Virus TR/ATRAPS.Gen2 sur mon portable.. Résolu/Fermé

Question

Bonjour, 

Comme vous vous en doutez, j'ai un problème que j'essaye en vain de résoudre... 
Mes deux antivirus ( Malwarebytes anti malware et avira antivir ) détectent sans cesse des virus sur mon PC... Le problème s'appelle TR/ATRAPS.Gen2 ou TR/ATRAPS.Gen selon antivir... Je ne sais pas trop quoi faire, je ne suis pas sur mon PC, je préfère donc faire ce qui est nécessaire avant de le rendre au propriétaire, je suppose que vous comprendrez... 
Je vous serais vraiment très reconnaissant si vous pouviez m'aider, vraiment. J'ai déjà eu un problème ( qui n'avait aucun rapport ) et j'ai pu compter sur l'aide des gens du site, c'est pourquoi je fais appel à vous... Je vous remercie d'avance
c:\User\prénom\appData\local\...\80000000.@
 Serait l'endroit infecté...


Configuration: Windows 7 / Firefox 14.0.1

g3n-h@ckm@n · Answer

salut on va essayer avec ca lis bien pas -à-pas

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

R0103D · Answer

Re-bonsoir.

http://pjjoint.malekal.com/files.php?read=20120730_c5q6y8x7b9 

Voici le lien du rapport. Merci pour ta réponse rapide. 
Par contre, depuis le rapport, je n'arrive plus a me connecter à Internet par le PC infecté, est-ce normal...?

J'attends donc tes prochaines instructions :)

g3n-h@ckm@n · Answer

oui et desinstalle McAfee

R0103D · Answer

Voilà voilà, merci de ta patience et désolé pour le temps perdu :) 

http://pjjoint.malekal.com/files.php?read=20120731_s5e9v6j5c7

Normalement tout était bon cette fois

g3n-h@ckm@n · Answer

desinstalle adobe reader 9
desinstalle babylon
desinstalle windows search qu toolbar
desinstalle web search

===


Clique sur ce lien : https://www.cjoint.com/?BGFbkDQHk3K

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

R0103D · Answer

Je ne trouve pas websearch dans les programmes du panneau de configuration, comment dois-je le supprimer ?

g3n-h@ckm@n · Answer

continue ca va sauter quand meme

R0103D · Answer

Voilà le lien.

http://pjjoint.malekal.com/files.php?read=20120731_v9n6e7l612

Par contre, le PC est boqué dans une sorte de mode sans échec où je n'ai pas accès à Internet, je n'ai pas le son, l'interface est sommaire mais les icones font la taille normale... Il n'est PAS en mode sans échec :/

g3n-h@ckm@n · Answer

redemarre-le ?

R0103D · Answer

Déjà fait, c'est ce que je ne comprends pas :/ 
Enfin au pire, je verrai bien après..
Que dois-je faire maintenant ?

g3n-h@ckm@n · Answer

regarde si tu peux faire une restauration systeme avant tes soucis

R0103D · Answer

Je suppose que c'est le " Réparer l'ordinateur " au menu pour aller en mode sans échec ?

R0103D · Answer

Ah non pardon, c'est dans les outils système ? 
Elle est désactivée sur ce PC là, je ne peux donc pas le faire...

g3n-h@ckm@n · Answer

tu peux faire une capture d'ecran de ton "simili mode sans echec ?

R0103D · Answer

http://image.noelshack.com/fichiers/2012/31/1343744420-prtscn.jpg

Comme tu le vois, je n'ai pas de réseau, pas de son... J'ai ouvert mes documents pour que tu vois une fenêtre

g3n-h@ckm@n · Answer

regarde dans les propriétés des fenetres et du menu demarrer voir s'il y a rien de dereglé

R0103D · Answer

Je n'ai plus acces aux thèmes " aero ", je suppose que c'est le problème. Je ne sais pas comment retrouver l'accès, ils sont grisés, impossible de les sélectionner, pareil pour Windows 7 basic, je ne peux pas le choisir. 
Mais cela n'a rien avoir avoir Internet et le son, si ? 
Enfin, un problème à la fois, bien sur :) C'est déjà très gentil de m'aider ^^

g3n-h@ckm@n · Answer

ouvre le gestionnaire de peripheriques et vois si tu as des points d'exclamation sur fond jaune

R0103D · Answer

Non je n'en vois pas...

g3n-h@ckm@n · Answer

suis ce tuto ca sent pas bon ton histoire :

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel

R0103D · Answer

Quand tu m'as dit de supprimer my web search j'ai fait un scan malwarebytes en mode sans échec, c'est depuis là que c'est arrivé... 
Je vais suivre le tuto, j'espère que ça va marcher

R0103D · Answer

Malwarebyte aurait supprimé un fichier qu'il n'aurait pas du ? C'est possible ?

g3n-h@ckm@n · Answer

non mais si tu fais autre chose que ce que je te demande c'est difficike à gérer pour moi

R0103D · Answer

J'ai juste voulu désinstaller websearch, désolé.
Je n'ai rien fait d'autre, je te tiens au courant pour le scan

R0103D · Answer

On me demande ensuite ce que je dois faire de l'objet non réparable, je dois le mettre en quarantaine ?


Edit : C'est marqué dans le tuto, je n'ai rien dit.

R0103D · Answer

Vilà le rapport. Je n'ai pas su l'héberger cette fois, désolé.


searchqutoolbar-manifest.xml;C:\Users\Marie\AppData\Local\Temp;Adware.Bandoo.4;Irréparable.Quarantaine.;
5518fcae.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Adware.Bandoo.1;Chemin invalide pour le fichier ;
55fe7554.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;BackDoor.Maxplus.6342;Supprimé.;
56337674.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;BackDoor.Maxplus.6342;Supprimé.;
5518fcae.qua;C:\Documents and Settings\All Users\Avira\AntiVir Desktop\INFECTED;Adware.Bandoo.1;Chemin invalide pour le fichier ;
searchqutoolbar-manifest.xml;C:\Documents and Settings\Marie\AppData\Local\Application Data\Temp;Adware.Bandoo.4;Chemin invalide pour le fichier ;
searchqutoolbar-manifest.xml;C:\Documents and Settings\Marie\AppData\Local\Temp;Adware.Bandoo.4;Chemin invalide pour le fichier ;
msimg32.dll.P_S;C:\Pre_Scan\Quarantine;BackDoor.Maxplus.91;Supprimé.;
searchqutoolbar-manifest.xml;C:\Users\Marie\AppData\Local\Temp;Adware.Bandoo.4;Chemin invalide pour le fichier ;

g3n-h@ckm@n · Answer

re

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

R0103D · Answer

Re ! Voici le rapport.

http://pjjoint.malekal.com/files.php?read=20120801_t15i1115y15o7

Pour le problème de connexion et de son, ça pourrait être un problème de driver ?
J'ai vu que quelqu'un avait eu ce problème là, je préfère te demander ( bien que je doute que ça soit aussi simple :/ )

g3n-h@ckm@n · Answer

fais une capture de ton gestionnaire de peripheriques stp

R0103D · Answer

http://image.noelshack.com/fichiers/2012/31/1343815268-gest1.jpg
http://image.noelshack.com/fichiers/2012/31/1343815273-gest2.jpg
http://image.noelshack.com/fichiers/2012/31/1343815279-gest3.jpg

J'ai tout déroulé au cas où, même si je me rend compte que c'est un peu inutile..
Le PC me dit que ce qui est son et internet marche correctement..

g3n-h@ckm@n · Answer

t'as le cd de windows ?

R0103D · Answer

Je viens de descendre chercher la boite, qui normalement est complète, le CD n'est pas dedans.. J'ai bien le guide Vaio de réinstallation, sauvegarde et dépannage mais c'est tout...

g3n-h@ckm@n · Answer

tentons :

touche windows + R

tape cmd

puis dans la fenetre tape :

sfc /verifyonly

R0103D · Answer

C'est en train de le faire. Il y a une étape à faire après ? Parce que je ne pourrai pas vraiment repasser avant demain :)

R0103D · Answer

Nope, aucune violation d'intégrité... Et je dois partir maintenant, je repasserai demain matin :/ 

Encore merci beaucoup pour ton aide, vraiment :)

g3n-h@ckm@n · Answer

tu as redemarré le pc suite à drWeb ?

R0103D · Answer

Si il a DU redémarrer ou si MOI je l'ai redémarré ? 
Je pense qu'il a du redémarrer, si c'est la question... 
En tout cas moi je le redémarre après chaque étape oui

g3n-h@ckm@n · Answer

ca m'ennuie cet affichage que tu as...

R0103D · Answer

Je dois dire que c'est surtout la perte de son et de Wifi qui m'embête :/

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

R0103D · Answer

Le programme me dit qu'il faut que je désactive 
McAfee et Avira desktop, or je n'ai plus mcafee et avira me marque clairement qu'il est désactivé quand je vais sur le programme...

g3n-h@ckm@n · Answer

alors passe outre :)

R0103D · Answer

Ok ok, voilà maintenant j'attends avec patience :) 
Je te tiens au courant dès les résultats ! :)

R0103D · Answer

Tout à l'air normal ! Je te poste le rapport de suite ! 
J'attends ta confirmation que tout est redevenu normal, mais je tiens à te remercier infiniment ! :)

R0103D · Answer

http://pjjoint.malekal.com/files.php?read=20120803_w8j10k12u12x9

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

File::
c:\windows\SysWow64\shoCE71.tmp

Driver::
0156021343685946mcinstcleanup

RegLock::
[HKEY_USERS\S-1-5-21-311049615-424471878-2723943692-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
[HKEY_USERS\S-1-5-21-311049615-424471878-2723943692-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Nico Mak Computing\WinZip]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

R0103D · Answer

On me propose une MAJ combofix, normal ?

g3n-h@ckm@n · Answer

oui sUbs a du le mettre à jour

R0103D · Answer

Ok merci, désolé je suis juste un peu méfiant, je préfère m'assurer que tout est normal :)

R0103D · Answer

J'ai un message " Aucun débogueur JIT inscrit n'a été spécifié. 
Je peux soit réessayer pour en attacher un, ou annuler la demande de débogueur... "

g3n-h@ckm@n · Answer

j'ai jamais vu ca avec combofix :S

R0103D · Answer

Le rapport vient de s'afficher malgré l'erreur, je vais te le poster :/

R0103D · Answer

Désolé enfait l'erreur vient de IaStorIcon, pas combofix. 
Avec le débogueur

R0103D · Answer

http://pjjoint.malekal.com/files.php?read=20120803_y15m6c14j14c12

g3n-h@ckm@n · Answer

c'est normal qu il bloque les sites de ce sttyle :!)

R0103D · Answer

Ok merci ! Et pour le machin de IastorIcon, c'est quoi ? :s

g3n-h@ckm@n · Answer

mets malwarebytes à jour et fais un scan complet de tout

R0103D · Answer

J'ignore le message alors ?

Pendant le scan, avira m'a dit qu'un fichier dans "prescan : quarantaine" était dangereux, je le supprime là, où je laisse malwarebyte le faire durant le scan ?

g3n-h@ckm@n · Answer

desactive l antivirus le temps du scan de malwarebytes

R0103D · Answer

Okay ! En tout cas c'est déjà significatif, j'avais plus d'une centaine d'infection dès le début la dernière fois, et là en 30 minutes yen a aucune :)

g3n-h@ckm@n · Answer

si il va en trouver :)

g3n-h@ckm@n · Answer

si il va en trouver :)

g3n-h@ckm@n · Answer

si il va en trouver :)

g3n-h@ckm@n · Answer

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer

re

si il va en trouver :)

g3n-h@ckm@n · Answer