Virus TR/ATRAPS.Gen2 que je n'arrive pas a supprimer

Résolu
Lazoeil Messages postés 8 Statut Membre -  
Lazoeil Messages postés 8 Statut Membre -
Bonjour,

J'ai attrapé un virus de type TR/ATRAPS.Gen2 et je n'arrive pas a le supprimer. Pourriez vous m'aider?

Merci d'avance.

11 réponses

  1. Lazoeil Messages postés 8 Statut Membre 1
     
    Il a été détecté dans C:/Windows
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Par Copier/coller dans un nouveau message.
    1
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Détecté dans quel fichier ?

    ~~

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!

    0
  4. Lazoeil Messages postés 8 Statut Membre 1
     
    Comment on fait pour poster le rapport? Je trouve pas... Désolé
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lazoeil Messages postés 8 Statut Membre 1
     
    Ca ne marche pas...
    0
  7. Lazoeil Messages postés 8 Statut Membre 1
     
    RogueKiller V8.2.3 [07/11/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Website: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Propriétaire [Droits d'admin]
    Mode : Recherche -- Date : 16/11/2012 17:23:28

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] @ : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\@ --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\L --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
    [Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts
    0
  8. Lazoeil Messages postés 8 Statut Membre 1
     
    RogueKiller V8.2.3 [07/11/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Website: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Propriétaire [Droits d'admin]
    Mode : Suppression -- Date : 16/11/2012 17:24:35

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] @ : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\@ --> SUPPRIMÉ AU REBOOT
    [Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\U\00000004.@ --> SUPPRIMÉ
    [Del.Parent][FILE] 00000008.@ : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\U\00000008.@ --> SUPPRIMÉ
    [Del.Parent][FILE] 000000cb.@ : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\U\000000cb.@ --> SUPPRIMÉ
    [Del.Parent][FILE] 80000000.@ : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\U\80000000.@ --> SUPPRIMÉ
    [Del.Parent][FILE] trz7D8D.tmp : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\U\trz7D8D.tmp --> SUPPRIMÉ
    [Del.Parent][FILE] trz9A2B.tmp : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\U\trz9A2B.tmp --> SUPPRIMÉ
    [Del.Parent][FILE] trz9A7A.tmp : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\U\trz9A7A.tmp --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\U --> SUPPRIMÉ
    [Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\L\00000004.@ --> SUPPRIMÉ
    [Del.Parent][FILE] 201d3dde : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\L\201d3dde --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}\L --> SUPPRIMÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
    [Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ATA TOSHIBA MK3259GS SCSI Disk Device +++++
    --- User ---
    [MBR] 101266c4cff332b8be22e42c6cb14d12
    [BSP] 37cab41c9a7c038edb082461a9b02c48 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: Hitachi HTS545050B9A300 USB Device +++++
    --- User ---
    [MBR] a14cbb32fd06f125f4b8a18aa6257b28
    [BSP] bf2f60e84ea07b3c1f656cc5db5458f1 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476938 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    +++++ PhysicalDrive2: SDHC Card +++++
    --- User ---
    [MBR] 885136d0e7a5adfccd05fdaea1a29093
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 8192 | Size: 3770 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2]_D_16112012_172435.txt >>
    RKreport[1]_S_16112012_172328.txt ; RKreport[2]_D_16112012_172435.txt
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Supprime ce dosser : C:\Windows\Installer\{508ea653-c776-424b-2010-171a08fa6623}

    ~~

    C'est bon.
    T'avais ZeroAccess.

    Sécurise ton PC !

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    ~~

    Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    0
  11. Lazoeil Messages postés 8 Statut Membre 1
     
    Super!! Merci beaucoup!!
    0