Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection par TR/ATTRAPS.gen2 et .Gen


Messages recommandés

:cry:

 

Tous les essais avec avenger semblent infructueux, je ne sais pas trouver le fameux fichier log censé s'ouvrir en fin de redemarrage (en mode rootkit ou non)

 

Avira detecte toujours mon ami (il tient a moi)

http://cjoint.com/?0FjiXPzXqpR

 

Cela sent il le format C..?

 

Merci d'avance pour votre reponse

 

gasi

Modifié par gasijaouro
Lien vers le commentaire
Partager sur d’autres sites

Je vous avais proposé cette procédure parce que je l'avais proposée sur un autre sujet avec le même problème,

 

Vous rappelleriez vous si vous avez installé quelque chose (ou téléchargé) peu avant que le problème apparaisse.

 

On recommence à zéro:

 

Tout d'abord, Sauvegardez vos données sur support externe car il n'y a pas garantie de succès en raison des versions différentes qui se succèdent.

 

Il s'agit d'abord de tenter une Restauration à une date antérieure.

Cela n'a d'intétérêt que si la restauration est restée fonctionnelle et qu'il y a donc des points de restauration.

Si ce n'est pas le cas, passez au point 3)

Deux méthodes possibles:

 

1)Démarrer en mode sans échec

Choisir-> Dernière bonne configuration connue :

Cette option démarre Windows en utilisant une configuration précédente identifiée comme correcte.

 

2)tenter une restauration système à une date antérieure.

Démarrer->Tous les programmes->Accessoires->Outils Systeme->Restauration

si ça bloque:

Lancer la restauration en ligne de commande

 

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

0804151215422955205.jpg

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

120404090713434053.jpg

validez

La restauration devrait se lancer.

Choisissez un point antérieur au problème.

 

 

3)Si vous n'avez pas de connexion internet, démarrez en mode sans échec avec opton réseau

ou installez les logiciels sur clé usb à l'aide d'un pc valide.

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

 

Cliquer surStart scan pour lancer l'analyse

11092402364444500.jpg

Lorsque l'outil a terminé son travail d'inspection

2727-2-en.png

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

 

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher, si nécéssaire p.ex faux positifs)

Cliquer sur Suppression. Cliquer sur r Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des indexes)

 

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Je vous avais proposé cette procédure parce que je l'avais proposée sur un autre sujet avec le même problème,

 

Vous rappelleriez vous si vous avez installé quelque chose (ou téléchargé) peu avant que le problème apparaisse. Non la seule chose notable est un mail indesirable qui m'a rerouté sur un site. J'ai rapidement ferme mais trop tard a mon avis

 

On recommence à zéro:

 

 

Il s'agit d'abord de tenter une Restauration à une date antérieure.

Cela n'a d'intétérêt que si la restauration est restée fonctionnelle et qu'il y a donc des points de restauration.

Premiere methode : je n'ai pas reussi

Deuxieme methode : echec egalement (refus du systeme) du coup tentative par invite de commande mais la non plus pas reussi (ligne de commande inconnue, je suis sur Windows7 pas sur XP comme sur l'exemple et je ne sais pas si cela a de l'importance

 

 

Si ce n'est pas le cas, passez au point 3)

 

3)Si vous n'avez pas de connexion internet, démarrez en mode sans échec avec opton réseau

ou installez les logiciels sur clé usb à l'aide d'un pc valide.

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (cl

ic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau. --> procedure realisee pas de detection, ci joint fichier log

Lien CJoint.com 0FmvwVgOE9n

 

Procédure roguekiller

ci joint l'ensemble des rapports log correspondants aux differentes etapes

 

Lien CJoint.com 0FmvDtG67eg

Lien CJoint.com 0FmvEcx0ll5

http://cjoint.com/?0Fmv65kMqmX

http://cjoint.com/?0FmwaPfZCA7

Lien CJoint.com 0FmvGU3coDT

Lien CJoint.com 0FmvHK9q99U

 

 

Procedure malwarebytes

Lien CJoint.com 0Fmv0TyfTQU

 

Et pour finir le rapport avira qui cloture l'echec (les trois menaces sont tjrs presentes....bou....)

Lien CJoint.com 0Fmv3KZCtbv

 

Qu'en dites vous ?

 

Merci par avance

 

gasi

Modifié par gasijaouro
Lien vers le commentaire
Partager sur d’autres sites

Télécharger OTL sur le bureau

Double cliquer sur l'icône

otlicon.gif

 

20110121104042.jpg

 

Si la protection en temps réel de Malwarebytes Anti-Malware est activée..

Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

 

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

Cochez]----------------->Tous les utilisateurs (scan all users)

Sous Rapport (output)

Cliquez ----------------------------->Rapport Standard (Standard Output)

Sous Régistre Standard(Standard Registry) cocher Tous(All)

Cochez------------------------------> Lop check et Purity check

 

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

services.exe

/md5stop

 

CREATERESTOREPOINT

 

Clic sur Analyse

une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

Lien vers le commentaire
Partager sur d’autres sites

Relancez Otl

Sous Custom scan Files ou Personnalisation

Copiez Collez

:OTL

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24

O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolba

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKU\S-1-5-21-3026155956-3896846133-1017191269-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value foun

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk = File not found

O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk = File not found

O4 - Startup: C:\Users\Invité\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk = File not found

O4 - Startup: C:\Users\Silvère\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk = File not found

O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000009 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)

O16:64bit: - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)

O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)

O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found

O18:64bit: - Protocol\Handler\livecall - No CLSID value found

O18:64bit: - Protocol\Handler\ms-help - No CLSID value found

O18:64bit: - Protocol\Handler\ms-itss - No CLSID value found

O18:64bit: - Protocol\Handler\msnim - No CLSID value found

O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found

O18:64bit: - Protocol\Handler\wlpg - No CLSID value found

O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

2012/06/11 22:38:11 | 000,000,000 | ---D | C] -- C:\Users\Silvère\AppData\Roaming\BabylonToolbar

[2012/06/11 22:38:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BabylonToolbar

[2012/06/11 22:37:57 | 000,000,000 | ---D | C] -- C:\Users\Silvère\AppData\Roaming\Babylon

[2012/06/11 22:37:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon

[2012/06/11 22:37:57 | 000,000,000 | ---D | M] -- C:\Users\Silvère\AppData\Roaming\Babylon

[2012/06/11 22:38:11 | 000,000,000 | ---D | M] -- C:\Users\Silvère\AppData\Roaming\BabylonToolbar

 

[2012/06/12 22:06:53 | 000,022,016 | ---- | C] () -- C:\Windows\Installer\{860ca9fa-5457-0cfa-d0ec-f771e871b671}\U\800000cb.@

[2012/06/12 21:36:44 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{860ca9fa-5457-0cfa-d0ec-f771e871b671}\U\80000000.@

[2012/06/12 07:46:46 | 000,001,648 | ---- | C] () -- C:\Windows\Installer\{860ca9fa-5457-0cfa-d0ec-f771e871b671}\U\00000001.@

[2012/01/11 12:14:09 | 000,002,048 | --S- | C] () -- C:\Users\Silvère\AppData\Local\{860ca9fa-5457-0cfa-d0ec-f771e871b671}\@

[2012/01/11 12:14:09 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{860ca9fa-5457-0cfa-d0ec-f771e871b671}\@

 

:Files

netsh winsock reset catalog /c

ipconfig /flushdns /c

C:\Windows\Installer\{860ca9fa-5457-0cfa-d0ec-f771e871b671}\U\80000000.@

C:\Users\Silvère\AppData\Local\{860ca9fa-5457-0cfa-d0ec-f771e871b671}\@

C:\Users\Silvère\AppData\Local\{860ca9fa-5457-0cfa-d0ec-f771e871b671}

 

:Commands

[purity]

[resethosts]

[emptytemp]

[CREATERESTOREPOINT]

[Reboot]

-------->Cliquer Runfix ou Correction

 

OTL redémarrera le système automatiquement.

Postez le rapport.

Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

Bonjour gasijaouro,

 

N'hésite pas à venir nous confirmer la fin de l'opération et, si tu considères qu'ici la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet…

 

resolu.jpg

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...