TR/atraps.gen

[epm]

Bonjour,

 

Avant tout je dois vous dire que je ne suis pas très doué avec les ordinateurs.

Depuis quelques jours, Avira me dit qu'il a mis le virus TR/Atraps.Gen (avec tous les numéros possibles) en quarantaine. Mais impossible de l'enlever. Depuis aujourd’hui, j'ai aussi TR/Siresef.P.389.

 

J'ai un ordinateur portable qui fonctionne avec Windows 7 professional, j'allais oublier je vis aux Pays-Bas, je ne sais pas si cela a de l'importance.

Que dois-je faire ? J'ai vu un autre sujet identique, mais je n'ose pas suivre la même démarche.

 

Par avance merci.

Éric.

[bernard53]

Bonsoir

 

Fait ceci s.t.p

 

Cliquez << ici >> pour télécharger « Pre-Scan »

Désactiver les entrées de démarrage

Désactivez vos protections (antivirus, parfeu...).Téléchargez Pre_scan sur votre bureau.

Une fois téléchargé lancez-le, ensuite, laissez faire le scan puis collez le contenu de "Pre_scan.txt"qui apparaitra à son terme, sur votre bureau.

Si l'outil détecte un proxy et que vous n'en avez pas installé, cliquez sur [supprimer le proxy].

 

 

Ensuite:

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s

%temp%\smtmp\1\*.* /s

%temp%\smtmp\2\*.* /s

%temp%\smtmp\4\*.* /s

nslookup Google /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

[epm]

Bonsoir,

 

J ai fait le pre-scan, mais je n arrive pas a me connecter sur OTL.

Internet explorer me dis que la page ne peux pas etre ouverte.

La connexion avec d autres sites ne pose aucun probleme.

As tu une idée?

Merci

 

Eric

[bernard53]

fait ceci a la place d'otl

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

 

dis moi tu peux me mettre le rapport de Prescan s.t.p

Mets le rapport ici car il prend bien de la place.

 

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

[epm]

Merci, je vai essayer et j envoie le rapport du scan.

[epm]

Bonsoir,

 

Désolé, mais j'ai du m'absnter et n'ai pu m'occuper de mon probleme.

J ai envoyé les rapport préscan et le txt ghpDiag.

A bientot et encore merci.

 

Eric

[Apollo]

Bonsoir,

 

Petite incruste: tu dois donner les liens générés, sinon le helper ne pourra consulter ces rapports.

 

tutoriel

 

@++

[bernard53]

Bonjour a tous

merci apollo

[epm]

Oups, désolé,

 

Lien CJoint.com BHwkaa7T0Zk

Lien CJoint.com BHwkc1qTcaa

 

Par avance merci.

 

Eric

[bernard53]

ok ceci s.t.p

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (. Microsoft Corporation - 5.1.10411.0.) (No version) -- (.not file.)

R3 - URLSearchHook: (no name) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} . (. Microsoft Corporation - 5.1.10411.0.) (No version) -- (.not file.)

O3 - Toolbar: (no name) - [HKLM]{0BF43445-2F28-4351-9252-17FE6E806AA0} . (...) -- (.not file.)

[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]

[HKCU\Software\AppDataLow\Software\Conduit]

[HKCU\Software\AppDataLow\Software\Smartbar]

[HKLM\Software\Conduit]

O43 - CFD: 5-8-2012 - 12:24:32 - [0,609] ----D C:\Program Files\Conduit

O43 - CFD: 28-5-2012 - 21:47:01 - [0] ----D C:\ProgramData\Ask

O43 - CFD: 5-8-2012 - 12:59:59 - [0] ----D C:\Users\B.L. Visser\AppData\Local\Conduit

O43 - CFD: 22-4-2010 - 13:23:52 - [0] ----D C:\Users\B.L. Visser\AppData\Local\Geschiedenis

O69 - SBI: SearchScopes [HKCU] {088A093F-6D08-4B21-8EC8-ED3969B4EFE6} - (Ask Search) - http://websearch.ask.com

O69 - SBI: SearchScopes [HKCU] {D71D3677-5778-4FBA-80E3-112F34F69761} - (WiseConvert Customized Web Search) - Rechercher

[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]

[HKLM\Software\Classes\Toolbar.CT3196716]

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}

C:\Program Files\Conduit

C:\Users\B.L. Visser\AppData\Local\Conduit

C:\Users\B.L. Visser\AppData\LocalLow\Conduit

 

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

Tu as trop de chose au démarrage du pc.

 

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.

Télécharge et installe Code Stuff Starter :

Télécharger Starter

 

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

 

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

 

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.

 

 

Lignes à décocher qui sont en relation.

 

O4 - HKLM\..\Run: [QlbCtrl.exe] . (. Hewlett-Packard Development Company, L.P. - Quick Launch Buttons.) -- C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

O4 - HKLM\..\Run: [iAAnotif] . (.Intel Corporation - Event Monitor User Notification Tool.) -- C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [WirelessAssistant] . (.Hewlett-Packard - HP Wireless Assistant Main Program.) -- C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

O4 - HKLM\..\Run: [synTPEnh] . (.Synaptics Incorporated - Synaptics TouchPad Enhancements.) -- C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [startCCC] . (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [soundMAX] . (.Analog Devices, Inc. - SoundMAX Audio Settings (32-bit).) -- C:\Program Files\Analog Devices\SoundMAX\soundmax.exe

O4 - HKLM\..\Run: [itype] . (.Microsoft Corporation - IType.exe.) -- C:\Program Files\Microsoft IntelliType Pro\itype.exe

O4 - HKLM\..\Run: [intelliPoint] . (.Microsoft Corporation - IPoint.exe.) -- C:\Program Files\Microsoft IntelliPoint\ipoint.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

O4 - HKLM\..\Run: [soundMAXPnP] . (.Analog Devices, Inc. - SMax4PNP.) -- C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [ConnectionCenter] . (.Citrix Systems, Inc. - Citrix online plug-in Connection Center.) -- C:\Program Files\Citrix\ICA Client\concentr.exe

O4 - HKLM\..\Run: [PDF Complete] . (.PDF Complete Inc - Sentry for PDF.) -- C:\Program Files\PDF Complete\pdfsty.exe =O4 - HKLM\..\Run: [openvpn-gui] . (...) -- C:\Program Files\Astaro\Astaro SSL VPN Client\bin\openvpn-gui.exe

O4 - HKCU\..\Run: [HPADVISOR] . (.Hewlett-Packard - HP Advisor.) -- C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

O4 - HKCU\..\Run: [LightScribe Control Panel] . (.Hewlett-Packard Company - No comment.) -- C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe

O4 - HKCU\..\Run: [msnmsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] . (.Microsoft Corporation - Windows-bureaubladgadgets.) -- C:\Program Files\Windows Sidebar\Sidebar.exe

O4 - HKUS\S-1-5-20\..\Run: [sidebar] . (.Microsoft Corporation - Windows-bureaubladgadgets.) -- C:\Program Files\Windows Sidebar\Sidebar.exe =

O4 - HKUS\S-1-5-21-2892059423-612134923-4241588919-1001\..\Run: [HPADVISOR] . (.Hewlett-Packard - HP Advisor.) -- C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

O4 - HKUS\S-1-5-21-2892059423-612134923-4241588919-1001\..\Run: [LightScribe Control Panel] . (.Hewlett-Packard Company - No comment.) -- C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe

O4 - HKUS\S-1-5-21-2892059423-612134923-4241588919-1001\..\Run: [msnmsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe

 

 

Redémarres le pc ensuite pour constater le mieux.

Ensuite suspicions de « rootkit » donc ceci s.t.p

 

Télécharge sur ton bureau

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

dezippe le et execute le , un rapport sera crée ici:

 

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

 

tu as aussi directement l'executable là :

http://support.kaspersky.com/downloads/utils/tdsskiller.exe

A cette fenêtre lance le scan.

 

 

Tu peux récupérer le rapport en validant Report

 

Si une détection est faite valide Cure puis

 

 

redémarres le pc pour confirmer la suppression de celle-ci.

 

INFO::

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

 

Si TDSS.tdl2 est détecté l'option "delete" sera cochée par défaut.

• Si TDSS.tdl3 est détecté assure toi que "Cure" est bien cochée.

• Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que "Cure" est bien cochée.

• Si Suspicious file est indiqué, laisse l'option cochée sur "Skip"

• Clique sur Continue puis sur Reboot now pour redémarrer le PC.