Virus ATRAPS.Gen2, c'est mon tour ...

Résolu
topspin92 Messages postés 113 Date d'inscription   Statut Membre Dernière intervention   -  
topspin92 Messages postés 113 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

Depuis quelques jours, AVIRA m'indique que ma machine est infectée par le non moins célèbre ATRAPS.Gen2

Bien entendu, malgré la mise en quarantaine, le PC n'est pas pour autant nettoyé.

Je me rends compte sur les forums de toutes les manipulations à faire, programmes à télécharger et installer etc... aussi, quelqu'un(e) aura-t-il/elle la patience de m'assister dans l'ensemble des procédures svp (savoir lire et interpréter les différents rapports, par exemple) ?

1- quels logiciels dois-je télécharger exactement ?
2- ensuite, dans quel ordre les lancer etc ?


Merci d'avance
A voir également:

11 réponses

Réponse 1 / 11
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,


A télécharger et transférer depuis un PC sain vers le PC infecté par clef USB :

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 2 / 11
topspin92
 
RogueKiller V8.6.8 [Sep 2 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Doudou [Droits d'admin]
Mode : Suppression -- Date : 09/02/2013 19:22:53
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\GoogleUpdate.exe" >) -> SUPPRIMÉ
[RUN][ZeroAccess] HKUS\S-1-5-21-1220945662-152049171-682003330-1004\[...]\Run : Google Update ("C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\GoogleUpdate.exe" >) -> [0xc0000034] Unknown error
[HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> [0x3] Le chemin d'accès spécifié est introuvable.
[HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> [0x3] Le chemin d'accès spécifié est introuvable.
[HID SVC][Masqué de l'API] HKLM\[...]\CS003\[...]\Services : . e () -> [0x3] Le chemin d'accès spécifié est introuvable.

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] Install : C:\Program Files\Google\Desktop\Install [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] @ : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\@ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\L [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {6d376c38-a846-4246-d657-252e0a112eaf} : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf} [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????? : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ??? : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\??? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ??? : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\??? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {6d376c38-a846-4246-d657-252e0a112eaf} : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf} [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] @ : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \?????\{6d376c38-a846-4246-d657-252e0a112eaf}\@ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \?????\{6d376c38-a846-4246-d657-252e0a112eaf}\L [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \?????\{6d376c38-a846-4246-d657-252e0a112eaf}\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {6d376c38-a846-4246-d657-252e0a112eaf} : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \?????\{6d376c38-a846-4246-d657-252e0a112eaf} [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] ????? : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \????? [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] {6d376c38-a846-4246-d657-252e0a112eaf} : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf} [-] --> SUPPRIMÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : unknown @ 0x805BC564 -> HOOKED (Unknown @ 0xB87674DC)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xB8767496)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xB87674E6)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xB876748C)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xB876749B)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xB87674A5)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xB87674D7)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xB87674AA)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xB8767478)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xB876747D)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xB87674FF)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xB87674B4)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xB87674F0)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xB87674AF)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xB87674EB)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xB87674F5)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xB87674A0)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xB87674FA)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xB8767487)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xB876750E)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xB8767513)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 00aaf101a7.gougava.asia # hosts anti-adware / pups
127.0.0.1 08sr.combineads.info # hosts anti-adware / pups
127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 1a2e115593.efacen.pro # hosts anti-adware / pups
127.0.0.1 1f1.fr # hosts anti-adware / pups
127.0.0.1 1facebookhackeronline.blogspot.no # hosts anti-adware / pups
127.0.0.1 2010-fr.com # hosts anti-adware / pups
127.0.0.1 2012-new.biz # hosts anti-adware / pups
127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups
127.0.0.1 24h00business.com # hosts anti-adware / pups
127.0.0.1 33black.porn-quest.net # hosts anti-adware / pups
127.0.0.1 4672ee0bc8.laibritec.waw.pl # hosts anti-adware / pups
127.0.0.1 4990usd.com # hosts anti-adware / pups
127.0.0.1 4xp.com # hosts anti-adware / pups
127.0.0.1 74.80.131.123 # hosts anti-adware / pups
127.0.0.1 78031d2298.tradorad.waw.pl # hosts anti-adware / pups
127.0.0.1 80323fcc6e.starsogor.waw.pl # hosts anti-adware / pups
127.0.0.1 888.rahon.org # hosts anti-adware / pups
127.0.0.1 8e47c22037.temavi.pro # hosts anti-adware / pups
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD3200AAJS-65RYA0 +++++
--- User ---
[MBR] 858750f834a8fa0831794da5b45e1b09
[BSP] 4bc17a43b2a43d6eb62ad239abebb691 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 49999 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 102398310 | Size: 255235 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: WDC WD3200AAJS-65RYA0 +++++
--- User ---
[MBR] bd1f65afedec4319e0d46533e8903871
[BSP] 217363fa1c244a8875342ede2600d3c8 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_D_09022013_192253.txt >>
RKreport[0]_S_09022013_191825.txt
0
Réponse 3 / 11
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.


0
Réponse 4 / 11
topspin92 Messages postés 113 Date d'inscription   Statut Membre Dernière intervention   2
 
OK, programme téléchargé depuis mon bureau, mais
- je n'y ai pas de droits d'admin et n'ai pas pu procéder à la mise à jour ;
- ma connexion internet domicile est très lente.

Je n'ai donc pu faire le scan qu'avec la base datant de Juillet 2013

Résultat : "no malware found"
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Comment ça tu n'as pas les droits admin ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
topspin92 Messages postés 113 Date d'inscription   Statut Membre Dernière intervention   2
 
ma connexion à domicile étant très lente (merci le virus), je pensais faire la mise à jour de MBAR depuis mon bureau, après l'avoir installé sur clé USB.

Mais, n'étant pas admin au boulot, je ne peux même pas le lancer pour faire mettre la base à jour
0
Réponse 6 / 11
topspin92 Messages postés 113 Date d'inscription   Statut Membre Dernière intervention   2
 
Good news, j'ai pu mettre MBAR à jour depuis un PC sain

Scan fait ce soir, voici le rapport :
https://pjjoint.malekal.com/files.php?id=20130905_t11e10l8m6t12
0
Réponse 7 / 11
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
OK ça a l'air good.


Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner] puis patiente (PAS besoin de copier/coller le rapport ici).
Quand cela est terminé, clic sur [Nettoyage].
!!! je répète faire [Nettoyage] !!!
Clic sur Rapport puis copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

0
Réponse 8 / 11
topspin92 Messages postés 113 Date d'inscription   Statut Membre Dernière intervention   2
 
AVIRA me refuse l'accès au fichier adwcleaner.exe car selon lui, le fichier est endommagé (AutoIt.Gen)... :(
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Désactive Antivir, le temps d'utiliser AdwCleaner.
0
Réponse 9 / 11
topspin92 Messages postés 113 Date d'inscription   Statut Membre Dernière intervention   2
 
OK, voici les 2 scans du jour (depuis la clé USB, puis depuis le PC)

# AdwCleaner v3.002 - Rapport créé le 06/09/2013 à 18:47:04
# Mis à jour le 01/09/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Doudou - DOUDOU-DAB52D1D
# Exécuté depuis : G:\ATRAPS.Gen2\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Documents and Settings\Doudou\IECompatCache
Dossier Supprimé : C:\Documents and Settings\Doudou\Application Data\Mozilla\Firefox\Profiles\azu13sjq.default\jetpack

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Softonic
Produit Supprimé : Google Update Helper

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v23.0.1 (fr)

[ Fichier : C:\Documents and Settings\Doudou\Application Data\Mozilla\Firefox\Profiles\azu13sjq.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1085 octets] - [06/09/2013 18:46:11]
AdwCleaner[S0].txt - [1015 octets] - [06/09/2013 18:47:04]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1075 octets] ##########


# AdwCleaner v3.002 - Rapport créé le 06/09/2013 à 18:54:14
# Mis à jour le 01/09/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Doudou - DOUDOU-DAB52D1D
# Exécuté depuis : D:\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v23.0.1 (fr)

[ Fichier : C:\Documents and Settings\Doudou\Application Data\Mozilla\Firefox\Profiles\azu13sjq.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1085 octets] - [06/09/2013 18:46:11]
AdwCleaner[R1].txt - [932 octets] - [06/09/2013 18:50:56]
AdwCleaner[S0].txt - [1155 octets] - [06/09/2013 18:47:04]
AdwCleaner[S1].txt - [854 octets] - [06/09/2013 18:54:14]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [913 octets] ##########
0
Réponse 10 / 11
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
c'est bon, je pense :)


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


0
Réponse 11 / 11
topspin92 Messages postés 113 Date d'inscription   Statut Membre Dernière intervention   2
 
Super, un grand merci :)
Promis, je ferais gaffe avec mes TL et les modules complémentaires :)

Bonne continuation à toi
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
comment brancher une tour sur un pc portable
oprisci -
emy51 -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses