TR/ATRAPS.Gen2 impossible à supprimé!!! Résolu/Fermé

Question

Bonjour, 


Depuis cet après midi je suis infesté par ce "TR/ATRAPS.Gen2 "

Ni Avira-antivir, Ni malwarbytes, ni Combofix,  ne peut me peut le supprimer 


Cherchant forum en forum , je ne peut le supprimer.

Aidez- svp.

Utilisateur anonyme · Answer

bonsoir,

envoie tous les rapports des outils que tu as cité plus haut !

higeek.net · Answer

Tout d'abord merci de m'avoir répondu si vite, ensuite je tiens à vous  signaler 

que je suis et je me suis inscrit chez vous et je pense vous avoir déjà entretenu 
avec vous sur ma lenteur et mes déconnexions internet,   ravi donc de vous revoir a nouveau ^^.

Sinon je suis  sur un autre pc et je suis entrain d'analysé avec avira-

antivir sur le pc infecté après Malwarbyte et COmbofix. 

malwarbyte ne trouve rien , je poste le raport de Combofix:


https://pjjoint.malekal.com/files.php?id=20120330_z13g6r9l11p12

higeek.net · Answer

Avira-antivir:

https://pjjoint.malekal.com/files.php?id=20120330_z15q13v6p10h7


zhpdia :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120330_n8m9e11y14y14

Rokilleur:

https://pjjoint.malekal.com/files.php?id=20120330_g7p11l15s9m11

Hijackthis:

https://pjjoint.malekal.com/files.php?id=HijackThis_20120330_y10c13x15g6i15


RSIT (Random's system information tool) :

https://pjjoint.malekal.com/files.php?id=20120330_r10f15w13x7o7

kaperskyTDsskiller: ( virus : Rootkit.Boot.Sinowal.b)

https://pjjoint.malekal.com/files.php?id=20120330_q8e10x5l9y11

Utilisateur anonyme · Answer

Bonsoir

A la demande par MP de cette personne;j'avance un peu.
Salut Electricien69 ;)

As tu redémarré ton PC suite au passage de Tdsskiller?

@+

higeek.net · Answer

(Tout d'abord, merci pour votre intervention si rapide malgré mon dérangement si tardif, je m'en excuse d'avance auprès de   "Electricien69" si par l'action de"Guillaume 5188 " , je pourrais lui causer du tord.)



Alors , oui j'ai redémarrer le PC.

Utilisateur anonyme · Answer

Re

C'est ton antivirus qui te l'avait indiqué...

Reprend une analyse avec ton antivirus à jour et poste moi son rapport

Merci

@+

higeek.net · Answer

Voici le rapport après réanalyse d'avira-antivir :

https://pjjoint.malekal.com/files.php?id=20120331_z5j13h8t15l7

Utilisateur anonyme · Answer

Bonjour

As tu encore des soucis?

@+

higeek.net · Answer

Bonjour,  pour l'instant non.  Dois-je faire d'autre analyse  pour en être sur ? 

Comme avec malwarbytes ?

Utilisateur anonyme · Answer

Re

Pas d'autre analyse à faire.
Je te propose donc de clore ce post si tu n'as plus de problèmes.

@+

higeek.net · Answer

ok alors, merci pour l'analyse.

Utilisateur anonyme · Answer

bonjour,  (Salut Guillaume5188)


pour avira :


Début de la désinfection :
C:\Documents and Settings\httn\Application Data\Sun\Java\Deployment\cache\6.0\5\4c8b2e85-1d1ab484
  [RESULTAT]  Contient le modèle de détection de l'exploit EXP/JAVA.Loader.Gen
  [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '43a2ac6f.qua' !

mets à jour java, vérifie bien que tu ais la version 31 de java dans le panneau de configuration, désinstalle les anciennes versions !


pour Roguekiller :

tu as un ancien antivirus mal désinstallé !


 Driver: [CHARGE] 
SSDT[25] : NtClose @ 0x805B1DBA -> HOOKED (Unknown @ 0xF7CAE6EC)
SSDT[41] : NtCreateKey @ 0x8061AD1C -> HOOKED (Unknown @ 0xF7CAE6A6)
SSDT[50] : NtCreateSection @ 0x805A0842 -> HOOKED (Unknown @ 0xF7CAE6F6)
SSDT[53] : NtCreateThread @ 0x805C739A -> HOOKED (Unknown @ 0xF7CAE69C)
SSDT[63] : NtDeleteKey @ 0x8061B1B8 -> HOOKED (Unknown @ 0xF7CAE6AB)
SSDT[65] : NtDeleteValueKey @ 0x8061B388 -> HOOKED (Unknown @ 0xF7CAE6B5)
SSDT[68] : NtDuplicateObject @ 0x805B39CE -> HOOKED (Unknown @ 0xF7CAE6E7)
SSDT[98] : NtLoadKey @ 0x8061CF40 -> HOOKED (Unknown @ 0xF7CAE6BA)
SSDT[122] : NtOpenProcess @ 0x805C1428 -> HOOKED (Unknown @ 0xF7CAE688)
SSDT[128] : NtOpenThread @ 0x805C16B4 -> HOOKED (Unknown @ 0xF7CAE68D)
SSDT[193] : NtReplaceKey @ 0x8061CDF0 -> HOOKED (Unknown @ 0xF7CAE6C4)
SSDT[204] : NtRestoreKey @ 0x8061C6FC -> HOOKED (Unknown @ 0xF7CAE6BF)
SSDT[213] : NtSetContextThread @ 0x805C7ABC -> HOOKED (Unknown @ 0xF7CAE6FB)
SSDT[247] : NtSetValueKey @ 0x8061928E -> HOOKED (Unknown @ 0xF7CAE6B0)
SSDT[257] : NtTerminateProcess @ 0x805C8DD6 -> HOOKED (Unknown @ 0xF7CAE697)
S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7CAE700)
S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7CAE705)


pour Tdsskiller, il a fait son job ,


22:19:54.0904 2616	Detected object count: 1
22:19:54.0904 2616	Actual detected object count: 1
22:20:10.0139 2616	\Device\Harddisk0\DR0\# - copied to quarantine
22:20:10.0154 2616	\Device\Harddisk0\DR0 - copied to quarantine
22:20:10.0217 2616	\Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - will be cured on reboot
22:20:10.0232 2616	\Device\Harddisk0\DR0 - ok
22:20:10.0232 2616	\Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - User select action: Cure 






ce qu'il faut, c'est de redémarrer le pc, puis repasser un nouveau zhpdiag pour voir ce qu'il en dit  :D


l'histoire de vérifier ce qui traine  :D

higeek.net · Answer

Ok je viens de le faire en ouvrant un nouveau sujet , pourriez-vous y jeter un oeil, de plus avec l'analyse de malekal.com , il ligne en "rouge"

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120331_e10d14f10y15l11&html=on&filtre=legitime

higeek.net · Answer

voici le rapport de  zhdiag:



https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120331_e10d14f10y15l11

Utilisateur anonyme · Answer

*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 

*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Avira SearchFree Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Avira SearchFree Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job    
[MD5.BB92A5F10D76140569216E8C4D67115A] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE} 
O42 - Logiciel: Avira SearchFree Toolbar plus Web Protection Updater - (.Ask.com.) [HKCU] -- {79A765E1-C399-405B-85AF-466F52E918B0}    
[HKCU\Software\APN]    
[HKCU\Software\AskToolbar]   
[HKLM\Software\APN]    
[HKLM\Software\AskToolbar]    
O43 - CFD: 22/02/2012 - 03:06:20 - [3,989] ----D- C:\Program Files\Ask.com   [HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]   =>Toolbar.AskTBar    => Toolbar.Ask
[HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]   =>Toolbar.AskSBar    
[HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}]   =>Toolbar.Ask    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]   =>Toolbar.AskSBar    
[HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]   =>Toolbar.Ask    
[HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]   =>Toolbar.AskSBar    
[HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]   =>Toolbar.AskSBar    
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]   =>Toolbar.AskSBar    
[HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]   =>Toolbar.Ask    => Toolbar.Ask
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]   =>Toolbar.AskSBar    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]   =>Toolbar.AskSBar    
[HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]   =>Toolbar.AskSBar   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]   =>Toolbar.AskSBar    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}]   =>Toolbar.AskBar    
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}   =>Toolbar.AskSBar    
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{D4027C7F-154A-4066-A1AD-4243D8127440}   =>Toolbar.AskSBar    
[HKLM\Software\Classes\AppID\GenericAskToolbar.DLL]   =>Toolbar.AskSBar
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd]   =>Toolbar.AskSBar
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1]   =>Toolbar.AskSBar
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]   =>Toolbar.AskSBar
[HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF]   =>Toolbar.AskSBar
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]   =>Toolbar.AskSBar
[HKCU\Software\APN]   =>Toolbar.Agent
[HKLM\Software\APN]   =>Toolbar.Agent
C:\Program Files\Ask.com   =>Toolbar.AskBar
C:\Documents and Settings\httn\Application Data\AskToolbar   =>Toolbar.AskTBar
C:\Documents and Settings\httn\Local Settings\Application Data\AskToolbar   =>Toolbar.AskTBar
Emptytemp




---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

higeek.net · Answer

Rapport de ZHPFix 1.12.3381 par Nicolas Coolman, Update du 08/02/2011
Fichier d'export Registre : 
Run by httn at 31/03/2012 13:39:56
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
SUPPRIME Ask Toolbar
ABSENT Uninstall Process: c:\program files\ask.com\updater\updater.exe

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files\Ask.com\UpdateTask.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}]
ABSENT Key: CLSID BHO: {D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME Key: HKCU\Software\APN
ABSENT Key: HKCU\Software\AskToolbar
SUPPRIME Key: HKLM\Software\APN
SUPPRIME Key: HKLM\Software\AskToolbar
ABSENT Key: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
ABSENT Key: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
ABSENT Key: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
ABSENT Key: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
ABSENT Key: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
ABSENT Key: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
ABSENT Key: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
ABSENT Key: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
ABSENT Key: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
ABSENT Key: HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
ABSENT Key: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
ABSENT Key: HKCU\Software\APN
ABSENT Key: HKLM\Software\APN

========== Valeur(s) du Registre ==========
ABSENT Toolbar: {D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{D4027C7F-154A-4066-A1AD-4243D8127440}

========== Dossier(s) ==========
ABSENT C:\Program Files\Ask.com [HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]
SUPPRIME Folder: c:\program files\ask.com
SUPPRIME Folder: c:\documents and settings\httn\local settings\application data\asktoolbar
SUPPRIME Temporaires Windows: : 72

========== Fichier(s) ==========
SUPPRIME Reboot c:\program files\ask.com
ABSENT File: c:\windows	asks\scheduled update for ask toolbar.job
SUPPRIME File: c:\program files\ask.com\updatetask.exe
ABSENT Folder/File: c:\documents and settings\httn\application data\asktoolbar
SUPPRIME Temporaires Windows: : 37

========== Tache planifiée ==========
SUPPRIME Task: Scheduled Update for Ask Toolbar


========== Récapitulatif ==========
1 : Processus mémoire
27 : Clé(s) du Registre
3 : Valeur(s) du Registre
4 : Dossier(s)
5 : Fichier(s)
2 : Logiciel(s)
1 : Tache planifiée


End of clean in 00mn 50s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 31/03/2012 13:39:56 [4077]

Utilisateur anonyme · Answer

dépuis quand tu as le message de Msiexec.exe ?

à lire :
https://www.commentcamarche.net/contents/903-msiexec-msiexec-exe


relance MBAM, tu l'as déjà sur ton pc,



. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

higeek.net · Answer

Mon pc à été redémarré, automatiquement ( je ne sais pas si c'est MBAM qui a fait , j'étais à ce moment , est-ce un problème?)

 Voici le rappport :



Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.31.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
httn :: ADMINHTT [administrateur]

31/03/2012 19:39:13
mbam-log-2012-03-31 (19-39-13).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 223723
Temps écoulé: 1 heure(s), 4 minute(s), 31 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Utilisateur anonyme · Answer

as tu encore le message ? 

est ce que le pc fonctionne correctement ? 


O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

higeek.net · Answer

Oui , il semble fonctionné correctement. 


Est-il conseillé de faire un dernier analyse avec  ZHPDIAG, pour  confirmer le bon fonctionnement ??

Utilisateur anonyme · Answer

quand je demande des nouvelles, ce que je ne trouve rien sur le raport  :D

/!\ Attention : 
de plus en plus de programmes propose l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 


	
	
  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 


.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Supprimer les anciens points de restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

Pour XP :
 https://www.commentcamarche.net/faq/5097-virus-system-volume-information


 


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

higeek.net · Answer

voila le rapport de delfix:

# DelFix v8.8 - Rapport créé le 31/03/2012 à 23:34:16
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : httn - ADMINHTT (Administrateur)
# Exécuté depuis : E:\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\RSIT
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis
Supprimé : C:\Documents and Settings\httn\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\Trend Micro\Hijackthis

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:kill.log
Supprimé : C:\TDSSKiller.2.7.23.0_30.03.2012_22.19.27_log.txt
Supprimé : C:\TDSSKiller.2.7.23.0_31.03.2012_08.46.38_log.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\Documents and Settings\httn\Bureau\Combofix.exe
Supprimé : C:\Documents and Settings\httn\Bureau\HijackThis.lnk
Supprimé : C:\Documents and Settings\httn\Bureau\hijackthis.log
Supprimé : C:\Documents and Settings\httn\Bureau\kapersky TDsskiller.txt
Supprimé : C:\Documents and Settings\httn\Bureau\log rapport combofix.txt
Supprimé : C:\Documents and Settings\httn\Bureau\log rsi rapport.txt
Supprimé : C:\Documents and Settings\httn\Bureaukill.com
Supprimé : C:\Documents and Settings\httn\Bureau\RKreport[1].txt
Supprimé : C:\Documents and Settings\httn\Bureau\RKreport[2].txt
Supprimé : C:\Documents and Settings\httn\Bureau\RKreport[3].txt
Supprimé : C:\Documents and Settings\httn\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\httn\Bureau	dsskiller.exe
Supprimé : C:\Documents and Settings\httn\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\httn\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\httn\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis
Clé Supprimée : HKLM\SOFTWARE\Swearware

higeek.net · Answer

rapport Avira-Antivir :


Avira AntiVir Personal
Date de création du fichier de rapport : samedi 31 mars 2012  23:57

La recherche porte sur 3569473 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : ADMINHTT

Informations de version :
BUILD.DAT               : 10.2.0.155     36070 Bytes  25/01/2012 13:28:00
AVSCAN.EXE              : 10.3.0.7      484008 Bytes  21/07/2011 11:20:47
AVSCAN.DLL              : 10.0.5.0       56680 Bytes  21/07/2011 11:22:30
LUKE.DLL                : 10.3.0.5       45416 Bytes  21/07/2011 11:21:49
LUKERES.DLL             : 10.0.0.0       13672 Bytes  21/04/2011 06:55:52
AVSCPLR.DLL             : 10.3.0.7      119656 Bytes  21/07/2011 11:20:48
AVREG.DLL               : 10.3.0.9       90472 Bytes  21/07/2011 11:20:43
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 09:05:36
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 06:55:46
VBASE002.VDF            : 7.11.19.170 14374912 Bytes  20/12/2011 01:10:12
VBASE003.VDF            : 7.11.21.238  4472832 Bytes  01/02/2012 01:10:25
VBASE004.VDF            : 7.11.26.44   4329472 Bytes  28/03/2012 23:01:24
VBASE005.VDF            : 7.11.26.45      2048 Bytes  28/03/2012 23:01:24
VBASE006.VDF            : 7.11.26.46      2048 Bytes  28/03/2012 23:01:25
VBASE007.VDF            : 7.11.26.47      2048 Bytes  28/03/2012 23:01:25
VBASE008.VDF            : 7.11.26.48      2048 Bytes  28/03/2012 23:01:25
VBASE009.VDF            : 7.11.26.49      2048 Bytes  28/03/2012 23:01:25
VBASE010.VDF            : 7.11.26.50      2048 Bytes  28/03/2012 23:01:25
VBASE011.VDF            : 7.11.26.51      2048 Bytes  28/03/2012 23:01:25
VBASE012.VDF            : 7.11.26.52      2048 Bytes  28/03/2012 23:01:25
VBASE013.VDF            : 7.11.26.53      2048 Bytes  28/03/2012 23:01:25
VBASE014.VDF            : 7.11.26.107   221696 Bytes  30/03/2012 17:28:34
VBASE015.VDF            : 7.11.26.108     2048 Bytes  30/03/2012 17:28:34
VBASE016.VDF            : 7.11.26.109     2048 Bytes  30/03/2012 17:28:34
VBASE017.VDF            : 7.11.26.110     2048 Bytes  30/03/2012 17:28:35
VBASE018.VDF            : 7.11.26.111     2048 Bytes  30/03/2012 17:28:35
VBASE019.VDF            : 7.11.26.112     2048 Bytes  30/03/2012 17:28:35
VBASE020.VDF            : 7.11.26.113     2048 Bytes  30/03/2012 17:28:35
VBASE021.VDF            : 7.11.26.114     2048 Bytes  30/03/2012 17:28:35
VBASE022.VDF            : 7.11.26.115     2048 Bytes  30/03/2012 17:28:35
VBASE023.VDF            : 7.11.26.116     2048 Bytes  30/03/2012 17:28:35
VBASE024.VDF            : 7.11.26.117     2048 Bytes  30/03/2012 17:28:35
VBASE025.VDF            : 7.11.26.118     2048 Bytes  30/03/2012 17:28:36
VBASE026.VDF            : 7.11.26.119     2048 Bytes  30/03/2012 17:28:36
VBASE027.VDF            : 7.11.26.120     2048 Bytes  30/03/2012 17:28:36
VBASE028.VDF            : 7.11.26.121     2048 Bytes  30/03/2012 17:28:37
VBASE029.VDF            : 7.11.26.122     2048 Bytes  30/03/2012 17:28:37
VBASE030.VDF            : 7.11.26.123     2048 Bytes  30/03/2012 17:28:37
VBASE031.VDF            : 7.11.26.142   154624 Bytes  30/03/2012 21:44:01
Version du moteur       : 8.2.10.34 
AEVDF.DLL               : 8.1.2.2       106868 Bytes  22/02/2012 01:10:50
AESCRIPT.DLL            : 8.1.4.15      442747 Bytes  30/03/2012 17:31:33
AESCN.DLL               : 8.1.8.2       131444 Bytes  22/02/2012 01:10:49
AESBX.DLL               : 8.2.5.5       606579 Bytes  13/03/2012 11:24:03
AERDL.DLL               : 8.1.9.15      639348 Bytes  22/02/2012 01:10:49
AEPACK.DLL              : 8.2.16.9      807287 Bytes  30/03/2012 17:31:26
AEOFFICE.DLL            : 8.1.2.25      201084 Bytes  22/02/2012 01:10:47
AEHEUR.DLL              : 8.1.4.10     4551031 Bytes  30/03/2012 17:30:24
AEHELP.DLL              : 8.1.19.0      254327 Bytes  22/02/2012 01:10:41
AEGEN.DLL               : 8.1.5.23      409973 Bytes  07/03/2012 22:59:10
AEEXP.DLL               : 8.1.0.27       82293 Bytes  30/03/2012 17:31:34
AEEMU.DLL               : 8.1.3.0       393589 Bytes  21/04/2011 06:55:02
AECORE.DLL              : 8.1.25.6      201078 Bytes  16/03/2012 02:35:08
AEBB.DLL                : 8.1.1.0        53618 Bytes  21/04/2011 06:55:01
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  21/04/2011 06:55:23
AVPREF.DLL              : 10.0.3.2       44904 Bytes  21/07/2011 11:20:42
AVREP.DLL               : 10.0.0.10     174120 Bytes  21/07/2011 11:20:43
AVARKT.DLL              : 10.0.26.1     255336 Bytes  21/07/2011 11:20:23
AVEVTLOG.DLL            : 10.0.0.9      203112 Bytes  21/07/2011 11:20:37
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  21/07/2011 14:12:32
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  21/04/2011 06:55:22
NETNT.DLL               : 10.0.0.0       11624 Bytes  21/04/2011 06:55:36
RCIMAGE.DLL             : 10.0.0.35    2589544 Bytes  21/07/2011 11:22:33
RCTEXT.DLL              : 10.0.64.0     100712 Bytes  21/07/2011 11:22:33

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:, 
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé

Début de la recherche : samedi 31 mars 2012  23:57

La recherche d'objets cachés commence.

La recherche sur les processus démarrés commence :
Processus de recherche 'rsmsink.exe' - '28' module(s) sont contrôlés
Processus de recherche 'msdtc.exe' - '40' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '60' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '45' module(s) sont contrôlés
Processus de recherche 'vssvc.exe' - '48' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '67' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '64' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
Processus de recherche 'IEMonitor.exe' - '27' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '45' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '33' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '55' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '39' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '26' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '94' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '76' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '62' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '25' module(s) sont contrôlés
Processus de recherche 'IDMan.exe' - '61' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '21' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '52' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '46' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '59' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '113' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '41' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '172' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '38' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '51' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '58' module(s) sont contrôlés
Processus de recherche 'services.exe' - '27' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '66' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '12' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'E:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '406' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
Recherche débutant dans 'D:\'
Recherche débutant dans 'E:\'


Fin de la recherche : dimanche 1 avril 2012  00:30
Temps nécessaire: 32:54 Minute(s)

La recherche a été effectuée intégralement

   3876 Les répertoires ont été contrôlés
 204754 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
 204754 Fichiers non infectés
   1887 Les archives ont été contrôlées
      0 Avertissements
      0 Consignes
 246143 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Utilisateur anonyme · Answer

la clé d'avira, tu la laisse  :D

l'idée est juste de vider les cach et nettoyer le registre avec des clés inutiles!

crée un nouveau point de restauration système, ça peut servire  :D

sur ce, bon surf  ;-)

higeek.net · Answer

Point de restauration créé .


Problème résolut, je crois.

Merci pour tout. ^^

Utilisateur anonyme · Answer

;-)

bounty · Answer

Bonjour, je me permets de déterrer ce topic car j'ai moi-même choppé ce Atraps.gen2 et je n'arrive vraiment pas à m'en débarrasser.  
J'ai nettoyé avec AntiMalware en mode sans échec plusieurs fois sans succès et est suivi à la lettre ta méthode sous CCcleaner mais il est toujours là !  
Je ne sais plus quoi tenter :-(  

Je suis sous Windows 7 Home Premium 64bit  
Pentium dual core CPU e5300, 2,6Ghz, 4Go de RAM, Nvidia Geforce G210 

Ah et j'ajoute que le virus se trouve dans un fichier c:\windows\installer impossible à trouver même en affichant les dossiers cachés (mais accessible avec l'adresse directe que antimalware me fournit). Dès que je supprime à la main les fichiers infectés, d'autres se recréent au bout de quelques secondes.

Mon antivirus est Avira

TR/ATRAPS.Gen2 impossible à supprimé!!!

27 réponses

Discussions similaires