HEUR:Backdoor.Win64.Generic détecté

Raziel -  
billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour bonjour, voilà mon problème, depuis peu, quand j'essaye d'ouvrir une page google, on me dit que le certificat de sécurité a été révoqué, pensant à un virus, j'ai passé un coup de Kaspersky et celui-ci ma annoncé que j'avais un hôte indésirable, à savoir un machin du nom de :

HEUR:Backdoor.Win64.Generic

c:\$Recycle.Bin\S-1-5-21-958206953-3606997076-4038134041-1000\$819aac0237abfa450a6b95c242815aac

Le fait est que, n'étant pas extrêmement doué en informatique, je ne sais pas comment m'en débarasser, aussi, j'espérais que quelqu'un pourrait me répondre, merci d'avance.

7 réponses

  1. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    salut

    pour ton problème, fais ceci

    Télécharge roguekiller sur ton bureau

    Le lien https://www.luanagames.com/index.fr.html

    Le tuto http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html

    Quitte tous tes programmes en cours

    Lance roguekiller (utilisateurs vista-w7-w8 exécuter en tant qu'administrateur- clic droit)

    Laisse faire le prescan

    Clique sur scan

    Le rapport s'affichera sur ton bureau et dans C: RKReport[#].txt

    Poste le rapport via 1 copier/coller

    @+
    1
  2. Raziel
     
    Petites infos en plus, j'ai fais jouer Avira, il a pas arrêté de sonner en me parlant d'un fichier :

    Type : Fichier
    Message : TR/ATRAPS.Gen2
    Source : c:\$Recycle.Bin\S-1-5-18\$819aac0237abfa450a6b95c242815aac\U\80000032.@
    (et j'en ai un second qui fini en 80000064.@)

    Je crois qu'Avira ne peut rien y faire, parce que malgré toute sa bonne volonté, je crois déjà avoir cliqué sur supprimé pour chacun au moins 4 ou 5 fois...

    Voilà, en espérant une réponse rapide.
    0
  3. Raziel
     
    Pas de réponse... Hum, si ça peut aider, j'ai également de la musique qui se lance sans raison, rien dans le gestionnaire de tache et mon mélangeur audio me la montre avec comme titre "Nom Indisponible" Impossible de savoir d'où ça vient...
    0
  4. Raziel
     
    Salut, tout d'abord, merci de ta réponse, j'ai fais comme demandé (ça va être vachement long, apparemment, je peux pas faire de spoiler >.>) :

    RogueKiller V8.6.3 [Jul 17 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/
    
    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : benjamin [Droits d'admin]
    Mode : Recherche -- Date : 07/18/2013 14:03:48
    | ARK || FAK || MBR |
    
    ¤¤¤ Processus malicieux : 0 ¤¤¤
    
    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    
    ¤¤¤ Tâches planifiées : 1 ¤¤¤
    [V2][SUSP PATH] EPUpdater : C:\Users\benjamin\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [x] -> TROUVÉ
    
    ¤¤¤ Entrées Startup : 0 ¤¤¤
    
    ¤¤¤ Navigateurs web : 0 ¤¤¤
    
    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
    [ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
    [ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> TROUVÉ
    [ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> TROUVÉ
    [ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> TROUVÉ
    
    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
    
    ¤¤¤ Ruches Externes: ¤¤¤
    
    ¤¤¤ Infection : ZeroAccess ¤¤¤
    
    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts
    
    
    
    
    ¤¤¤ MBR Verif: ¤¤¤
    
    +++++ PhysicalDrive0: ST932032 5AS SCSI Disk Device +++++
    --- User ---
    [MBR] dacefda7334427c4ba596b95f4a2421b
    [BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 14997 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30716280 | Size: 76308 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 186996600 | Size: 213935 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!
    
    Termine : << RKreport[0]_S_07182013_140348.txt >>
    


    et j'en ai profité pour suivre le tuto proposé à la fin du scan (pour shooter ZeroAcess, j'ai redémarré, refais un scan et... :

    RogueKiller V8.6.3 [Jul 17 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/
    
    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : benjamin [Droits d'admin]
    Mode : Suppression -- Date : 07/18/2013 14:26:46
    | ARK || FAK || MBR |
    
    ¤¤¤ Processus malicieux : 0 ¤¤¤
    
    ¤¤¤ Entrees de registre : 0 ¤¤¤
    
    ¤¤¤ Tâches planifiées : 0 ¤¤¤
    
    ¤¤¤ Entrées Startup : 0 ¤¤¤
    
    ¤¤¤ Navigateurs web : 0 ¤¤¤
    
    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ
    [ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ
    
    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
    
    ¤¤¤ Ruches Externes: ¤¤¤
    
    ¤¤¤ Infection : ZeroAccess ¤¤¤
    
    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts
    
    
    
    
    ¤¤¤ MBR Verif: ¤¤¤
    
    +++++ PhysicalDrive0: ST932032 5AS SCSI Disk Device +++++
    --- User ---
    [MBR] dacefda7334427c4ba596b95f4a2421b
    [BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 14997 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30716280 | Size: 76308 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 186996600 | Size: 213935 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!
    
    Termine : << RKreport[0]_D_07182013_142646.txt >>
    RKreport[0]_D_07182013_141354.txt;RKreport[0]_S_07182013_140348.txt;RKreport[0]_S_07182013_142620.txt
    
    
    
    


    Voilà voilà, plus de problème du côté de google, en revanche, avira m'annonce toujours (même si moins souvent qu'avant) la présence de TR/ATRAPS.Gen2 (les deux mentionnés dans mon second messages) Du coup, je ne sais pas si ça vient du fait que je viens de les supprimer et que donc l'ordi ne l'a pas pris en compte ou si j'ai encore des squatteurs... Merci d'avance pour vos futurs réponses !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    salut Raziel

    c'est bien d'avoir fait suppression, fais ceci maintenant s'il te plaît

    télécharge MBAM sur ton bureau

    le lien https://www.malwarebytes.com/ (prend le free)

    le tuto https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/

    exécute le en tant qu'administrateur (clic droit)
    met le a jour (3ème bouton)

    fais 1 scan complet (tous les disques)

    le scan peut durer +-2H (laisse le bosser)

    si MBAM trouve quelque chose supprime la sélection (voir tuto 2ème page)

    poste le rapport via 1 copier/coller

    le rapport s'affichera sur ton bureau et dans rapport/log de MBAM

    @+

    0
  7. Raziel
     
    Scan complet fait, voilà ce que ça me donne, après suppression et redémarrage :

    Malwarebytes Anti-Malware (Essai) 1.75.0.1300
    www.malwarebytes.org
    
    Version de la base de données: v2013.07.18.02
    
    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    benjamin :: BENJAMIN-PC [administrateur]
    
    Protection: Activé
    
    18/07/2013 15:18:58
    mbam-log-2013-07-18 (15-18-58).txt
    
    Type d'examen: Examen complet (C:\|D:\|E:\|H:\|I:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 526430
    Temps écoulé: 2 heure(s), 15 minute(s), 54 seconde(s)
    
    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)
    
    Valeur(s) du Registre détectée(s): 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_Application (Hijacker.Application) -> Données: http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s -> Mis en quarantaine et supprimé avec succès.
    
    Elément(s) de données du Registre détecté(s): 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|Application (Hijacker.Application) -> Mauvais: (http://www.helpmeopen.com/?n=app&ext=%s) Bon: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Mis en quarantaine et réparé avec succès
    
    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Fichier(s) détecté(s): 9
    C:\$Recycle.Bin\S-1-5-18\$819aac0237abfa450a6b95c242815aac\U\00000004.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\$Recycle.Bin\S-1-5-18\$819aac0237abfa450a6b95c242815aac\U\00000008.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\$Recycle.Bin\S-1-5-18\$819aac0237abfa450a6b95c242815aac\U\000000cb.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\$Recycle.Bin\S-1-5-18\$819aac0237abfa450a6b95c242815aac\U\80000000.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\$Recycle.Bin\S-1-5-18\$819aac0237abfa450a6b95c242815aac\U\80000064.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\benjamin\AppData\Local\Temp\DIQM\Minecraft_027\DomaIQ.exe (Adware.DomaIQ) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\benjamin\AppData\Local\Temp\DIQM\Minecraft_027\DomaIQ10.exe (Adware.DomaIQ) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\benjamin\AppData\Local\Temp\DIQM\Minecraft_027\exes.zip (Adware.DomaIQ) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\benjamin\AppData\Local\Temp\is1108708961\Tuto4PC_Setup_FR.exe (Adware.Tuto4PC) -> Mis en quarantaine et supprimé avec succès.
    
    (fin)


    Voilà, merci encore pour ton aide.
    0
  8. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    ok, fait ceci maintenant

    télécharge adwcleaner sur ton bureau (clique sur la flèche verte)

    le lien http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

    utlisateurs vista-w7-w8 exécuter en tant qu'administrateur (clic droit)

    choisis le mode suppression

    le rapport s'affichera sur ton bureau et dans C:\adw[S1].txt

    poste le rapport via 1 copier/coller

    @+

    0