Virus ATRAPS.Gen2, c'est mon tour ... Résolu/Fermé

Question

Bonjour,

Depuis quelques jours, AVIRA m'indique que ma machine est infectée par le non moins célèbre ATRAPS.Gen2

Bien entendu, malgré la mise en quarantaine, le PC n'est pas pour autant nettoyé.

Je me rends compte sur les forums de toutes les manipulations à faire, programmes à télécharger et installer etc... aussi, quelqu'un(e) aura-t-il/elle la patience de m'assister dans l'ensemble des procédures svp (savoir lire et interpréter les différents rapports, par exemple) ?

1- quels logiciels dois-je télécharger exactement ?
2- ensuite, dans quel ordre les lancer etc ?


Merci d'avance

Malekal_morte- · Answer

Salut,  


A télécharger et transférer depuis un PC sain vers le PC infecté par clef USB :

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes  
[*] Lancer RogueKiller.exe.  
[*] Attendre que le Prescan ait fini ...  
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
[*] Copie/colle le contenu du rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!! 

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

topspin92 · Answer

RogueKiller V8.6.8 [Sep 2 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Doudou [Droits d'admin] Mode : Suppression -- Date : 09/02/2013 19:22:53 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\GoogleUpdate.exe" >) -> SUPPRIMÉ [RUN][ZeroAccess] HKUS\S-1-5-21-1220945662-152049171-682003330-1004\[...]\Run : Google Update ("C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\GoogleUpdate.exe" >) -> [0xc0000034] Unknown error [HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> [0x3] Le chemin d'accès spécifié est introuvable. [HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> [0x3] Le chemin d'accès spécifié est introuvable. [HID SVC][Masqué de l'API] HKLM\[...]\CS003\[...]\Services : . e () -> [0x3] Le chemin d'accès spécifié est introuvable. ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][Repertoire] Install : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] Install : C:\Program Files\Google\Desktop\Install [-] --> SUPPRIMÉ [ZeroAccess][Fichier] @ : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\@ [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] L : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\L [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] U : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf}\U [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] {6d376c38-a846-4246-d657-252e0a112eaf} : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\?????\{6d376c38-a846-4246-d657-252e0a112eaf} [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] ????? : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\???\????? [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] ??? : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\???\??? [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] ??? : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\??? [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] {6d376c38-a846-4246-d657-252e0a112eaf} : C:\Documents and Settings\Doudou\Local Settings\Application Data\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf} [-] --> SUPPRIMÉ [ZeroAccess][Fichier] @ : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \?????\{6d376c38-a846-4246-d657-252e0a112eaf}\@ [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] L : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \?????\{6d376c38-a846-4246-d657-252e0a112eaf}\L [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] U : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \?????\{6d376c38-a846-4246-d657-252e0a112eaf}\U [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] {6d376c38-a846-4246-d657-252e0a112eaf} : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \?????\{6d376c38-a846-4246-d657-252e0a112eaf} [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] ????? : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ \????? [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ \ [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf}\ [-] --> SUPPRIMÉ [ZeroAccess][Repertoire] {6d376c38-a846-4246-d657-252e0a112eaf} : C:\Program Files\Google\Desktop\Install\{6d376c38-a846-4246-d657-252e0a112eaf} [-] --> SUPPRIMÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[25] : unknown @ 0x805BC564 -> HOOKED (Unknown @ 0xB87674DC) [Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xB8767496) [Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xB87674E6) [Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xB876748C) [Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xB876749B) [Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xB87674A5) [Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xB87674D7) [Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xB87674AA) [Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xB8767478) [Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xB876747D) [Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xB87674FF) [Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xB87674B4) [Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xB87674F0) [Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xB87674AF) [Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xB87674EB) [Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xB87674F5) [Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xB87674A0) [Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xB87674FA) [Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xB8767487) [Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xB876750E) [Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xB8767513) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 00aaf101a7.gougava.asia # hosts anti-adware / pups 127.0.0.1 08sr.combineads.info # hosts anti-adware / pups 127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 1a2e115593.efacen.pro # hosts anti-adware / pups 127.0.0.1 1f1.fr # hosts anti-adware / pups 127.0.0.1 1facebookhackeronline.blogspot.no # hosts anti-adware / pups 127.0.0.1 2010-fr.com # hosts anti-adware / pups 127.0.0.1 2012-new.biz # hosts anti-adware / pups 127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups 127.0.0.1 24h00business.com # hosts anti-adware / pups 127.0.0.1 33black.porn-quest.net # hosts anti-adware / pups 127.0.0.1 4672ee0bc8.laibritec.waw.pl # hosts anti-adware / pups 127.0.0.1 4990usd.com # hosts anti-adware / pups 127.0.0.1 4xp.com # hosts anti-adware / pups 127.0.0.1 74.80.131.123 # hosts anti-adware / pups 127.0.0.1 78031d2298.tradorad.waw.pl # hosts anti-adware / pups 127.0.0.1 80323fcc6e.starsogor.waw.pl # hosts anti-adware / pups 127.0.0.1 888.rahon.org # hosts anti-adware / pups 127.0.0.1 8e47c22037.temavi.pro # hosts anti-adware / pups [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD3200AAJS-65RYA0 +++++ --- User --- [MBR] 858750f834a8fa0831794da5b45e1b09 [BSP] 4bc17a43b2a43d6eb62ad239abebb691 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 49999 Mo 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 102398310 | Size: 255235 Mo User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive1: WDC WD3200AAJS-65RYA0 +++++ --- User --- [MBR] bd1f65afedec4319e0d46533e8903871 [BSP] 217363fa1c244a8875342ede2600d3c8 : Empty MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[0]_D_09022013_192253.txt >> RKreport[0]_S_09022013_191825.txt

Malekal_morte- · Answer

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

topspin92 · Answer

OK, programme téléchargé depuis mon bureau, mais
- je n'y ai pas de droits d'admin et n'ai pas pu procéder à la mise à jour ;
- ma connexion internet domicile est très lente.

Je n'ai donc pu faire le scan qu'avec la base datant de Juillet 2013

Résultat : "no malware found"

topspin92 · Answer

ma connexion à domicile étant très lente (merci le virus), je pensais faire la mise à jour de MBAR depuis mon bureau, après l'avoir installé sur clé USB.

Mais, n'étant pas admin au boulot, je ne peux même pas le lancer pour faire mettre la base à jour

topspin92 · Answer

Good news, j'ai pu mettre MBAR à jour depuis un PC sain

Scan fait ce soir, voici le rapport :
https://pjjoint.malekal.com/files.php?id=20130905_t11e10l8m6t12

Malekal_morte- · Answer

OK ça a l'air good.


Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.  
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner] puis patiente (PAS besoin de copier/coller le rapport ici).
Quand cela est terminé, clic sur [Nettoyage].
!!! je répète faire [Nettoyage] !!!
Clic sur Rapport puis copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

topspin92 · Answer

AVIRA me refuse l'accès au fichier adwcleaner.exe car selon lui, le fichier est endommagé (AutoIt.Gen)... :(

topspin92 · Answer

OK, voici les 2 scans du jour (depuis la clé USB, puis depuis le PC)

# AdwCleaner v3.002 - Rapport créé le 06/09/2013 à 18:47:04
# Mis à jour le 01/09/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Doudou - DOUDOU-DAB52D1D
# Exécuté depuis : G:\ATRAPS.Gen2\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Documents and Settings\Doudou\IECompatCache
Dossier Supprimé : C:\Documents and Settings\Doudou\Application Data\Mozilla\Firefox\Profiles\azu13sjq.default\jetpack

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Softonic
Produit Supprimé : Google Update Helper

***** [ Navigateurs ] *****

-\ Internet Explorer v8.0.6001.18702


-\ Mozilla Firefox v23.0.1 (fr)

[ Fichier : C:\Documents and Settings\Doudou\Application Data\Mozilla\Firefox\Profiles\azu13sjq.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1085 octets] - [06/09/2013 18:46:11]
AdwCleaner[S0].txt - [1015 octets] - [06/09/2013 18:47:04]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1075 octets] ##########


# AdwCleaner v3.002 - Rapport créé le 06/09/2013 à 18:54:14
# Mis à jour le 01/09/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Doudou - DOUDOU-DAB52D1D
# Exécuté depuis : D:\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\ Internet Explorer v8.0.6001.18702


-\ Mozilla Firefox v23.0.1 (fr)

[ Fichier : C:\Documents and Settings\Doudou\Application Data\Mozilla\Firefox\Profiles\azu13sjq.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1085 octets] - [06/09/2013 18:46:11]
AdwCleaner[R1].txt - [932 octets] - [06/09/2013 18:50:56]
AdwCleaner[S0].txt - [1155 octets] - [06/09/2013 18:47:04]
AdwCleaner[S1].txt - [854 octets] - [06/09/2013 18:54:14]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [913 octets] ##########

Malekal_morte- · Answer

c'est bon, je pense :)


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

topspin92 · Answer

Super, un grand merci :)
Promis, je ferais gaffe avec mes TL et les modules complémentaires :)

Bonne continuation à toi

Virus ATRAPS.Gen2, c'est mon tour ...

11 réponses

Discussions similaires