Se connecter avec
S'enregistrer | Connectez-vous

[Resolu]Impossible de supprimer de TR/Hijacker.Gen‎

Dernière réponse : dans Sécurité

Bonjour,

Depuis 2 jours mon antivirus (antivir) detecte le cheval de troie TR/Hijacker.Gen sans réussir à le supprimer. Le message apparait toutes les 5 minutes environ !!! (sur C:\WINDOWS\Temp\xxxx.Tmp\svchost.exe

J'essaie de poster le rapport complet de RSIT.exe mais sans succès.

J'espère que vous pourrez m'aider sinon ça sent la réinstall du PC !!!


D'avance merci.

Autres pages sur : resolu impossible supprimer hijacker gen

Lassé par la pub ? Créez un compte

Bonjour,

[#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

    Voilà le rapport:
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijkn510...

    A priori le fichier atapi.sys a été réparé mais toujours pas le problème mémoire:
    13:43:04:875 3088 Results:
    13:43:04:875 3088 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
    13:43:04:875 3088 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
    13:43:04:875 3088 File objects infected / cured / cured on reboot: 1 / 0 / 1

    Après le redémarrage du PC, le problème persiste ...

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

    Voila le rapport (antivir detecte toujours le trojan):

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4000

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    17/04/2010 14:11:02
    mbam-log-2010-04-17 (14-11-02).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 102093
    Temps écoulé: 2 minute(s), 42 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Le rapport:

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 17:07:07 le 17/04/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. atapi.sys
    8.
    9.
    10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    11.
    12. "c:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys" [ ----A---- | 86912 ]
    13. TC: 21/03/2009,17:41:13 | TM: 29/08/2002,02:27:50 | DA: 16/04/2010,00:37:32
    14.
    15. =========================
    16.
    17. "c:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys" [ ----A---- | 86912 ]
    18. TC: 21/03/2009,17:41:12 | TM: 24/04/2003,14:00:00 | DA: 16/04/2010,00:37:32
    19.
    20. =========================
    21.
    22. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 96512 ]
    23. TC: 21/03/2009,17:41:13 | TM: 17/04/2010,15:11:09 | DA: 17/04/2010,15:11:09
    24.
    25. =========================
    26.
    27. "c:\WINDOWS\ServicePackFiles\i386\atapi.sys" [ ----N---- | 96512 ]
    28. TC: 21/03/2009,19:39:26 | TM: 13/04/2008,20:40:30 | DA: 16/04/2010,00:35:10
    29.
    30. =========================
    31.
    32. "c:\WINDOWS\ERDNT\cache\atapi.sys" [ ----A---- | 96512 ]
    33. TC: 16/04/2010,09:12:01 | TM: 16/04/2010,23:31:17 | DA: 17/04/2010,10:46:25
    34.
    35. =========================
    36.
    37. "c:\WINDOWS\$NtServicePackUninstall$\atapi.sys" [ ----C---- | 95360 ]
    38. TC: 21/03/2009,20:05:06 | TM: 03/08/2004,23:59:44 | DA: 16/04/2010,00:31:30
    39.
    40. =========================
    41.
    42. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    43.
    44. Aucun dossier trouvé
    45.
    46. =========================
    47.
    48. Fin à: 17:08:11 le 17/04/2010 ( E.O.F )

  • Télécharge le fichier atapi.sys sur ton Bureau (Pas dans Mes documents).


    /!\ Seul davsanch peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    FCOPY::
    C:\Documents and Settings\David & Ln\Bureau\atapi.sys | c:\WINDOWS\system32\drivers\atapi.sys
    C:\Documents and Settings\David & Ln\Bureau\atapi.sys | c:\WINDOWS\ServicePackFiles\i386\atapi.sys

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 

    Je te remercie de ton aide, je viens juste de tenter une procédure (avant de voir ton dernier message) et apparemment cela a fonctionné:

    1/ J'ai téléchargé l'outil Avira antivir recue system
    http://www.free-av.com/fr/outils/12/avira_antivir_rescu...

    2/ J'ai gravé l'image sur un CD et j'ai booté le PC sur ce CD

    3/ J'ai ensuite cliqué sur "scan" en choisissant l'option réparé
    J'ai obtenu un résultat sur un rootkit sur 5 fichiers (dans 1 fichier system dans system32/driver)

    4/ Après avoir vérifier que les 5 fichiers n'etaient pas important pour le PC j'ai relancé le scan avec l'option supprimer car la réparation n'avait pas fonctionnée.

    Après avoir redémarré sur Windows normallement le problème n'est pas revenu. Par contre je n'ai pas trouvé de fichier de log a te renvoyer.

    J'ai fait ça car TDSS arrivait bien a réparer le fichier corrompu mais ne nettoyait pas la memoire, le fichier devait être donc corrompu au démarrage de windows. J'ai donc penser que redemarrer sur un autre OS pouvait peut-etre me permettre de resoudre le problème. Je ne sais pas si c'est tres orthodoxe mais a priori ca a fonctionné !

    En tout cas merci de ton aide, j'ai decouvert qqs utilitaires bien pratique.
    Lassé par la pub ? Créez un compte

    Créer un nouveau sujet

    Tom's guide dans le monde