Virus TR/atracs.gen

autant pour moi j'aurais du te dire de le retelecharger

Ca ne se lance toujours pas, il m'annonce
IPHLPAPI.DLL manquant

suis ce tuto :

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel

Voila, je poste la fin du rapport et les éléments désinfecté, sinon c'est 73MO!

C:\Windows\system32\services.exe infecté par BackDoor.Maxplus.5220 - désinfecté




Objets scannés: 523636
Objets infectés: 3
Objets ayant été modifiés: 0
Objets suspects: 0
Adwares détectés: 1
Dialers détectés: 0
Canulars détectés: 0
Riskwares détectés: 0
Hacktools détectés: 0
Désinfecté: 1
Supprimé: 0
Renommé: 0
Déplacé en quarantaine: 2
Ignoré: 0
Vitesse du scan: 2 Kb/s
Durée d'analyse: 18:55:48
-----------------------------------------------------------------------------

C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V97ZETC\ajs[1].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V97ZETC\ajs[2].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V97ZETC\ajs[3].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V97ZETC\GetAd[1].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V97ZETC\GetAd[2].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V97ZETC\GetAd[3].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\STT3V3MI\GetAd[1].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\STT3V3MI\GetAd[2].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\STT3V3MI\GetAd[3].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\STT3V3MI\GetAd[4].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\STT3V3MI\GetAd[5].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\ajs[1].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\ajs[2].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\ajs[3].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\GetAd[1].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\GetAd[2].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\GetAd[3].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\GetAd[4].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\GetAd[5].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\GetAd[6].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VK7FKRYW\GetAd[7].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YG7LW2ID\ajs[1].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YG7LW2ID\GetAd[1].js - déplacé en quarantaine
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YG7LW2ID\GetAd[2].js - déplacé en quarantaine

=============================================================================
Statistiques totales de la session
=============================================================================
Objets scannés: 589552
Objets infectés: 3
Objets ayant été modifiés: 0
Objets suspects: 72
Adwares détectés: 1
Dialers détectés: 0
Canulars détectés: 0
Riskwares détectés: 0
Hacktools détectés: 0
Désinfecté: 1
Supprimé: 0
Renommé: 0
Déplacé en quarantaine: 26
Ignoré: 0
Vitesse du scan: 35 Kb/s
Durée d'analyse: 18:58:59


J'espère que ça devient bon!

J'en ai oublié:
>>C:\Documents and Settings\Nico\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\2a15a87f-3d2ded0f infecté par Trojan.PWS.Siggen.37371 - irréparable - déplacé en quarantaine

>>C:\Documents and Settings\Nico\DoctorWeb\Quarantine\2a15a87f-3d2ded0f infecté par Trojan.PWS.Siggen.37371 - irréparable - déplacé en quarantaine

clic droit sur le rapport => envoyer vers => dossiers compressés et envoie l archive

Voilà, dispo 4 jours, 5MO quand même!
http://cjoint.com/?3GisLpenvBH

desinstalle tout java

===========
Télécharge ici :OTL

▶ enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ => Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT

▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

Voilà:
http://pjjoint.malekal.com/files.php?id=20120708_o10y14r1310e12
http://pjjoint.malekal.com/files.php?id=20120708_i8o10m15v15k14

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKU\S-1-5-21-3693578874-3892785910-496354290-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-3693578874-3892785910-496354290-1000\..\SearchScopes\{2054604C-DBA2-46A5-A38D-D55EB587210D}: "URL" = http://www.search.ask.com/?l=dis{searchTerms}&locale=&apn_ptnrs=LL&apn_dtid=YYYYYYYYFR&apn_ui
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_262.dll File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
[2012/07/05 18:09:18 | 000,000,000 | ---D | M] (Avira SearchFree Toolbar plus Web Protection) -- C:\Users\Nico\AppData\Roaming\mozilla\Firefox\Profiles\w5o7te1z.default\extensions\toolbar@ask.com
[2011/07/27 22:37:48 | 000,002,333 | ---- | M] () -- C:\Users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\w5o7te1z.default\searchplugins\askcom.xml
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk = File not found
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk = File not found
O4 - Startup: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk = File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files (x86)\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files (x86)\WinHTTrack\WinHTTrackIEBar.dll ()
O37 - HKU\S-1-5-21-3693578874-3892785910-496354290-1000\...com [@ = ComFile] -- Reg Error: Key error. File not found

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
"iTunesHelper"=-
"QuickTime Task"=-

:Files
C:\Program Files (x86)\Ask.com
C:\Windows\SysNative\%APPDATA%
C:\Users\Nico\AppData\Local\{*}
C:\Users\Public\Desktop\Raccourci vers vmae2012.exe.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Raccourci vers vmae2012.exe.lnk

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

J'ai eu un message d'erreur avant que ce rapport ne s'affiche, encore merci pour le temps passé!


Files\Folders moved on Reboot...
File\Folder C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk not found!
Folder move failed. C:\Windows\SysNative\%APPDATA% scheduled to be moved on reboot.

PendingFileRenameOperations files...
File C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk not found!
File C:\Windows\SysNative\%APPDATA% not found!

Registry entries deleted on Reboot...

le rapport n est pas complet

quel message d'erreur as-tu eu ?

Un truc du genre OTL a cessé de fonctionner... je n'ai pas osé relancer une deuxième fois

tu as bien suivi cette consigne ?

si tu as Vista ou windows 7 => clic droit "executer en tant que...."

tes protections etaient desactivées ?

Je l'ai bien exécuté en tant qu'administrateur mais je n'ai pas désactivé antivir

ah ben vois en desactivant antivir

Ce doit être bon:
http://pjjoint.malekal.com/files.php?id=20120708_g8j13g13c15b11

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Bonjour,
Voilà le rapport:
http://pjjoint.malekal.com/files.php?id=20120709_z8k13q15i13d8

bien quels soucis nous reste-t-il ?