Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

PC infecté par Atraps.gen2

 

BJ22
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

PC infecté par Atraps.gen2

Prévenir les modérateurs en cas d'abus 
Jehule
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 30/07/2013 à 19:13:28  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
J'avais installé Avira et suite à ça ? je me retrouve avec une alerte sur un malware Atraps.gen2. mais quand je clique sur "remove" il disparait mais réapparait aussitôt.
J'ai lancé Avira mais rien n'est retiré. Du coup, j'ai dés-installé mais il ne s'est pas retiré complètement. Windows me signale une erreur sur le pc et dit qu'il est obligé de redémarrer et le fait sans consigne de ma part (plus la main). A l'ouverture, le malware est toujours là. Depuis, chaque fois que j'essaie de dés-installer Avira, je suis éjecté. Depuis j'ai installé Avast mais le problème perdure.
Pouvez-vous m'aider. J'ai vu sur le forum que le cas n'est pas unique mais qu'il doit être vu cas par cas.
Merci pour une aide.

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 30/07/2013 à 19:22:54  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Jehule

ceci stp

Scan du PC et recherche des infections.
* Télécharge [s]OTL[/s] sur ton Bureau.
* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.
* Fait un double-clic sur l'icône d'OTL pour le lancer.
(Vista/Seven faire un clic-droit sur l'icône d'OTL et choisir "Exécuter en tant qu'administrateur" ;)
* Quand l'interface d'OTL apparaîtra, assure toi que dans la section "Rapport" (en haut à droite) que la case "Rapport minimal" soit cochée.
* Copies et colles le contenu de la citation ci-dessous dans le cadre se nommant "Personnalisation" :
Citation :


netsvcs
msconfig
activex
drivers32
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\drivers\​*.sys /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%alluserprofile%\application data\*.
%alluserprofile%\application data\*.exe /s
%appdata%\*.
%appdata%\*.exe /s
%systemdrive%\*.
%systemdrive%\*.exe
%programfiles%\*.
/md5start
explorer.exe
userinit.exe
winlogon.exe
eventlog.dll
netlogon.dll
nvrd32.sys
/md5stop
savembr:0
createrestorepoint

* Cliques sur le bouton "Analyse" (en haut à gauche).
* Laisse le scan aller jusqu'à son terme sans te servir du PC.
* A la fin du scan un ou deux rapports vont s'ouvrir : "OTL.Txt" et "Extras.Txt"(dans certains cas).
Nota : Les rapports sont également présents sur le Bureau et sauvegardés dans le dossier 'C:\_OTL'.
Hébergement des rapports.
1 - Connecte toi ici --> [s]Cjoint.com[/s]
2 - Clique sur le bouton Parcourir... et recherche dans l'arborescence ton premier rapport 'OTL.txt' sur le Bureau et sélectionne le.
3 - Clique ensuite sur le bouton Créer le lien Cjoint et patiente quelques secondes afin d'obtenir le lien de partage que tu devras
me transmettre après avoir effectué un clic droit dessus > Copier le raccourci . Celui-ci ressemblera à ceci : http://cjoint.com/?BHpjGhPqPRB
* Effectue les même étapes pour le rapport 'Extras.txt'.
a++


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
(Publicité)
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 30/07/2013 à 20:06:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Did80, merci pour ta réactivité. Voici le lien d'OTL :
http://cjoint.com/?CGEvc6tUt1q
Voici celui de Text :
http://cjoint.com/?CGEvfNoL6rg

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 31/07/2013 à 20:06:45  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Jehule

ceci stp



Télécharges sur le Bureau Roguekiller ICI
et pas ailleurs.

http://up.sur-la-toile.com/4Z2​Y

• Quitte tous les programmes en cours.
• Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

• Sinon lance simplement RogueKiller.exe
Après le préscan cliques sur scan
Le scan fini cliques sur rapport

• Un rapport s'ouvrira (RKreport[1].txt qui se trouve également à côté de l'exécutable),
Copies/colles ce rapport.

a++


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 31/07/2013 à 20:42:00  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Did80,
Merci encore pour ton implication.
Voici le rapport :
RogueKiller V8.6.4 _x64_ [jul 29 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Demarrage : Mode normal
Utilisateur : Jehule [droits d'admin]
Mode : Recherche -- Date : 07/31/2013 21:38:42
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[hj POL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[hj POL] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [non CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\​etc\hosts


127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000BPVT-55HXZT4 +++++
--- User ---
[mbr] e936b11787d3393be7bf91f3532b92​a0
[bsp] 3dc501c585804022cbc627081f1a35​54 : Empty MBR Code
Partition table:
0 - [xxxxxx] UNKNOWN (0x00) [visible] Offset (sectors): 1 | Size: 2097152 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_07312013_213842.txt >>


A+++

(Publicité)
Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 01/08/2013 à 19:00:33  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Jehule

relance le

scan suppression copies/colles le rapport

[:jypalou:2]
Message édité par did80 le 20/08/2013 à 10:00:14

---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 04/08/2013 à 15:56:32  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Did80,
Sorry pour ma réponse tardive.
Voici le rapport de la relande et de la supression :

RogueKiller V8.6.4 _x64_ [jul 29 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Demarrage : Mode normal
Utilisateur : Jehule [droits d'admin]
Mode : Suppression -- Date : 08/04/2013 16:50:20
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[hj POL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[hj POL] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> [0x2] Le fichier spécifié est introuvable.

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [non CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\​etc\hosts


127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000BPVT-55HXZT4 +++++
--- User ---
[mbr] e936b11787d3393be7bf91f3532b92​a0
[bsp] 3dc501c585804022cbc627081f1a35​54 : Empty MBR Code
Partition table:
0 - [xxxxxx] UNKNOWN (0x00) [visible] Offset (sectors): 1 | Size: 2097152 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_08042013_165020.txt >>
RKreport[0]_S_07312013_213842.txt;RKrep​or​t[0]_S_08042013_164949.txt


Merci encore

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 05/08/2013 à 14:08:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Jehule
ceci stp


Télécharge load_tdsskiller de Loup Blanc sur ton Bureau
http://support.kaspersky.com/d​ownloads/utils/tdsskiller.zip
Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.
Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven
lance le scan.
http://nsa26.casimages.com/img​/2011/01/27/11012708271111174.​jpg

Si une entrée est trouvée il faut cocher CURE
Continue et redémarrer le pc
http://img62.imageshack.us/img​62/8674/tdsskillertraitement22​2.png
Tu peux récupérer le rapport en validant Report

héberge le rapport C:\TDSSKiller.version_date_heu​re_log.txt
(C :\ est la partition contenant l'OS du PC).
sur www.cjoint.com

PS au cas ou tu n’aurais pas cure coches DELETE continues et redemarres

@++


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
(Publicité)
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 09/08/2013 à 21:02:22  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Did80,
Pardon pour l'absence de réponse.
Voici le lien du rapport.
http://cjoint.com/?CHjv7Be3DYz

A +++

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 10/08/2013 à 14:04:00  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Jehule

tu peux copier le rapport avira avec détection stp? @++


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 10/08/2013 à 17:24:53  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Did80,
J'avais désinstallé Avira et remplacé par Avast. Le problème vient aussi de Avira qui n'est pas sorti complètement. Il reste dans la base et se met à jour à chaque fois. Je suis obligé de le désactiver à chaque connection. Windows me jette dès que je lance la désinstallation et lors du reboot, j'ai un message qui me signale la nécessité de leur envoyer l'avertissement. Mais que ce soit ok ou non, je suis éjecté du PC et windows doit relancer avec erreur.
Du coup depuis,j'ai laissé Avira et le déconnecte.
Dois-je lancer le scan Avira ou Avast ?
Merci de ton soutien encore une fois.
A+++ icon15

(Publicité)
Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 11/08/2013 à 12:22:48  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
salut réinstalle avira et désinstalle le correctement

http://www.avira.com/fr/suppor [...] il/kbid/88

@++


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 16/08/2013 à 14:43:16  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour did80,
J'ai réinstallé Avira, et essayé de le dés-installer mais lors de la confirmation, je suis informé par un écran bleu avec le message de windows sur "suite à une erreur, le PC va être relancé".
Et je suis ainsi éjecté. Le PC reboot et après ouverture, j'ai le message proposition d'envoi de l'erreur.
Avira est donc toujours là et le malware encore plus.
Qu'en penses-tu ?

A+++

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 16/08/2013 à 20:29:15  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
on reprend ceci stp


Télécharges Malwarebytes version free
http://www.malwarebytes.org/pr [...] bytes_free



tu le mets a jour
scan complet

s’il trouve des infections important
coches les cases et supprimes la sélection

heberge le rapport @+-+


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
(Publicité)
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 16/08/2013 à 22:52:03  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir did80,
Voici le rapport du malware. Il n'y a pas eu d'infection.
http://cjoint.com/?CHqxZtJoqHp

A bientôt et merci

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 17/08/2013 à 12:53:51  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Jehule

ceci stp


Télécharge zhpdiag
http://www.commentcamarche.net/download/telecharger-34066799​-zhpdiag

Enregistrer le Fichier sur le bureau important
exécuter en tant qu'administrateur pour Vista/7) pour lancer le programme d'assistant d'installation

Scanner le pc en cliquant sur image de la loupe
Enregistrer le rapport image de la disquette qui apparaitra a la fin du scan

très volumineux incomplet sur le forum
il faut le poster sur www.cjoint.com
1 parcourir : zhpdiag.txt sur le bureau
2 déposer
3 me donner le lien formé qui ressemble a çà
http://cjoint.com/?BJlkjReCl6v​4 @++


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 17/08/2013 à 14:17:24  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour did80,
Voici le lien de ZHPDiag :
http://cjoint.com/?CHrpis5YYZD
Par contre, je te joins le fichier du scan que j'ai lancé ce matin de Avira. Je ne sais pas si ça va te servir :
http://cjoint.com/?CHrpmCfKWtW
J'avais aussi lancé un spybot &amp; research :
http://cjoint.com/?CHrpoI4w3Q7

De plus, j'ai remarqué que la dés-installation de Avira m'éjecte systématiquement et que dans le message de windows sur l'erreur qui l'oblige à fermer, il y a Bad Pool Header.

J'espère que tout ceci te serviront pour ton aide. Merci encore.
A@@@@

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 20/08/2013 à 10:04:35  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Jehule

tu peux analyser ce fichier sur www.virustotal.com

et me donner le résultat

C:\Windows\system32\vssapi.dll

@++


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 20/08/2013 à 18:12:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour Did80,
Il me dit que je ne peux pas ouvrir le fichier car je n'ai pas les droits.
Même si j'essaie au niveau au dessus, il n'y a rien qui se passe.
J'ai vu dans les alertes qu'il y a une autre adresse en plus de celui que tu as noté.
C:\Windows\SysWOW64\vssapi.dll
Mais je ne peux l'ouvrir non plus.
A+++ icon15

jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 20/08/2013 à 18:21:13  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
J'ai essayé de détruire les deux dll des dossiers Système32 et SysWOW64, il me dit que je dois avoir les droits et d'avoir les autorisations de TrusterInstaller.
A ton avis ?icon8

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 20/08/2013 à 19:37:43  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
fichier system a ne pas détruire

je t'avais demandé une analyse uniquement.


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
jehule
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 22/08/2013 à 20:38:05  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour did80,
Je sais mais il n'était pas possible d'ouvrir le fichier avec virustotal car ce fichier demandait des droits.
Le lien ne parvenait pas à accéder aux deux vssapi.dll
Désolé

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 24/08/2013 à 17:01:54  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Jehule laisse tomber virustotal

suis les instructions du lien ci dessous

http://cjoint.com/?CHyr5C6S2v9

@++


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
 Page :
1

Aller à :
 

Sujets relatifs
pc contaminé ou fichier ?? ordinateur infecté
mon pc est lent PC bloqué Virus Ukash - pas de mode sans echec
PC qui rame + page de démarrage détournée PC très lent
Données conservées sur PC retourné au magasin PC lent, très lent !!
virus sur mon pc portable et impossible de m'en debarrassée PC lent, pop up et messages d'erreur
Plus de sujets relatifs à : PC infecté par Atraps.gen2

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Forum bloqué par Google et Firefox 7
Supprimer Search the web 9
pages publicitaires intempestives 11
Ordinateur très ralenti 2
affichage page non sollicitée 5