Sujet Précédent Sujet Suivant

Problème entre Avast et "TR/ATRAPS.Gen2"

Résolu/Fermé
Utilisateur anonyme - Modifié par Malekal_morte- le 1/04/2013 à 15:40
 Utilisateur anonyme - 1 avril 2013 à 20:13
Bonjour tout le Monde,


Je m'occupe d'un ordi équipé d'Avast et qui trouve toujours le virus "R/ATRAPS.Gen2" mais impossible de le supprimer j'ai constament l'alerte d'Avast comme qui il a trouvé ce fichier. Comment le supprimer, définitivement?


Voici le rapport de Avast.
Avira Free Antivirus
Date de création du fichier de rapport : lundi 1 avril 2013 14:26


Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Microsoft Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant :
Nom de l'ordinateur :

Informations de version :
BUILD.DAT : 13.0.0.2678 49286 Bytes 19/03/2013 16:46:00
AVSCAN.EXE : 13.6.0.986 639712 Bytes 29/03/2013 13:50:01
AVSCANRC.DLL : 13.4.0.360 65312 Bytes 29/03/2013 13:50:01
LUKE.DLL : 13.6.0.902 67808 Bytes 29/03/2013 13:50:20
AVSCPLR.DLL : 13.6.0.986 94944 Bytes 29/03/2013 13:50:47
AVREG.DLL : 13.6.0.940 250592 Bytes 29/03/2013 13:50:47
avlode.dll : 13.6.2.940 434912 Bytes 29/03/2013 13:50:00
avlode.rdf : 13.0.0.46 15591 Bytes 29/03/2013 13:50:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 14:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 14:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 14:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 14:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 14:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 13:05:57
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 13:39:34
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22/11/2012 18:47:49
VBASE008.VDF : 7.11.65.172 9122816 Bytes 21/03/2013 15:22:55
VBASE009.VDF : 7.11.65.173 2048 Bytes 21/03/2013 15:22:55
VBASE010.VDF : 7.11.65.174 2048 Bytes 21/03/2013 15:22:55
VBASE011.VDF : 7.11.65.175 2048 Bytes 21/03/2013 15:22:55
VBASE012.VDF : 7.11.65.176 2048 Bytes 21/03/2013 15:22:55
VBASE013.VDF : 7.11.66.48 120832 Bytes 22/03/2013 15:22:56
VBASE014.VDF : 7.11.66.133 339456 Bytes 24/03/2013 15:44:19
VBASE015.VDF : 7.11.66.209 317440 Bytes 25/03/2013 20:37:44
VBASE016.VDF : 7.11.67.57 224256 Bytes 27/03/2013 21:58:11
VBASE017.VDF : 7.11.67.143 264192 Bytes 28/03/2013 13:49:30
VBASE018.VDF : 7.11.67.229 126976 Bytes 29/03/2013 12:22:03
VBASE019.VDF : 7.11.68.53 140288 Bytes 01/04/2013 12:24:31
VBASE020.VDF : 7.11.68.54 2048 Bytes 01/04/2013 12:24:31
VBASE021.VDF : 7.11.68.55 2048 Bytes 01/04/2013 12:24:31
VBASE022.VDF : 7.11.68.56 2048 Bytes 01/04/2013 12:24:31
VBASE023.VDF : 7.11.68.57 2048 Bytes 01/04/2013 12:24:31
VBASE024.VDF : 7.11.68.58 2048 Bytes 01/04/2013 12:24:31
VBASE025.VDF : 7.11.68.59 2048 Bytes 01/04/2013 12:24:31
VBASE026.VDF : 7.11.68.60 2048 Bytes 01/04/2013 12:24:31
VBASE027.VDF : 7.11.68.61 2048 Bytes 01/04/2013 12:24:31
VBASE028.VDF : 7.11.68.62 2048 Bytes 01/04/2013 12:24:31
VBASE029.VDF : 7.11.68.63 2048 Bytes 01/04/2013 12:24:31
VBASE030.VDF : 7.11.68.64 2048 Bytes 01/04/2013 12:24:31
VBASE031.VDF : 7.11.68.82 52736 Bytes 01/04/2013 12:24:32
Version du moteur : 8.2.12.22
AEVDF.DLL : 8.1.2.10 102772 Bytes 27/09/2012 13:05:46
AESCRIPT.DLL : 8.1.4.102 471421 Bytes 29/03/2013 13:49:36
AESCN.DLL : 8.1.10.4 131446 Bytes 26/03/2013 20:38:07
AESBX.DLL : 8.2.5.12 606578 Bytes 27/09/2012 13:05:46
AERDL.DLL : 8.2.0.88 643444 Bytes 10/01/2013 20:40:58
AEPACK.DLL : 8.3.2.6 827767 Bytes 29/03/2013 13:49:36
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08/03/2013 20:57:23
AEHEUR.DLL : 8.1.4.268 5861753 Bytes 29/03/2013 13:49:35
AEHELP.DLL : 8.1.25.2 258423 Bytes 18/11/2012 18:46:48
AEGEN.DLL : 8.1.7.2 442741 Bytes 26/03/2013 20:38:05
AEEXP.DLL : 8.4.0.14 192886 Bytes 23/03/2013 15:23:03
AEEMU.DLL : 8.1.3.2 393587 Bytes 27/09/2012 13:05:44
AECORE.DLL : 8.1.31.2 201080 Bytes 20/02/2013 09:06:30
AEBB.DLL : 8.1.1.4 53619 Bytes 18/11/2012 18:46:46
AVWINLL.DLL : 13.6.0.480 26480 Bytes 29/03/2013 13:49:26
AVPREF.DLL : 13.6.0.480 51056 Bytes 29/03/2013 13:50:01
AVREP.DLL : 13.6.0.480 178544 Bytes 29/03/2013 13:50:47
AVARKT.DLL : 13.6.0.902 260832 Bytes 29/03/2013 13:49:54
AVEVTLOG.DLL : 13.6.0.902 167648 Bytes 29/03/2013 13:49:56
SQLITE3.DLL : 3.7.0.1 397704 Bytes 29/03/2013 13:50:34
AVSMTP.DLL : 13.6.0.480 63344 Bytes 29/03/2013 13:50:03
NETNT.DLL : 13.6.0.480 16240 Bytes 29/03/2013 13:50:26
RCIMAGE.DLL : 13.4.0.141 4782880 Bytes 29/03/2013 13:49:27
RCTEXT.DLL : 13.6.0.976 70880 Bytes 29/03/2013 13:49:27

Configuration pour la recherche actuelle :
Nom de la tâche...............................: AVGuardAsyncScan
Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVGUARD_51597b15\guard_slideup.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: quarantaine
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: arrêt
Recherche dans les programmes actifs..........: marche
Recherche du registre.........................: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Recherche sur tous les fichiers...............: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: intégral

Début de la recherche : lundi 1 avril 2013 14:26

La recherche sur les processus démarrés commence :
Recherche en cours du processus 'avscan.exe' - '87' module(s) ont été recherchés
Recherche en cours du processus 'wmiprvse.exe' - '40' module(s) ont été recherchés
Recherche en cours du processus 'avshadow.exe' - '20' module(s) ont été recherchés
Recherche en cours du processus 'nSvcIp.exe' - '44' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '40' module(s) ont été recherchés
Recherche en cours du processus 'msiexec.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'GoogleUpdate.exe' - '34' module(s) ont été recherchés
Recherche en cours du processus 'avgnt.exe' - '63' module(s) ont été recherchés
Recherche en cours du processus 'RUNDLL32.EXE' - '29' module(s) ont été recherchés
Recherche en cours du processus 'nSvcAppFlt.exe' - '31' module(s) ont été recherchés
Recherche en cours du processus 'VCDDaemon.exe' - '22' module(s) ont été recherchés
Recherche en cours du processus 'avguard.exe' - '69' module(s) ont été recherchés
Recherche en cours du processus 'RTHDCPL.EXE' - '36' module(s) ont été recherchés
Recherche en cours du processus 'Explorer.EXE' - '99' module(s) ont été recherchés
Recherche en cours du processus 'sched.exe' - '38' module(s) ont été recherchés
Recherche en cours du processus 'spoolsv.exe' - '66' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '30' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '132' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '38' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'nvsvc32.exe' - '37' module(s) ont été recherchés
Recherche en cours du processus 'lsass.exe' - '51' module(s) ont été recherchés
Recherche en cours du processus 'services.exe' - '27' module(s) ont été recherchés
Recherche en cours du processus 'winlogon.exe' - '65' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '12' module(s) ont été recherchés
Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U\80000032.@'
C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U\80000032.@
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

Début de la désinfection :
C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U\80000032.@
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
[REMARQUE] Fichier supprimé.


Fin de la recherche : lundi 1 avril 2013 14:27
Temps nécessaire: 00:16 Minute(s)

La recherche a été effectuée intégralement

0 Les répertoires ont été contrôlés
343 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
1 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
342 Fichiers non infectés
0 Les archives ont été contrôlées
0 Avertissements
1 Consignes


Les résultats de la recherche sont transmis au Guard.


Merci d'avance pour vitre précieuse aide.


A voir également:

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 1/04/2013 à 15:34
Salut,

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Utilisateur anonyme
1 avril 2013 à 18:17
Bonjour,
Merci pour l'aide voici le, rapport:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Suppression -- Date : 01/04/2013 18:22:54
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 13 ¤¤¤
[HJ] HKCU\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKCU\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKCU\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-1960408961-854245398-1606980848-500\$55512db83b22b05689b9ff34784a6b9b\n.) [x] -> REMPLACÉ (C:\WINDOWS\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\n) [-] -> REMPLACÉ (C:\WINDOWS\system32\wbem\fastprox.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\n [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-1960408961-854245398-1606980848-500\$55512db83b22b05689b9ff34784a6b9b\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000008.@ : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U\00000008.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 000000cb.@ : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U\000000cb.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000032.@ : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U\80000032.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-1960408961-854245398-1606980848-500\$55512db83b22b05689b9ff34784a6b9b\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\L\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 76603ac3 : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\L\76603ac3 [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-1960408961-854245398-1606980848-500\$55512db83b22b05689b9ff34784a6b9b\L --> SUPPRIMÉ
[ZeroAccess][FILE] Desktop.ini : C:\WINDOWS\Assembly\GAC\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC518 -> HOOKED (Unknown @ 0xF7BC84A4)
SSDT[41] : NtCreateKey @ 0x806237B2 -> HOOKED (Unknown @ 0xF7BC845E)
SSDT[50] : NtCreateSection @ 0x805AB3DA -> HOOKED (Unknown @ 0xF7BC84AE)
SSDT[53] : NtCreateThread @ 0x805D1000 -> HOOKED (Unknown @ 0xF7BC8454)
SSDT[63] : NtDeleteKey @ 0x80623C42 -> HOOKED (Unknown @ 0xF7BC8463)
SSDT[65] : NtDeleteValueKey @ 0x80623E12 -> HOOKED (Unknown @ 0xF7BC846D)
SSDT[68] : NtDuplicateObject @ 0x805BDFF0 -> HOOKED (Unknown @ 0xF7BC849F)
SSDT[98] : NtLoadKey @ 0x806259AE -> HOOKED (Unknown @ 0xF7BC8472)
SSDT[122] : NtOpenProcess @ 0x805CB428 -> HOOKED (Unknown @ 0xF7BC8440)
SSDT[128] : NtOpenThread @ 0x805CB6B4 -> HOOKED (Unknown @ 0xF7BC8445)
SSDT[177] : NtQueryValueKey @ 0x806219EA -> HOOKED (Unknown @ 0xF7BC84C7)
SSDT[193] : NtReplaceKey @ 0x8062585E -> HOOKED (Unknown @ 0xF7BC847C)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D86 -> HOOKED (Unknown @ 0xF7BC84B8)
SSDT[204] : NtRestoreKey @ 0x8062516A -> HOOKED (Unknown @ 0xF7BC8477)
SSDT[213] : NtSetContextThread @ 0x805D1722 -> HOOKED (Unknown @ 0xF7BC84B3)
SSDT[237] : NtSetSecurityObject @ 0x805C0616 -> HOOKED (Unknown @ 0xF7BC84BD)
SSDT[247] : NtSetValueKey @ 0x80621D38 -> HOOKED (Unknown @ 0xF7BC8468)
SSDT[255] : NtSystemDebugControl @ 0x8061779A -> HOOKED (Unknown @ 0xF7BC84C2)
SSDT[257] : NtTerminateProcess @ 0x805D29CA -> HOOKED (Unknown @ 0xF7BC844F)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7BC84D6)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7BC84DB)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST332082 0AS SCSI Disk Device +++++
--- User ---
[MBR] eb176dd655e8a6da3906972e8539bed9
[BSP] 668db796a004c471beff772fb63e4e8f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 156280320 | Size: 228934 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_01042013_182254.txt >>
RKreport[1]_S_01042013_182126.txt ; RKreport[2]_D_01042013_182254.txt
0
Utilisateur anonyme
1 avril 2013 à 18:18
J'ai eu aussi celui-la:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Recherche -- Date : 01/04/2013 18:21:26
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 14 ¤¤¤
[HJ] HKCU\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ] HKCU\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ] HKCU\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-1960408961-854245398-1606980848-500\$55512db83b22b05689b9ff34784a6b9b\n.) [x] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\n) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\n) [-] -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\n [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-1960408961-854245398-1606980848-500\$55512db83b22b05689b9ff34784a6b9b\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-1960408961-854245398-1606980848-500\$55512db83b22b05689b9ff34784a6b9b\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$55512db83b22b05689b9ff34784a6b9b\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-1960408961-854245398-1606980848-500\$55512db83b22b05689b9ff34784a6b9b\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\WINDOWS\Assembly\GAC\Desktop.ini [-] --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC518 -> HOOKED (Unknown @ 0xF7BC84A4)
SSDT[41] : NtCreateKey @ 0x806237B2 -> HOOKED (Unknown @ 0xF7BC845E)
SSDT[50] : NtCreateSection @ 0x805AB3DA -> HOOKED (Unknown @ 0xF7BC84AE)
SSDT[53] : NtCreateThread @ 0x805D1000 -> HOOKED (Unknown @ 0xF7BC8454)
SSDT[63] : NtDeleteKey @ 0x80623C42 -> HOOKED (Unknown @ 0xF7BC8463)
SSDT[65] : NtDeleteValueKey @ 0x80623E12 -> HOOKED (Unknown @ 0xF7BC846D)
SSDT[68] : NtDuplicateObject @ 0x805BDFF0 -> HOOKED (Unknown @ 0xF7BC849F)
SSDT[98] : NtLoadKey @ 0x806259AE -> HOOKED (Unknown @ 0xF7BC8472)
SSDT[122] : NtOpenProcess @ 0x805CB428 -> HOOKED (Unknown @ 0xF7BC8440)
SSDT[128] : NtOpenThread @ 0x805CB6B4 -> HOOKED (Unknown @ 0xF7BC8445)
SSDT[177] : NtQueryValueKey @ 0x806219EA -> HOOKED (Unknown @ 0xF7BC84C7)
SSDT[193] : NtReplaceKey @ 0x8062585E -> HOOKED (Unknown @ 0xF7BC847C)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D86 -> HOOKED (Unknown @ 0xF7BC84B8)
SSDT[204] : NtRestoreKey @ 0x8062516A -> HOOKED (Unknown @ 0xF7BC8477)
SSDT[213] : NtSetContextThread @ 0x805D1722 -> HOOKED (Unknown @ 0xF7BC84B3)
SSDT[237] : NtSetSecurityObject @ 0x805C0616 -> HOOKED (Unknown @ 0xF7BC84BD)
SSDT[247] : NtSetValueKey @ 0x80621D38 -> HOOKED (Unknown @ 0xF7BC8468)
SSDT[255] : NtSystemDebugControl @ 0x8061779A -> HOOKED (Unknown @ 0xF7BC84C2)
SSDT[257] : NtTerminateProcess @ 0x805D29CA -> HOOKED (Unknown @ 0xF7BC844F)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7BC84D6)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7BC84DB)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST332082 0AS SCSI Disk Device +++++
--- User ---
[MBR] eb176dd655e8a6da3906972e8539bed9
[BSP] 668db796a004c471beff772fb63e4e8f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 156280320 | Size: 228934 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_01042013_182126.txt >>
RKreport[1]_S_01042013_182126.txt
0
Réponse 2 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
1 avril 2013 à 18:20
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT


0
Utilisateur anonyme
1 avril 2013 à 19:01
Je ne sais pas pourquoi j'ai écrit Avast alors que j'ai Antivir...
Voici le rapport de ADWCleaner
https://pjjoint.malekal.com/files.php?id=20130401_y5s14j5h14g9
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
1 avril 2013 à 19:21
yep, faire OTL
0
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
1 avril 2013 à 19:34
Ca a l'air bon.

Si le pare-feu, mise à jour ou centre de sécurité ne fonctionnent plus.
Utilise ESENT Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

0
Réponse 4 / 4
Utilisateur anonyme
1 avril 2013 à 19:56
Merci beaucoup pour ton aide, tes connaissance et ton site web (je suppose que c'est le cas), il vas trouver une place dans mes favoris. Bonne fin de journée.
0
Utilisateur anonyme
1 avril 2013 à 20:13
Et en effet le service du pare-feu n'existait plus, mais c'est résolu! Merci. :).
Je vais, suivre les mises à jour des différents logiciels de cet ordi de plus près.
0

Discussions similaires

Prélèvement dri Avast software
Ml -
dadout -

2 réponses
message intempestifs d'avast : une menace a été détectée
ed62945077 -
Malekal_morte- -

3 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
arnaque par DRI AVAST
chlrd24 -
crooner76 -

8 réponses
Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses