    2012-03-22 12:03 . 2012-03-22 12:04 -------- d-----w- c:\program files (x86)\ZHPDiag
    2012-03-20 23:10 . 2012-03-20 23:10 -------- d-----w- c:\users\Vinz\AppData\Roaming\Malwarebytes
    2012-03-20 23:09 . 2012-03-20 23:09 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2012-03-20 23:09 . 2012-03-20 23:09 -------- d-----w- c:\programdata\Malwarebytes
    2012-03-20 23:09 . 2011-12-10 14:24 23152 ----a-w- c:\windows\system32\drivers\mbam.sys
    2012-03-20 18:10 . 2012-03-20 18:10 -------- d-----w- c:\programdata\regid.1986-12.com.adobe
    2012-03-20 18:08 . 2012-03-20 18:08 -------- d-----w- c:\programdata\ALM
    2012-03-20 18:06 . 2012-03-20 18:06 -------- d-----w- c:\program files (x86)\Common Files\Adobe AIR
    2012-03-20 17:55 . 2012-03-20 18:09 -------- d-----w- c:\program files (x86)\Common Files\Adobe
    2012-03-20 17:55 . 2012-03-20 18:31 -------- d-----w- c:\users\Vinz\AppData\Local\Adobe
    2012-03-19 09:35 . 2012-03-19 09:35 592824 ----a-w- c:\program files (x86)\Mozilla Firefox\gkmedias.dll
    2012-03-19 09:35 . 2012-03-19 09:35 44472 ----a-w- c:\program files (x86)\Mozilla Firefox\mozglue.dll
    2012-03-15 02:02 . 2011-11-19 15:20 5559152 ----a-w- c:\windows\system32\ntoskrnl.exe
    2012-03-15 02:02 . 2011-11-19 14:50 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
    2012-03-15 02:02 . 2011-11-19 14:50 3913584 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
    2012-03-14 17:15 . 2012-02-03 04:34 3145728 ----a-w- c:\windows\system32\win32k.sys
    2012-03-14 17:15 . 2012-02-10 06:36 1544192 ----a-w- c:\windows\system32\DWrite.dll
    2012-03-14 17:15 . 2012-02-10 05:38 1077248 ----a-w- c:\windows\SysWow64\DWrite.dll
    2012-03-14 11:47 . 2012-01-25 06:38 77312 ----a-w- c:\windows\system32\rdpwsx.dll
    2012-03-14 11:47 . 2012-01-25 06:38 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
    2012-03-14 11:47 . 2012-01-25 06:33 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe
    2012-03-14 11:47 . 2012-02-17 06:38 1031680 ----a-w- c:\windows\system32\rdpcore.dll
    2012-03-14 11:47 . 2012-02-17 05:34 826880 ----a-w- c:\windows\SysWow64\rdpcore.dll
    2012-03-14 11:47 . 2012-02-17 04:58 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys
    2012-03-14 11:47 . 2012-02-17 04:57 23552 ----a-w- c:\windows\system32\drivers\tdtcp.sys
    2012-03-12 17:47 . 2012-03-12 17:47 -------- d-----w- c:\users\Vinz\AppData\Roaming\OpenOffice.org
    2012-03-12 17:45 . 2012-03-12 17:45 -------- d-----w- c:\program files (x86)\OpenOffice.org 3
    2012-03-05 02:04 . 2012-03-05 02:05 -------- d-----w- c:\users\Vinz\AppData\Roaming\Media Player Classic
    2012-03-01 18:25 . 2012-03-01 18:25 -------- d-----w- c:\windows\Downloaded Installations
    2012-03-01 18:21 . 2012-03-01 18:25 -------- d-----w- c:\program files (x86)\KORG
    2012-02-27 23:38 . 2012-03-25 03:50 -------- d-----w- c:\users\Vinz\AppData\Roaming\vlc
    2012-02-27 23:37 . 2012-02-27 23:37 -------- d-----w- c:\program files (x86)\VideoLAN
    2012-02-27 23:32 . 2012-02-27 23:32 -------- d-----w- c:\program files (x86)\Gabest
    2012-02-26 09:07 . 2012-02-26 09:10 -------- d-----w- c:\users\Vinz\AppData\Local\Microsoft Games
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-03-25 17:58 . 2012-01-13 09:46 45056 ----a-w- c:\windows\system32\acovcnt.exe
    2012-02-20 08:45 . 2012-01-13 13:11 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
    2012-02-02 11:36 . 2012-02-01 20:39 472808 ----a-w- c:\windows\SysWow64\deployJava1.dll
    2012-01-14 00:10 . 2012-01-14 00:10 270912 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
    2012-01-13 16:04 . 2010-06-24 18:33 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
    2012-01-04 10:44 . 2012-02-15 00:24 509952 ----a-w- c:\windows\system32\ntshrui.dll
    2012-01-04 08:58 . 2012-02-15 00:24 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll
    2011-12-30 06:26 . 2012-02-15 00:24 515584 ----a-w- c:\windows\system32\timedate.cpl
    2011-12-30 05:27 . 2012-02-15 00:24 478720 ----a-w- c:\windows\SysWow64\timedate.cpl
    2011-12-28 03:59 . 2012-02-15 00:24 498688 ----a-w- c:\windows\system32\drivers\afd.sys
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "ASUSWebStorage"="c:\program files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSPanel.exe" [2011-02-23 731472]
    "SonicMasterTray"="c:\program files (x86)\ASUS\Sonic Focus\SonicFocusTray.exe" [2010-07-10 984400]
    "ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2010-08-17 5732992]
    "ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2010-10-07 170624]
    "HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
    "Wireless Console 3"="c:\program files (x86)\ASUS\Wireless Console 3\wcourier.exe" [2010-09-23 1601536]
    "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
    "AdobeCS5.5ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    AsusVibeLauncher.lnk - c:\program files (x86)\ASUS\AsusVibe\AsusVibeLauncher.exe [2011-4-13 548528]
    FancyStart daemon.lnk - c:\windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe [2011-9-29 12862]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\SysWOW64\nvinit.dll
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "midi6"=KORGUM64.DRV
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
    .
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 135664]
    R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-01-31 158856]
    R3 Amsp;Trend Micro Solution Platform;c:\program files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe [x]
    R3 AthBTPort;Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys [x]
    R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-03-02 183560]
    R3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys [x]
    R3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys [x]
    R3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys [x]
    R3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys [x]
    R3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys [x]
    R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 135664]
    R3 KORGUMDS;KORG USB-MIDI Driver for Windows;c:\windows\system32\Drivers\KORGUM64.SYS [x]
    R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [x]
    R3 RSUSBVSTOR;RtsUVStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUVStor.sys [x]
    R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
    R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
    R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
    S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [x]
    S1 ATKWMIACPIIO;ATKWMIACPI Driver;c:\program files (x86)\ASUS\ATK Package\ATK WMIACPI\atkwmiacpi64.sys [2011-05-26 17536]
    S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [x]
    S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
    S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-03 15416]
    S2 Atheros Bt&Wlan Coex Agent;Atheros Bt&Wlan Coex Agent;c:\program files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [2011-03-13 138400]
    S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Bluetooth Suite\adminservice.exe [2011-03-13 74912]
    S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-10 2009704]
    S2 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [x]
    S2 TurboB;Turbo Boost UI Monitor driver;c:\windows\system32\DRIVERS\TurboB.sys [x]
    S2 TurboBoost;Intel(R) Turbo Boost Technology Monitor;c:\program files\Intel\TurboBoost\TurboBoost.exe [2010-04-16 134928]
    S3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys [x]
    S3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys [x]
    S3 BTATH_BUS;Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys [x]
    S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x]
    S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
    S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
    S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
    S3 TiMiniService;TiMiniService;c:\program files\Trend Micro\Titanium\TiMiniService.exe [2010-09-17 241488]
    .
    .
    --- Autres Services/Pilotes en mémoire ---
    .
    *NewlyCreated* - WS2IFSL
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 02:33]
    .
    2012-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-13 02:33]
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
    @="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
    [HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
    2010-09-02 08:41 220160 ----a-w- c:\program files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
    @="{64174815-8D98-4CE6-8646-4C039977D808}"
    [HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
    2010-09-02 08:41 220160 ----a-w- c:\program files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "VizorHtmlDialog.exe"="c:\program files\Trend Micro\Titanium\UIFramework\VizorHtmlDialog.exe" [2010-10-08 1123664]
    "Trend Micro Client Framework"="c:\program files\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe" [2010-10-12 192520]
    "Trend Micro Titanium"="c:\program files\Trend Micro\Titanium\VizorShortCut.exe" [2010-09-17 322384]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-10 167960]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-10 391704]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-10 418328]
    "RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2011-05-17 2226280]
    "IntelTBRunOnce"="wscript.exe" [2009-07-14 168960]
    "AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608]
    "combofix"="c:\vinz\CF12997.3XE" [2010-11-20 345088]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x1
    "AppInit_DLLs"=c:\windows\System32\nvinitx.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\Drivers32]
    "midi6"=KORGUM64.DRV
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    NdisFilt
    winpowermonitor
    ATSWPDRV
    .
    ------- Examen supplémentaire -------
    .
    uLocal Page = c:\windows\system32\blank.htm
    uStart Page = hxxp://asus.msn.com
    mStart Page = hxxp://asus.msn.com
    mLocal Page = c:\windows\SysWOW64\blank.htm
    TCP: DhcpNameServer = 192.168.1.254
    FF - ProfilePath - c:\users\Vinz\AppData\Roaming\Mozilla\Firefox\Profiles\hg9wcrzp.default\
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-Locked - (no file)
    Toolbar-Locked - (no file)
    HKLM-Run-ETDCtrl - c:\program files (x86)\Elantech\ETDCtrl.exe
    .
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
    c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
    c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
    c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
    c:\program files (x86)\ASUS\SmartLogon\sensorsrv.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe
    c:\program files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\KBFiltr.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe
    c:\windows\AsScrPro.exe
    c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-03-25 20:10:30 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-03-25 18:10
    .
    Avant-CF: 166 842 961 920 octets libres
    Après-CF: 166 227 091 456 octets libres
    .
    - - End Of File - - 255E92563387B004CD48EE7576DE713D
    0
  18. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    1/
    Relance TDSSKiller puis Avira pour s'assurer qu'il n'y'a plus de

    rootkit :-)

    2/
    Telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

    ??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Héberge le rapport sur : http://pjjoint.malekal.com et donne le lien obtenu

    @+

    0
  19. snohi Messages postés 41 Statut Membre
     
    Apres le scan tdsskiller j ai encore eu un blue screen au moment du demarrage.

    voila le rapport prescan :

    https://pjjoint.malekal.com/files.php?id=20120325_w5q13s13t14y9
    0
    1. aidezzmoistvp
       
      salut, peux tu m'aider s'il te plais, j'ai le même virus, on dirai qu'il se multiplie !! que dois-je faire ??? dois-je suivre la même procédure que tu as indiqué???
      0
    2. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
       
      Salut,
      Ouvre un nouveau sujet qui sera traité pas forcément de la même manière... :-)
      0
  20. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    1/
    Tu as essayé de cracker : Fruity_Loops_Studio_9 et Photoshop CS4 extended

    Un peu de lecture : les dangers des cracks

    Pour ne pas réinfecter ton PC, désinstalle et supprime :
    C:\Users\Vinz\Downloads\Fruity_Loops_Studio_9_&_Crack
    C:\Users\Vinz\Downloads\Photoshop CS4 extended + crack

    2/
    Tu vas suivre les procédures indiquées : >>> ICI <<< pour supprimer définitivement le Zaccess

    Bonne soirée...

    0
  • 1
  • 2