Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] ATRAPS.Gen2


Messages recommandés

Dur dur !!

 

J'ai eu des problèmes pour exécuter combofix (désactiver les protections....) finalement j'ai quand même eu un rapport Lien CJoint.com BHqxpSxiX18

 

Maintenant j'ai un nouveau TR/Dropper.gen

 

Merci pour ton aide

Modifié par Mathilde P
Lien vers le commentaire
Partager sur d’autres sites

Ok,

 

Télécharge AdwCleaner par Xplode: ©©chargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

Héberge les rapports longs stp afin de ne plus risquer le plantage du sujet.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Oui, ne t'inquiète pas, c'est normal car l'outil a poursuivi son travail après le redémarrage du pc pour liquider les récalcitrants.

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

Lien vers le commentaire
Partager sur d’autres sites

j'ai suivi tes instructions et celles de RogueKiller qui m'a fait supprimer des trucs dans l'onglet registre je mets les 2 rapports qui m'ont l'air léger

RogueKiller V7.6.6 [10/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: laurent [Droits d'admin]

Mode: Recherche -- Date: 16/08/2012 23:51:53

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xF7C44D8C)

SSDT[41] : NtCreateKey @ 0x80623FD6 -> HOOKED (Unknown @ 0xF7C44D46)

SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xF7C44D96)

SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7C44D3C)

SSDT[63] : NtDeleteKey @ 0x80624472 -> HOOKED (Unknown @ 0xF7C44D4B)

SSDT[65] : NtDeleteValueKey @ 0x80624642 -> HOOKED (Unknown @ 0xF7C44D55)

SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xF7C44D87)

SSDT[98] : NtLoadKey @ 0x806261FA -> HOOKED (Unknown @ 0xF7C44D5A)

SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7C44D28)

SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7C44D2D)

SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (Unknown @ 0xF7C44DAF)

SSDT[193] : NtReplaceKey @ 0x806260AA -> HOOKED (Unknown @ 0xF7C44D64)

SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xF7C44DA0)

SSDT[204] : NtRestoreKey @ 0x806259B6 -> HOOKED (Unknown @ 0xF7C44D5F)

SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xF7C44D9B)

SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xF7C44DA5)

SSDT[247] : NtSetValueKey @ 0x80622548 -> HOOKED (Unknown @ 0xF7C44D50)

SSDT[255] : NtSystemDebugControl @ 0x80617FAA -> HOOKED (Unknown @ 0xF7C44DAA)

SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xF7C44D37)

S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7C44DBE)

S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7C44DC3)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD1600JS-75NCB1 +++++

--- User ---

[MBR] 11812d52813c704638c3eb61de77623f

[bSP] 4b5476bfe23fcf8ab4d4fabcf0e83553 : MBR Code unknown

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 62 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 128520 | Size: 149448 Mo

2 - [XXXXXX] UNKNOWN (0xdb) [VISIBLE] Offset (sectors): 306198900 | Size: 3074 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: 3S6677D5 USB Flash Disk USB Device +++++

--- User ---

[MBR] fc96b828ad26fd902d92a13d7d1a2b68

[bSP] fb60a6876fd3a7020310a17500b98540 : MBR Code unknown

Partition table:

0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 63 | Size: 999 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

+++++ PhysicalDrive2: HP Photosmart Plus USB Device +++++

Error reading User MBR!

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

le rapport de la suppression :

RogueKiller V7.6.6 [10/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: laurent [Droits d'admin]

Mode: Suppression -- Date: 16/08/2012 23:52:34

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xF7C44D8C)

SSDT[41] : NtCreateKey @ 0x80623FD6 -> HOOKED (Unknown @ 0xF7C44D46)

SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xF7C44D96)

SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xF7C44D3C)

SSDT[63] : NtDeleteKey @ 0x80624472 -> HOOKED (Unknown @ 0xF7C44D4B)

SSDT[65] : NtDeleteValueKey @ 0x80624642 -> HOOKED (Unknown @ 0xF7C44D55)

SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xF7C44D87)

SSDT[98] : NtLoadKey @ 0x806261FA -> HOOKED (Unknown @ 0xF7C44D5A)

SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xF7C44D28)

SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xF7C44D2D)

SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (Unknown @ 0xF7C44DAF)

SSDT[193] : NtReplaceKey @ 0x806260AA -> HOOKED (Unknown @ 0xF7C44D64)

SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xF7C44DA0)

SSDT[204] : NtRestoreKey @ 0x806259B6 -> HOOKED (Unknown @ 0xF7C44D5F)

SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xF7C44D9B)

SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xF7C44DA5)

SSDT[247] : NtSetValueKey @ 0x80622548 -> HOOKED (Unknown @ 0xF7C44D50)

SSDT[255] : NtSystemDebugControl @ 0x80617FAA -> HOOKED (Unknown @ 0xF7C44DAA)

SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xF7C44D37)

S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7C44DBE)

S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7C44DC3)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD1600JS-75NCB1 +++++

--- User ---

[MBR] 11812d52813c704638c3eb61de77623f

[bSP] 4b5476bfe23fcf8ab4d4fabcf0e83553 : MBR Code unknown

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 62 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 128520 | Size: 149448 Mo

2 - [XXXXXX] UNKNOWN (0xdb) [VISIBLE] Offset (sectors): 306198900 | Size: 3074 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: 3S6677D5 USB Flash Disk USB Device +++++

--- User ---

[MBR] fc96b828ad26fd902d92a13d7d1a2b68

[bSP] fb60a6876fd3a7020310a17500b98540 : MBR Code unknown

Partition table:

0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 63 | Size: 999 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

+++++ PhysicalDrive2: HP Photosmart Plus USB Device +++++

Error reading User MBR!

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

 

Je suis en aveuglen je ne sais pas du tout ce que je fais !!

 

Merci de ta réponse

Lien vers le commentaire
Partager sur d’autres sites

Ne t'en fais pas, moi je sais. ;)

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

sshot-1-2dabd4e.jpg

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

object2scan-2d7aef9.jpg

 

Et coche les 2 options supplémentaires:

 

addoptions-2d7af1d.jpg

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

2663-2-eng-2f88df2.png

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

++

Lien vers le commentaire
Partager sur d’autres sites

Es-tu sûre d'avoir copié la totalité du rapport? Si oui, c'est ok.

 

N'aie pas peur, nous sommes là pour assister les gens qui ne comprennent pas tout. Les outils peuvent effrayer, mais utilisés comme demandé par les conseillers, il n'y a pas de problème.

 

Il va falloir réutiliser ComboFix.

 

Si tu ne parviens pas à désactiver tes protections de sécurité, il va falloir lancer ComboFix en mode sans échec; Pour faire des analyses en mode sans echec faire comme suit: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

Choisis Mode sans échec avec prise en charge du réseau. L'affichage sera bizarre, c'est normal.

 

Les protections seront désactivées quoiqu'en dise ComboFix.

 

Relance ComboFix mais cette fois accepte d'installer la console de récupération lorsque cela sera proposé!. C'est très important.

 

consolerestaucf.jpg

 

Une fois la console installée, ComboFix demandera sûrement si tu veux poursuivre la recherche de nuisibles: Accepte.

 

Une fois terminé, poste le rapport qui apparaitra, en l'hébergeant comme le premier.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

D'accord, alors on va lui installer de force.

 

J'ai juste besoin de savoir si ton XP est une version Home (Familiale) ou Professionnelle.

 

@ tte.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...