Virus « TR/ATRAPS.Gen2 »

[tomtom95]

Bonjour asdeff

 

La suite reste bien compromise avec ton seven 64 bits si on n’arrive pas à démarrer avec le CD Live OTLPE.

 

Je vais vérifier une chose en mode normal.

 

• Télécharge sur cette page :

RogueKiller (par tigzy). sur le bureau
IMPORTANT:Quitte tous tes programmes en cours
Désactive tes défenses (anti-virus et anti-spyware)
Lance RogueKiller.exe.
Pour SEVEN fais un clique droit sur l'icône et exécute en tant qu'administrateur.
Attendre que le Prescan ait fini ...
Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu dans la réponse

 

A+

[asdeff]

Voici le rapport :

RogueKiller V7.3.3 [22/04/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/51)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Eric [Droits d'admin]

Mode: Recherche -- Date: 28/04/2012 17:38:18

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] sys32\consrv.dll present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD7500BPVT-80HXZT1 +++++

--- User ---

[MBR] 36d5f8cf60b4e9f7529d3f2fdf4791b3

[bSP] 2df4e4393ef6efc24351e5bc0934916b : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 313006 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 693467136 | Size: 376797 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

 

 

 

RogueKiller me propose de supprimer deux éléments "NewStartpanel", je le fais ?

[tomtom95]

• Oui aprés le prescan
  
• Cliquer sur Suppression.
  Ensuite
  
• Cliquer sur Host RAZ.
  
• Cliquer sur Proxy RAZ.
  
• Cliquer sur DNS RAZ.
  
• Cliquer sur Racc. RAZ.
  
• les Rapports sont sur ton bureau et copier coller le contenu dans ta prochaine réponse

 

Relance combofix

• Télécharge
  Combofix sUBs sur ton Bureau et pas ailleurs
  
• Exécuter Combofix.exe Pour sevenfais un clique droit sur l'icône et exécute en tant qu'administrateur.
  Puis laissez le logiciel travailler
  
• IMPORTANT ne clique sur rien pendant exécution de l'analyse
  
• Clique seulement sur ce que demande ComboFix
  
• Lorsque l'analyse sera terminée
  un rapport apparaîtra.
  Copie-colle ce rapport dans ta prochaine réponse
  
• le rapport est sauvegardé à la racine du disque C:\ComboFix.txt poste le rapport

 

A+

[asdeff]

OK alors voici les rapports RK :

 

rapport 1 : Lien CJoint.com BDCrcRxbg6t

 

rapport 2 : Lien CJoint.com BDCrdiDQHAt

 

rapport 3 : Lien CJoint.com BDCrdEXt7y6

 

rapport 4 : Lien CJoint.com BDCrdZf5p89

 

rapport 5 : Lien CJoint.com BDCreiFf2Uu

 

Je vais faire combofix

[asdeff]

RE tomtom95,

 

J'écris depuis un autre ordinateur,

J'ai fini l'analyse par Combofix mais comme la dernière fois, je me retrouve avec l'impossibilité d'aller sur internet ou d'ouvrir un fichier de mon ordi. Le message suivant apparaît : "tentative d'opération non autorisée sur une clé du registre marquée pour suppression."

 

Et en effet à la fin du scan par combofix, le fichier system64 était marqué pour suppression.

 

Je n'ose même plus éteindre mon ordi de peur de planter totalement windows

 

Que faire ? Eteindre mon ordinateur et voir ce qu'il se passera ? Y a-t-il une opération à effectuer pour arranger les choses ?

 

En tous cas, je commence sérieusement à envisager d'apporter mon ordi à un réparateur, je ne sais même pas si quelque chose pourra être fait mais bon...

[tomtom95]

RE

 

Comme expliquer avant, cette infection n'est pas simple sur tout sur un 64 bits

Voir l'explication par malekalmorte

Zaccess sur Windows 64 bits

 

En tous cas, je commence sérieusement à envisager d'apporter mon ordi à un réparateur, je ne sais même pas si quelque chose pourra être fait mais bon

La seule réparation que tu auras c'est un formatage de ton ordinateur.

La solution est de démarrer sur un live CD pour modifier la dll patcher.

 

Les raison de ton infection sont tes téléchargements P2P, installation de trojan, rootkit, etc....

 

As-tu le CD de Windows seven ?

Si oui Redémarre le pc avec le cd dans ton lecteur.

Puis il te sera proposé sur l'écran le CD valide avec la touche [entrée]

Une fois charger il te propose soit d'installer de nouveau windows, ou en bas de réparer l'ordinateur

Clique sur réparer, une fenêtre va s'ouvrir et tenté une réparation.

Il te sera demander à la fin de redémarrer le pc.

Dit moi si tu arrive sur ton bureau.

 

A+

 

 

Pas de réponse, sujet supprimé de mes suivis

Modifié le 7 mai 2012 par tomtom95