TR/ATRAPS.Gen2 impossible à supprimé!!!

Résolu
aidezzmoistvp -  
 Utilisateur anonyme -
Bonjour,

Depuis cet après midi je suis infesté par ce "TR/ATRAPS.Gen2 "

Ni Avira-antivir, Ni malwarbytes, ni Combofix, ne peut me peut le supprimer

Cherchant forum en forum , je ne peut le supprimer.

Aidez- svp.

27 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    la clé d'avira, tu la laisse :D

    l'idée est juste de vider les cach et nettoyer le registre avec des clés inutiles!

    crée un nouveau point de restauration système, ça peut servire :D

    sur ce, bon surf ;-)

    1
  2. Utilisateur anonyme
     
    bonsoir,

    envoie tous les rapports des outils que tu as cité plus haut !

    0
  3. higeek.net Messages postés 69 Statut Membre
     
    Tout d'abord merci de m'avoir répondu si vite, ensuite je tiens à vous signaler

    que je suis et je me suis inscrit chez vous et je pense vous avoir déjà entretenu
    avec vous sur ma lenteur et mes déconnexions internet, ravi donc de vous revoir a nouveau ^^.

    Sinon je suis sur un autre pc et je suis entrain d'analysé avec avira-

    antivir sur le pc infecté après Malwarbyte et COmbofix.

    malwarbyte ne trouve rien , je poste le raport de Combofix:

    https://pjjoint.malekal.com/files.php?id=20120330_z13g6r9l11p12
    0
    1. higeek.net Messages postés 69 Statut Membre
       
      configuration : xp prof sp3
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Bonsoir

    A la demande par MP de cette personne;j'avance un peu.
    Salut Electricien69 ;)

    As tu redémarré ton PC suite au passage de Tdsskiller?

    @+
    0
  6. higeek.net Messages postés 69 Statut Membre
     
    (Tout d'abord, merci pour votre intervention si rapide malgré mon dérangement si tardif, je m'en excuse d'avance auprès de "Electricien69" si par l'action de"Guillaume 5188 " , je pourrais lui causer du tord.)

    Alors , oui j'ai redémarrer le PC.
    0
  7. Utilisateur anonyme
     
    Re

    C'est ton antivirus qui te l'avait indiqué...

    Reprend une analyse avec ton antivirus à jour et poste moi son rapport

    Merci

    @+
    0
  8. Utilisateur anonyme
     
    Bonjour

    As tu encore des soucis?

    @+
    0
  9. higeek.net Messages postés 69 Statut Membre
     
    Bonjour, pour l'instant non. Dois-je faire d'autre analyse pour en être sur ?

    Comme avec malwarbytes ?
    0
  10. Utilisateur anonyme
     
    Re

    Pas d'autre analyse à faire.
    Je te propose donc de clore ce post si tu n'as plus de problèmes.

    @+
    0
  11. higeek.net Messages postés 69 Statut Membre
     
    ok alors, merci pour l'analyse.
    0
  12. Utilisateur anonyme
     
    bonjour, (Salut Guillaume5188)

    pour avira :

    Début de la désinfection :
    C:\Documents and Settings\httn\Application Data\Sun\Java\Deployment\cache\6.0\5\4c8b2e85-1d1ab484
    [RESULTAT] Contient le modèle de détection de l'exploit EXP/JAVA.Loader.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '43a2ac6f.qua' !


    mets à jour java, vérifie bien que tu ais la version 31 de java dans le panneau de configuration, désinstalle les anciennes versions !

    pour Roguekiller :

    tu as un ancien antivirus mal désinstallé !

    Driver: [CHARGE]
    SSDT[25] : NtClose @ 0x805B1DBA -> HOOKED (Unknown @ 0xF7CAE6EC)
    SSDT[41] : NtCreateKey @ 0x8061AD1C -> HOOKED (Unknown @ 0xF7CAE6A6)
    SSDT[50] : NtCreateSection @ 0x805A0842 -> HOOKED (Unknown @ 0xF7CAE6F6)
    SSDT[53] : NtCreateThread @ 0x805C739A -> HOOKED (Unknown @ 0xF7CAE69C)
    SSDT[63] : NtDeleteKey @ 0x8061B1B8 -> HOOKED (Unknown @ 0xF7CAE6AB)
    SSDT[65] : NtDeleteValueKey @ 0x8061B388 -> HOOKED (Unknown @ 0xF7CAE6B5)
    SSDT[68] : NtDuplicateObject @ 0x805B39CE -> HOOKED (Unknown @ 0xF7CAE6E7)
    SSDT[98] : NtLoadKey @ 0x8061CF40 -> HOOKED (Unknown @ 0xF7CAE6BA)
    SSDT[122] : NtOpenProcess @ 0x805C1428 -> HOOKED (Unknown @ 0xF7CAE688)
    SSDT[128] : NtOpenThread @ 0x805C16B4 -> HOOKED (Unknown @ 0xF7CAE68D)
    SSDT[193] : NtReplaceKey @ 0x8061CDF0 -> HOOKED (Unknown @ 0xF7CAE6C4)
    SSDT[204] : NtRestoreKey @ 0x8061C6FC -> HOOKED (Unknown @ 0xF7CAE6BF)
    SSDT[213] : NtSetContextThread @ 0x805C7ABC -> HOOKED (Unknown @ 0xF7CAE6FB)
    SSDT[247] : NtSetValueKey @ 0x8061928E -> HOOKED (Unknown @ 0xF7CAE6B0)
    SSDT[257] : NtTerminateProcess @ 0x805C8DD6 -> HOOKED (Unknown @ 0xF7CAE697)
    S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7CAE700)
    S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7CAE705)


    pour Tdsskiller, il a fait son job ,

    22:19:54.0904 2616 Detected object count: 1
    22:19:54.0904 2616 Actual detected object count: 1
    22:20:10.0139 2616 \Device\Harddisk0\DR0\# - copied to quarantine
    22:20:10.0154 2616 \Device\Harddisk0\DR0 - copied to quarantine
    22:20:10.0217 2616 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - will be cured on reboot
    22:20:10.0232 2616 \Device\Harddisk0\DR0 - ok
    22:20:10.0232 2616 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - User select action: Cure


    ce qu'il faut, c'est de redémarrer le pc, puis repasser un nouveau zhpdiag pour voir ce qu'il en dit :D

    l'histoire de vérifier ce qui traine :D

    0
  13. Utilisateur anonyme
     
    * Lance ZHPFix via le raccourci sur ton Bureau

    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

    * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
    ---------------------------------------------------------

    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Avira SearchFree Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
    O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Avira SearchFree Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
    [MD5.BB92A5F10D76140569216E8C4D67115A] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe
    O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}
    O42 - Logiciel: Avira SearchFree Toolbar plus Web Protection Updater - (.Ask.com.) [HKCU] -- {79A765E1-C399-405B-85AF-466F52E918B0}
    [HKCU\Software\APN]
    [HKCU\Software\AskToolbar]
    [HKLM\Software\APN]
    [HKLM\Software\AskToolbar]
    O43 - CFD: 22/02/2012 - 03:06:20 - [3,989] ----D- C:\Program Files\Ask.com [HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}] =>Toolbar.AskTBar => Toolbar.Ask
    [HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] =>Toolbar.AskSBar
    [HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}] =>Toolbar.Ask
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] =>Toolbar.AskSBar
    [HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}] =>Toolbar.Ask
    [HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}] =>Toolbar.AskSBar
    [HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] =>Toolbar.AskSBar
    [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] =>Toolbar.AskSBar
    [HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}] =>Toolbar.Ask => Toolbar.Ask
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Toolbar.AskSBar
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Toolbar.AskSBar
    [HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Toolbar.AskSBar
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Toolbar.AskSBar
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}] =>Toolbar.AskBar
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440} =>Toolbar.AskSBar
    [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{D4027C7F-154A-4066-A1AD-4243D8127440} =>Toolbar.AskSBar
    [HKLM\Software\Classes\AppID\GenericAskToolbar.DLL] =>Toolbar.AskSBar
    [HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd] =>Toolbar.AskSBar
    [HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1] =>Toolbar.AskSBar
    [HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF] =>Toolbar.AskSBar
    [HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF] =>Toolbar.AskSBar
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF] =>Toolbar.AskSBar
    [HKCU\Software\APN] =>Toolbar.Agent
    [HKLM\Software\APN] =>Toolbar.Agent
    C:\Program Files\Ask.com =>Toolbar.AskBar
    C:\Documents and Settings\httn\Application Data\AskToolbar =>Toolbar.AskTBar
    C:\Documents and Settings\httn\Local Settings\Application Data\AskToolbar =>Toolbar.AskTBar
    Emptytemp



    ----------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :

    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    0
  14. higeek.net Messages postés 69 Statut Membre
     
    Rapport de ZHPFix 1.12.3381 par Nicolas Coolman, Update du 08/02/2011
    Fichier d'export Registre :
    Run by httn at 31/03/2012 13:39:56
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Logiciel(s) ==========
    SUPPRIME Ask Toolbar
    ABSENT Uninstall Process: c:\program files\ask.com\updater\updater.exe

    ========== Processus mémoire ==========
    SUPPRIME Memory Process: C:\Program Files\Ask.com\UpdateTask.exe

    ========== Clé(s) du Registre ==========
    SUPPRIME [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}]
    ABSENT Key: CLSID BHO: {D4027C7F-154A-4066-A1AD-4243D8127440}
    SUPPRIME Key: HKCU\Software\APN
    ABSENT Key: HKCU\Software\AskToolbar
    SUPPRIME Key: HKLM\Software\APN
    SUPPRIME Key: HKLM\Software\AskToolbar
    ABSENT Key: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    ABSENT Key: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    ABSENT Key: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    ABSENT Key: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    ABSENT Key: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    ABSENT Key: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
    ABSENT Key: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    ABSENT Key: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    ABSENT Key: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    ABSENT Key: HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
    ABSENT Key: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    ABSENT Key: HKCU\Software\APN
    ABSENT Key: HKLM\Software\APN

    ========== Valeur(s) du Registre ==========
    ABSENT Toolbar: {D4027C7F-154A-4066-A1AD-4243D8127440}
    SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
    ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{D4027C7F-154A-4066-A1AD-4243D8127440}

    ========== Dossier(s) ==========
    ABSENT C:\Program Files\Ask.com [HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]
    SUPPRIME Folder: c:\program files\ask.com
    SUPPRIME Folder: c:\documents and settings\httn\local settings\application data\asktoolbar
    SUPPRIME Temporaires Windows: : 72

    ========== Fichier(s) ==========
    SUPPRIME Reboot c:\program files\ask.com
    ABSENT File: c:\windows\tasks\scheduled update for ask toolbar.job
    SUPPRIME File: c:\program files\ask.com\updatetask.exe
    ABSENT Folder/File: c:\documents and settings\httn\application data\asktoolbar
    SUPPRIME Temporaires Windows: : 37

    ========== Tache planifiée ==========
    SUPPRIME Task: Scheduled Update for Ask Toolbar

    ========== Récapitulatif ==========
    1 : Processus mémoire
    27 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    4 : Dossier(s)
    5 : Fichier(s)
    2 : Logiciel(s)
    1 : Tache planifiée

    End of clean in 00mn 50s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 31/03/2012 13:39:56 [4077]
    0
    1. higeek.net Messages postés 69 Statut Membre
       
      Au redémarage, Window a fermé "Window updater"
      et j'ai un programme "miexec.exe" qui affiche ne pas fonctionner ,que signifie tout cela ?
      0
  15. Utilisateur anonyme
     
    dépuis quand tu as le message de Msiexec.exe ?

    à lire :
    https://www.commentcamarche.net/contents/903-msiexec-msiexec-exe

    relance MBAM, tu l'as déjà sur ton pc,

    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    0
  16. higeek.net Messages postés 69 Statut Membre
     
    Mon pc à été redémarré, automatiquement ( je ne sais pas si c'est MBAM qui a fait , j'étais à ce moment , est-ce un problème?)

    Voici le rappport :

    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.03.31.10

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    httn :: ADMINHTT [administrateur]

    31/03/2012 19:39:13
    mbam-log-2012-03-31 (19-39-13).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 223723
    Temps écoulé: 1 heure(s), 4 minute(s), 31 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  • 1
  • 2