atraps.gen2 + Ecran qui me bloque le PCFermé

Question

Bonjour, 

Mon PC a été infecté par atraps.gen2 comment faire pour m'en défaire ?
Dès que je démarre mon pc, un écran apparait et m'empeche d'utiliser mon PC. Il se fait passer pour la gendarmerie qui me réclame 100 euros pour débloquer mon PC. J'ai dû démarrer mon pc en mode sans echec pour poster ce message.

Est-ce que quelqu'un peut m'aider à résoudre ce problème ? merci !


Configuration: Windows Vista / Chrome 22.0.1229.79

green day · Answer

Salut,

Télécharger Malwarebytes Anti Malware (MBAM) et installe-le sur ton bureau : 

Lien => https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ 

- Mettre à jour les bases virales. 
- Redémarrer en mode sans échec (voir ici ) : 

https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp 

- Lancer Malwarebytes Anti Malware 
- Cliquer ensuite sur l'onglet "Recherche" et faire un "Examen complet". 
- L'examen peut être long ! Il vaut mieux ne rien faire à coter sur le pc et laisser le scan se terminer. 
- Si des menaces ont été détectées, cliquer sur "Afficher les résultats". 
- Sélectionner toutes les menaces et cliquer sur "Supprimer la sélection", (vérifier que toutes les cases sont bien cochées). 
- Si l'ordinateur demande de redémarrer, accepter. 
- Un rapport sera généré, poste le sur le forum stp. 

@+

twelveplay · Answer

Bonjour, 

Merci pour ces indications.  

Entre temps, j'ai fait un scan avec RogueKiller, OTL et ComboFix. 
Voici les rapports : 
OTL : https://pjjoint.malekal.com/files.php?id=20121008_t15h10v13q76 
RKReport Recherche : https://pjjoint.malekal.com/files.php?id=20121008_p1310v9s910 
RKReport  Suppression : https://pjjoint.malekal.com/files.php?id=20121008_r12p12z9m5y15 
ComboFix : https://pjjoint.malekal.com/files.php?id=20121008_v10r8n9w8g10

Peux-tu stp me dire si le problème est réglé ? Dois-je tout de même lancer Malwarebytes Anti Malware ? 

Merci

twelveplay · Answer

Et voici en plus le rapport de MalwareBytes : https://pjjoint.malekal.com/files.php?id=20121009_d9e5z11g13t14

Merci pour ton aide !

green day · Answer

Salut,

Très bon travail ! :)

On continue :

-TéléchargeAdwCleaner : http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner 
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" 
-Clique sur suppression 
- Le scan se lance une fois fini un rapport doit apparaitre. 
- poste le rapport dans la prochaine réponse stp 

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[R1].txt 

@+

twelveplay · Answer

Salut,

Voici le rapport pour AdwCleaner : https://pjjoint.malekal.com/files.php?id=20121009_o8k8n7v9z7

Merci beaucoup !

@+

green day · Answer

Ok,

Petit bilan de tout ça !


--> Télécharge ZHPDiag (de Nicolas Coolman) :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau"). 

--> Clique droit sur le raccourci de ZHPDiag et choisis Exécuter en tant qu'administrateur. 

--> Clique sur le bouton "UAC". 

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner. 

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau. 

--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.

@+ :)

twelveplay · Answer

Voici le rapport pour ZHPDiag : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121009_d13b13o10g14v15

Par contre je n'ai pas trouvé de bouton "UAC"

@+

green day · Answer

Ok,

On va utiliser ZHPFix : utilisation de l'outil ZHPFix

* Copie tout le texte présent dans l'encadré ci-dessous en gras (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-------------------------------------------------------------------------------------------------


SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp

 M2 - MFEP: prefs.js [karim - i4u2ahqx.default\{635abd67-4fe9-1b23-4f01-e679fa7484c1}] [yahoo.ytff] Yahoo! Toolbar v2.4.8.20120412011105 (.Yahoo!.)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} Clé orpheline
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Clé orpheline
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} Clé orpheline
O2 - BHO: (no name) - {5A263CF7-56A6-4D68-A8CF-345BE45BC911} Clé orpheline
O2 - BHO: (no name) - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} Clé orpheline
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} Clé orpheline
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} Clé orpheline
O2 - BHO: (no name) - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} Clé orpheline
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} Clé orpheline
O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} Clé orpheline
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} Clé orpheline 
O3 - Toolbar: (no name) - [HKLM]{EF99BD32-C1FB-11D2-892F-0090271D4F88} . (...) -- (.not file.)
O3 - Toolbar: (no name) - [HKLM]{8dcb7100-df86-4384-8842-8fa844297b3f} . (...) -- (.not file.)
O3 - Toolbar: (no name) - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (...) -- (.not file.) 
O43 - CFD: 08/10/2012 - 20:51:05 - [0,163] ----D C:\ProgramData\gveoozqkfrutlzb 
 O43 - CFD: 11/02/2012 - 15:02:21 - [0] ----D C:\Users\karim\AppData\Local\{2145E710-19A1-411C-9F1F-26E8F6A55301}
O43 - CFD: 25/03/2012 - 18:49:46 - [0] ----D C:\Users\karim\AppData\Local\{53B2B799-3300-44FA-B686-94C733F05693}
O43 - CFD: 25/03/2012 - 18:49:32 - [0] ----D C:\Users\karim\AppData\Local\{6E4EFCD2-52FB-4FAA-BB40-DADCD93C0BFB}
O43 - CFD: 30/04/2011 - 19:46:29 - [0] ----D C:\Users\karim\AppData\Local\{FAD82910-18D2-4733-A07E-974BD69B18DE} 
[MD5.D3781A5B4AB92BAF6BA917B0AB50F035] [SPRF][14/05/2008] (...) -- C:\ProgramData\ezsidmv.dat [56]
[MD5.112CD97230D1D950BD3A32F61AA51C8F] [SPRF][08/10/2012] (...) -- C:\ProgramData
vModes.dat [47678]
[MD5.3798E39661070E120D6253212FC63E6C] [SPRF][08/10/2012] (...) -- C:\Users\karim\AppData\Local\d3d9caps.dat [1356]
[MD5.88783EB39D8EF000CDA3413C789C4E21] [SPRF][03/04/2008] (...) -- C:\Users\karim\AppData\LocalLow\settings.dat [15397]
[MD5.38409F4C62DBF687C395FA94DC497078] [SPRF][26/02/2012] (...) -- C:\Users\karim\AppData\Roaming
vModes.dat 
[HKLM\Software\Classes\Interface\{01947140-417F-46B6-8751-A3A2B8345E1A}] =>Adware.MyWebSearch
[HKLM\Software\Classes\Interface\{819FFE21-35C7-4925-8CDA-4E0E2DB94302}] =>Adware.MyWebSearch
C:\Program Files\Mozilla Firefox\Extensions\search@searchsettings.com =>PUP.Dealio
-------------------------------------------------------------------------------------------------

* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)

* Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
* Clique sur le bouton GO pour lancer le nettoyage
* Copie/colle la totalité du rapport dans ta prochaine réponse.

-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

Ensuite, refais un combofix et poste le rapport stp

@+

Atraps.gen2 + Ecran qui me bloque le PC

8 réponses

Newsletters